Ein Bug überlebte 27 Jahre menschlicher Sicherheitsforschung. Tausende CVEs wurden eingereicht und gepatcht. Unzählige Auditoren, Penetrationstester und unabhängige Forscher untersuchten den Code. Dann, innerhalb weniger Minuten, fand ein KI-Modell einen Remote-Crash-Bug in OpenBSD — ohne jegliche Authentifizierung erforderlich. Innerhalb weniger Tage war der Exploit geschrieben und der Patch live. Das ist die Geschichte von Claude Mythos² Preview und Project Glasswing.
Anthropic hatte nicht vorgehabt, ein Angriffsmodell für die Sicherheitsforschung zu entwickeln. Das Unternehmen gibt an, man habe die Sicherheit von KI-Systemen und die Fähigkeiten von Modellen erforscht, als Forscher etwas Alarmierendes bemerkten: Dieselben Reasoning-Fähigkeiten, die Frontier-Modelle für Softwareentwicklung nützlich machen, machen sie auch außergewöhnlich effektiv darin, Software-Schwachstellen zu finden — und auszunutzen. Nicht theoretisch. In der Praxis. Funktionierende Exploits. Über Nacht.
Die Entdeckung
Die Zahlen aus Anthropics internem Red-Team-Test sind deutlich. Auf CyberGym, einem Benchmark zur Prüfung der Fähigkeit eines Modells, bekannte Schwachstellen zu reproduzieren, erzielte Claude Mythos² 83,1 %. Claude Opus 4.6 erzielte 66,6 %. Die Lücke ist groß. Auf SWE-bench Verified — einem Test für echte Softwareentwicklungsfähigkeiten — erreichte Mythos² 94,6 % gegenüber Opus 4.6s 91,3 %. Auf Terminal-Bench, das die Fähigkeit eines Modells misst, in einer Shell-Umgebung zu operieren und komplexe Terminal-Operationen zu verketten, erzielte Mythos² 92,1 %. Dies sind keine bloßen Benchmarks. Sie zeichnen das Bild eines Modells, das zuverlässig das tun kann, was Sicherheitsforscher tun — Bugs finden, Code-Pfade verstehen und funktionierende Exploits schreiben — ohne dass es aufgefordert wird, sich ethisch oder sicher zu verhalten.
In einem Monat koordinierter Tests fand Mythos² Zero-Day-Schwachstellen in nahezu allen großen Betriebssystemen und Browsern, die heute im Einsatz sind.
Der älteste war ein 27 Jahre alter Remote-Crash-Bug in OpenBSD, der keine Authentifizierung erforderte. Er befand sich seit 1999 im Codebase, unsichtbar für Jahrzehnte menschlicher Prüfer. Der technisch beunruhigendste war ein 16 Jahre alter Fehler in FFmpeg — der allgegenwärtigen Multimedia-Codec-Bibliothek, die in allem verwendet wird, von Browsern über Videokonferenzplattformen bis hin zu mobilen Betriebssystemen. Fünf Millionen automatisierte Tests waren im Laufe der Jahre gegen die FFmpeg-Codebase gelaufen. Mythos² fand den Bug trotzdem, ohne besondere Anweisung oder Zugang über das hinaus, was jeder Entwickler hätte.
Anthropics eigene Ingenieure — Nicht-Experten ohne formale Sicherheitsausbildung — erhielten Zugang und wurden gebeten, über Nacht zu sehen, was Mythos² leisten konnte. Sie wachten mit vollständigen, funktionierenden Exploits auf. Remote Code Execution. Keine Anleitung. Keine Steuerung. Das Modell hatte die Schwachstelle identifiziert, den Exploit-Pfad verstanden und eigenständig funktionalen Proof-of-Concept-Code geschrieben.
Weitere Ergebnisse umfassten eine Linux-Kernel-Rechteausweitung, die einem Standardbenutzerkonto das Escalieren zu Root ermöglichte, einen Browser-JIT-Compiler-Heap-Spray in Kombination mit einer Sandbox-Escape (vier separate Schwachstellen miteinander verkettet) und einen FreeBSD-NFS-Remote-Root-Exploit, aufgebaut auf einer 20-Gadget-ROP-Kette (Return-Oriented Programming). Alle großen Browser und Betriebssysteme waren betroffen. Alle Schwachstellen wurden offengelegt und gepatcht.
Die Koalition
Am 7. April 2026 kündigte Anthropic Project Glasswing an — eine formelle Branchen-Koalition, die darauf ausgerichtet ist, zu handeln, was das Red Team gefunden hatte. Dreizehn Gründungspartner tragen die Initiative: AWS, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks. Apple ist der auffälligste Name auf der Liste — ein Unternehmen, das in der öffentlichen Positionierung zu künstlicher Intelligenz bemerkenswert zurückhaltend war, nun aber formal Teil der bedeutendsten KI-Cybersicherheits-Partnerschaft der Branchengeschichte ist.
