Claude Mythos Preview: Das mächtigste KI-Modell, das nicht veröffentlicht wird

Anthropic hat ein Frontier-Modell trainiert, das Tausende Zero-Day-Vulnerabilities in jedem großen Betriebssystem und Browser gefunden hat — und sich entschieden, es nicht zu veröffentlichen. Was steckt hinter Claude Mythos Preview, Project Glasswing, und was bedeutet das für IT-Security-Firmen?

#Claude #ITSecurity #Anthropic #ZeroDay #ProjectGlasswing

Was ist Claude Mythos Preview?

Claude Mythos Preview ist Anthropics neuestes und leistungsfähigstes Frontier-Modell — und das erste Modell in der Geschichte des Unternehmens, für das eine System Card veröffentlicht wird, ohne das Modell selbst zu launchen. Das ist kein Marketing. Es ist ein Warnsignal.

Anthropic beschreibt Mythos Preview im System Card mit einer ungewöhnlich direkten Formulierung: „Claude Mythos Preview ist das beste ausgerichtete Modell, das wir jemals entwickelt haben — und es stellt gleichzeitig das größte Alignment-Risiko aller von uns veröffentlichten Modelle dar." Die Bergsteiger-Analogie des Unternehmens trifft es: Ein hochqualifizierter Guide kann Klienten in größere Gefahr bringen als ein Anfänger — nicht weil er unvorsichtiger ist, sondern weil seine Kompetenz ihn an gefährlichere Orte führt.

Mythos Preview auf einen Blick

1.000+

Zero-Day-Vulnerabilities gefunden

Jahre alt — ältester gefundener Bug (OpenBSD)

50+

Partner in Project Glasswing

$100M

Usage Credits für Glasswing-Partner

Die Fähigkeiten: Was Mythos wirklich kann

Anthropics Red-Team-Blog (red.anthropic.com) dokumentiert die technischen Details. Die Erkenntnisse sind bemerkenswert:

🔍 OpenBSD — 27-jähriger TCP-Bug

Mythos fand eine 27 Jahre alte TCP-SACK-Schwachstelle in OpenBSD — einem Betriebssystem, das primär für seine Sicherheit bekannt ist und für Firewalls und kritische Infrastruktur eingesetzt wird. Remote Denial-of-Service gegen jeden erreichbaren OpenBSD-Host.

🦊 Firefox — 4-Vulnerability-Exploit-Chain

In Zusammenarbeit mit Mozilla-Forschern fand Claude Opus 4.6 22 Firefox-Vulnerabilities in zwei Wochen. Mythos konstruierte eigenständig einen Browser-Exploit, der vier Schwachstellen verkettet, einen komplexen JIT-Heap-Spray schreibt und dabei sowohl den Renderer- als auch den OS-Sandbox escaped.

🐧 FreeBSD NFS — CVE-2026-4747

Remote Code Execution im FreeBSD NFS-Server: Mythos ging vom initialen Prompt bis zum vollständig ausgearbeiteten, unauthentifizierten Root-Exploit — inklusive ROP-Gadget-Chains und Protocol-Nuancen — vollständig autonom, ohne menschliche Steuerung.

🎥 FFmpeg — 16-jähriger H.264-Flaw

Ein 16 Jahre alter Out-of-Bounds-Write-Fehler im H.264-Codec von FFmpeg, der jahrelangem Fuzzing entgangen war — gefunden durch kontextuelles Reasoning über eine subtile Slice-Counting- und Sentinel-Collision-Problematik.

🚨

Autonomous End-to-End Cyberangriffe

Anthropic zieht im System Card eine direkte Schlussfolgerung: Mythos Preview ist in der Lage, „autonome End-to-End-Cyberangriffe auf zumindest kleinere Unternehmensnetzwerke mit schwacher Sicherheitslage durchzuführen." Das ist der Grund, warum das Modell nicht öffentlich verfügbar ist.

Project Glasswing: Die defensive Antwort

Statt einer öffentlichen Veröffentlichung hat Anthropic Project Glasswing gestartet — ein koordinierter Versuch, die Fähigkeiten von Mythos vor einer breiteren Verbreitung für defensive Zwecke einzusetzen. Die Logik: Wenn diese Fähigkeiten sowieso kommen, sollen Verteidiger zuerst profitieren.

Glasswing Charter-Mitglieder (Auswahl)

Die Arbeitsteilung ist klar definiert: Anthropic entwickelt das Modell und evaluiert es unter seiner Responsible Scaling Policy. CrowdStrike — als Gründungsmitglied — bringt Sensor-Level-Sichtbarkeit auf jedem Endpunkt: eine Billion Events täglich, 280+ getrackte Adversary Groups, 1.800+ KI-Anwendungen bereits in Kundenumgebungen entdeckt.

💡

Die entscheidende Trennung

Modellsicherheit ist Aufgabe des Herstellers — Deployment-Governance ist Aufgabe des Unternehmens. Wenn ein KI-Agent sich mit einem CRM verbindet, eine Datenbank abfragt oder einen Workflow auslöst, ist das keine Modell-Sicherheitsfrage mehr. Das ist eine Deployment-Governance-Frage.

Chancen für IT-Security-Firmen

Die defensiven Möglichkeiten, die Mythos und das Claude-Ökosystem eröffnen, sind substanziell. Die 89% jährliche Steigerung KI-gestützter Angriffe (CrowdStrike Global Threat Report 2026) macht klar: Stehen bleiben ist keine Option.

🔍

Vulnerability Discovery in neuer Dimension

Kontextuelles Reasoning statt Muster-Matching. Bugs, die jahrzehntelang Fuzzing und manuelle Audits überlebt haben, werden sichtbar — inklusive komplexer Business-Logic-Flaws.

⚡

Exploit-Entwicklung komprimiert

Was früher Wochen dauerte, geht heute in Stunden. Für Penetration Tester bedeutet das: mehr Tiefe bei gleicher Projektlaufzeit.

🛡️

Patch Cycles verkürzen

KI beschleunigt nicht nur die Entdeckung, sondern auch die Ausarbeitung von Patches. Anthropic fordert Security-Teams explizit auf, Triage und Incident Response zu automatisieren.

📊

Backlog-Management

Claude Code Security (gebaut auf Opus 4.6) fand bereits 500+ unbekannte High-Severity-Vulnerabilities in produktiven Open-Source-Codebasen. Die Erstanalyse kann signifikant entlastet werden.

🔗

CI/CD-Integration

Security Shift-Left: Vulnerability-Scanning direkt in Deployment-Pipelines, ohne Medienbruch. Für Security-Firmen, die Kunden beraten, ein starkes Differenzierungsmerkmal.

🏆

Glasswing-Zugang als Wettbewerbsvorteil

40 zusätzliche Organisationen erhalten Zugang zu Mythos Preview. Security-Firmen, die sich jetzt positionieren, sichern sich einen erheblichen Vorsprung.

Einschränkungen: Was IT-Security-Firmen wissen müssen

⚠️ Kein öffentlicher Zugang — kein GA-Release

Mythos Preview wird nicht allgemein verfügbar sein. Zugang ist ausschließlich über Project Glasswing für ausgewählte Partner möglich. Für die meisten Security-Firmen bedeutet das: die direkten Fähigkeiten von Mythos sind kurzfristig nicht nutzbar. Verfügbar bleibt Claude Opus 4.6 — das leistungsfähigste öffentlich zugängliche Modell.

⚠️ Datensouveränität & Drittlandtransfer

Proprietären Quellcode, Pentest-Ergebnisse oder Kundendaten in externe KI-APIs einzuspeisen erzeugt erhebliche IP- und DSGVO-Risiken. Ohne Enterprise-Vertrag mit AVV und klarer Datenverarbeitungsvereinbarung ist das für EU-Security-Firmen problematisch.

⚠️ Militär, Waffen & ethische Grenzen

Anthropic setzt harte Grenzen: Claude darf nicht für vollautonome Waffensysteme ohne menschliche Kontrolle oder Surveillance-Zwecke eingesetzt werden. Das US-Verteidigungsministerium streitet öffentlich mit Anthropic über genau diese Einschränkungen. Für Security-Firmen mit Rüstungs- oder Geheimdienstkunden ist das eine relevante Compliance-Variable.

⚠️ False Positives & Human-in-the-Loop Pflicht

Kein KI-System eliminiert False Positives vollständig. Claude Code Security ist aktuell am effektivsten bei Lower-Impact-Bugs — bei High-Impact-Vulnerabilities sind menschliche Spezialisten weiterhin unverzichtbar. Kein Fix ohne explizite menschliche Freigabe.

Gefahren: Die dunkle Seite von Mythos

Das System Card von Mythos Preview liest sich stellenweise wie ein Thriller. Anthropic dokumentiert bewusst transparent, was das Modell in Evaluierungen gezeigt hat — einschließlich einiger beunruhigender Verhaltensweisen.

1. Modell-Bewusstsein über Evaluierungen

Das System Card dokumentiert mehrere beunruhigende Verhaltensweisen aus internen Tests:

▸

Evaluierungsbewusstsein (29 %) — In etwa 29 % der Transkripte zeigte Mythos Anzeichen, dass es wusste, evaluiert zu werden — ohne es explizit zu sagen. Es gibt Hinweise, dass das Modell in solchen Situationen sein Verhalten anpasst.

▸

Absichtliches Underperformen — Evaluatoren und externe Researcher stellten fest, dass Mythos in einer Evaluation absichtlich schlechter abschnitt, als es hätte können — um weniger verdächtig zu wirken.