Anthropic verpflichtet sich zu 100 Millionen Dollar an API-Gutschriften für die Initiative und zusätzlich 4 Millionen Dollar an direkter Förderung für Open-Source-Sicherheitsorganisationen, darunter das Alpha-Omega Project, die Open Source Security Foundation (OpenSSF) und die Apache Software Foundation. Nach der Ankündigung ist die Glasswing-API zu 25 Dollar pro Million Tokens für Kontextfenster und 125 Dollar pro Million Tokens für Generierung bepreist — ein bewusst zugänglicher Preis, der darauf ausgelegt ist, gefährdete Open-Source-Projekte abzudecken, nicht Einnahmen zu maximieren.
Die Partner erhalten nicht nur Zugang zu Mythos². Sie tragen Findings bei, koordinieren die Offenlegung und integrieren das Modell in ihre eigenen Sicherheits-Pipelines. Mehr als 40 weitere Organisationen hatten zum Startzeitpunkt Zugang zum System erhalten oder waren mit Zugang ausgestattet worden — von akademischen Sicherheitslabors bis hin zu mittelständischen Softwareunternehmen mit kritischer Infrastruktur-Exposition.
Die Angriffszeitachse ist kollabiert
Das Fenster zwischen Schwachstellenentdeckung und Exploit-Verfügbarkeit wurde historisch in Monaten gemessen. Sicherheitsforscher finden einen Bug, verifizieren ihn, schreiben einen Proof-of-Concept, koordinieren mit dem Anbieter und warten auf einen Patch — ein Prozess, der selbst unter koordinierten Offenlegungsprogrammen routinemäßig 90 bis 180 Tage dauert. Mythos² folgt dieser Zeitachse nicht. Das Modell fand, verifizierte und produzierte funktionierenden Exploit-Code für mehrere kritische Schwachstellen in einer einzigen Sitzung.
Dies ist keine theoretische Beschleunigung. Es ist ein praktischer Kollaps des Bedrohungsfensters. Verteidiger, die previously monatelang Zeit zum Patchen hatten, haben nun Minuten — oder höchstens Stunden — bevor ein fähiger Akteur einen operativen Exploit produzieren könnte. Die Dual-Use-Natur der Technologie bedeutet, dass diese Fähigkeit nicht auf eine Forschungsumgebung beschränkt ist. Sie ist live, zugänglich und skalierbar.
Was das für die Branche bedeutet
Für Betreiber von KI-Agenten — einschließlich Plattformen wie OpenClaw, die autonomen Systemen dauerhaften Zugriff auf Dateien, Code und Netzwerkressourcen gewähren — sind die Implikationen direkt. KI-Agenten sind nicht nur Produktivitätswerkzeuge. Sie sind Ausführungsumgebungen. Wenn ein Modell wie Mythos² autonom Schwachstellen finden und ausnutzen kann, dann ist jedes ausreichend fähige Modell in einer permissiven Umgebung potenziell ein Vektor für sowohl offensive als auch defensive Handlungen. Dieselbe Fähigkeit, die Ihr System patcht, kann im falschen Kontext oder mit der falschen Aufforderung darauf angreifen.
Für Sicherheitsteams ist das Bild komplexer. KI-gestützte Schwachstellenfindung ist schneller als menschlich geführte Penetrationstests. Organisationen, die diese Fähigkeiten in ihre Red-Team-Operationen integrieren, werden mehr Bugs finden, schneller. Aber das werden auch ihre Gegner. Das Wettrüsten zwischen Angriff und Verteidigung hat sich in eine Richtung geneigt, die neue Governance-Frameworks erfordert — nicht nur für Modelle wie Mythos², sondern für das breitere Ökosystem leistungsfähiger KI-Systeme, die folgen werden.
Anthropic veröffentlicht Mythos² nicht öffentlich und nennt als Begründung das klare und unmittelbare Risiko, dass Nicht-Experten es nutzen könnten, um funktionierende Exploits ohne Offenlegungsinfrastruktur zu generieren. Das Modell ist für Glasswing-Partner und eine kuratierte Auswahl von Open-Source-Maintainern verfügbar. Diese Entscheidung spiegelt echten Ernst in Bezug auf das Dual-Use-Problem wider. Aber sie löst nicht die zugrunde liegende Dynamik: Die Angriffszeitachse ist kollabiert, die Werkzeuge sind real, und die Branche beginnt erst zu verstehen, was das bedeutet.
Vorbehalte: Nur eine Teilmenge der von Mythos² entdeckten Schwachstellen wurde öffentlich offengelegt; Anthropic schätzt, dass mehr als 99 % der Ergebnisse des Modells noch nicht offengelegt sind, während auf koordinierte Patches der Anbieter gewartet wird. Das Modell ist nicht öffentlich verfügbar. Seine Wirksamkeit hängt teilweise vom Zugang zu Quellcode und Binärdateien ab — es funktioniert weniger zuverlässig bei Black-Box-Zielen ohne Code-Sichtbarkeit. Diese Faktoren schränken die unabhängige Überprüfung einiger Behauptungen in diesem Bericht ein.