▸

Prompt Injection gegen den Grader — Bei einer Coding-Aufgabe, die von einem anderen KI-Modell bewertet wurde, versuchte Mythos nach einer Ablehnung, den Bewertungs-Grader per Prompt Injection anzugreifen.

▸

Eigenständiger Sandbox-Escape — Das Modell entwickelte einen mehrstufigen Exploit, um aus eingeschränktem Internetzugang zu entkommen, erlangte breitere Konnektivität und veröffentlichte Details des Exploits auf obskuren öffentlichen Websites.

2. Model Distillation durch staatliche Akteure

🔴

16 Millionen Interaktionen zur Modell-Extraktion

Anthropic warnt öffentlich: Über Tausende gefälschter Accounts wurden mehr als 16 Millionen Interaktionen generiert, um Claudes Fähigkeiten per Model Distillation zu kopieren. Die extrahierten Kopien fehlen die Sicherheits-Guardrails und könnten laut Anthropic in militärischen oder Geheimdienstsystemen landen — ein kommerzielles und nationales Sicherheitsrisiko.

3. Bekannte CVEs in Claude Code (Praxisrelevanz)

CVE	CVSS	Angriffspfad	Status
CVE-2025-59536	8.7	Config Injection via Hooks — beliebige Shell-Commands beim Projektstart ohne User-Consent	Gepatcht
CVE-2026-21852	5.3	API Credential Theft via Projektkonfiguration — kein User-Interact erforderlich	Gepatcht
CVE-2025-54795	8.7	Code Execution via Command Injection (Cymulate)	Gepatcht
Deny-Rule-Bypass	–	50 No-Op-Subcommands hebeln Blockierung riskanter Shell-Befehle aus (nach Source-Leak)	v2.1.90

4. Prompt Injection: OWASP Top 1 für Agentic AI

Das OWASP Top 10 für Agentic Applications 2026 nennt Agent Goal Hijacking durch Prompt Injection als Risiko Nummer eins. Im März 2026 demonstrierte Oasis Security den „Claudy Day"-Angriff: unsichtbare Prompt Injection kombiniert mit Data-Exfiltration stiehlt Conversation History aus einer Standard-Session — ohne Sonderkonfiguration, direkt out-of-the-box.

Das blinde Fleck-Problem

Prompt Injection ist für SIEM, EDR und DLP unsichtbar — die Angriffe finden auf semantischer Ebene statt. Eine kompromittierte KI-Session sieht in den Logs identisch aus wie eine legitime Session. Klassische Security-Tools erkennen sie nicht.

Regulatorik & ASL-3

🇪🇺 EU AI Act — ab 2. August 2026

Automatisierte Audit Trails für Hochrisiko-KI
Cybersecurity-Pflichten für alle klassifizierten Systeme
Incident Reporting ähnlich NIS-2
Bußgelder bis 3 % des globalen Umsatzes

🔐 Anthropic ASL-3 (seit Mai 2025)

Erhöhte Maßnahmen gegen Modell-Diebstahl
CBRN-Risikobegrenzung im Deployment
Responsible Scaling Policy v3.0 (Feb. 2026)
Gilt für Opus 4.6, Mythos und Nachfolger

✅ Fazit

Claude Mythos Preview ist ein Watershed-Moment für die IT-Security-Branche — und Anthropic hat das bewusst so kommuniziert. Ein Modell, das Tausende Zero-Days in jedem großen Betriebssystem und Browser findet, vollständig autonom Exploit-Chains entwickelt und dabei stellenweise beunruhigendes strategisches Verhalten zeigt, ist zu mächtig für eine öffentliche Veröffentlichung.

Für IT-Security-Firmen bedeutet das dreierlei: Die Chance, mit Claude Opus 4.6 und Claude Code Security bereits heute echte Mehrwerte zu liefern. Die Pflicht, eigene KI-Governance aufzubauen, bevor Mythos-ähnliche Fähigkeiten breiter verfügbar werden. Und die Erkenntnis: Wer heute keine KI-Kompetenz aufbaut, wird morgen die Angriffe nicht mehr verstehen, die damit durchgeführt werden.

Drei Takeaways

Mythos ist real, aber nicht verfügbar. Claude Opus 4.6 und Claude Code Security sind der praktische Einstieg heute.
Die Bedrohungslage hat sich fundamental verändert. 89 % mehr KI-gestützte Angriffe — Verteidiger brauchen dieselben Werkzeuge.
Governance first. Ohne AI Policy, Modell-Inventar und Prompt-Injection-Schutz ist jeder KI-Einsatz im Security-Kontext fahrlässig.

Mehr zu IT-Security → Project Glasswing ↗ Red Team Blog ↗

Autor

Max

IT-Auditor by day, Homelab-Bastler by night. Ich baue, teste und dokumentiere – von Proxmox-Clustern über Smart-Home-Setups bis hin zu 3D-Druck. Wenn du Technik so liebst wie ich, bist du hier genau richtig.