Wenn ein KI-Modell in wenigen Wochen tausende Zero-Day-Lücken in jedem großen Betriebssystem findet, ist das keine Pressemitteilung mehr, die ich überfliege. Anthropic hat am Montag Claude Mythos Preview angekündigt. Der bemerkenswerte Teil steht erst im zweiten Absatz: Sie veröffentlichen es nicht.
- USAMO-Score steigt von 42,3 auf 97,6 Prozent gegenüber dem Vorgänger-Modell.
- Mythos entdeckte automatisch tausende Zero-Days in großen Betriebssystemen und Browsern.
- CVE-2026-4747: eine 17 Jahre alte RCE-Lücke in FreeBSDs NFS-Stack, inklusive funktionierendem Exploit.
- Anthropic veröffentlicht Mythos nicht öffentlich, sondern beschränkt Zugang auf zwölf Sicherheitspartner.
- Millionen Dollar Compute-Credits für Partner, vier Millionen Dollar Direktförderung für Open-Source-Sicherheitsprojekte.
Claude Mythos: Was Anthropic da gebaut hat
Mythos ist laut Anthropics eigener Red-Team-Dokumentation das stärkste Reasoning-Modell, das sie bisher trainiert haben. Bei der USAMO 2026 (USA Mathematical Olympiad, eine der härtesten Mathematik-Wettbewerbe weltweit, an der KI-Modelle inzwischen als Benchmark gemessen werden) springt Mythos von 42,3 auf 97,6 Prozent gegenüber dem Vorgänger. Das alleine wäre schon eine Story für die Tech-Blase. Der eigentliche Nachrichtenwert liegt aber woanders.
In den Wochen vor der Ankündigung haben Anthropics Sicherheitsteams das Modell auf reale Codebases losgelassen. Das Ergebnis: tausende neue Zero-Day-Lücken in jedem großen Betriebssystem und jedem großen Browser, alle vollautomatisch entdeckt. Der vorzeigbarste Treffer ist CVE-2026-4747, eine 17 Jahre alte Remote-Code-Execution-Lücke in FreeBSDs NFS-Implementation (Network File System, das Standardprotokoll für Datei-Sharing in Unix-Netzwerken). Mythos hat sie nicht nur gefunden, sondern auch gleich einen funktionierenden Exploit dafür geschrieben.
Eine 17 Jahre alte RCE-Lücke in einem so etablierten Subsystem wie NFS ist genau die Art von Befund, bei der man kurz die Augen reibt. Das war kein obskurer Fork, das war Mainline-Code, mehrfach auditiert. Eine KI hat in Tagen erledigt, was menschliche Reviewer in fast zwei Jahrzehnten übersehen haben.
Project Glasswing statt Public Release
Mythos kommt nicht in die normale API. Stattdessen startet Anthropic Project Glasswing, ein geschlossenes Programm mit zwölf Partnern. Mit dabei sind Apple, Microsoft, Google, AWS, Cisco, Palo Alto Networks, CrowdStrike und die Linux Foundation. Der Zugang ist auf rein defensive Sicherheitsarbeit beschränkt, also Patch-Entwicklung und Schwachstellen-Hunting in eigenem Code.
Dazu kommen 100 Millionen US-Dollar Compute-Credits für Glasswing-Partner und vier Millionen Dollar als direkte Spende an Open-Source-Sicherheitsorganisationen. Letzteres ist der Teil, den ich für am ehrlichsten halte. Die großen Hyperscaler haben eigene Security-Teams in vierstelliger Größe. Die Open-Source-Welt, in der Mythos die meisten Lücken gefunden hat, lebt von Ehrenamt und ein paar bezahlten Maintainern. Wenn die Werkzeuge auf einem Niveau spielen, das einzelne Pflegeteams nicht mehr matchen können, müssen die Mittel mit. Sonst entsteht eine Asymmetrie, die niemand will.
Glaubwürdig oder PR-Theater?

Die naheliegende Frage stellt Simon Willison in seiner Einordnung ähnlich: ehrliche Selbstzurückhaltung oder gut platziertes Marketing? Beides ist denkbar. Anthropic hat ein offensichtliches Interesse, sich als das verantwortungsbewusste KI-Labor zu positionieren. Gleichzeitig wäre ein öffentlicher Release eines Modells, das innerhalb von Tagen produktive Exploits ausspuckt, tatsächlich ein Problem. Beides kann stimmen.
Was mir an der Konstruktion gefällt: Glasswing ist nicht „vertraut uns einfach“. Die zwölf Partner können das Modell unabhängig validieren, und die Open-Source-Förderung ist nachvollziehbar an Organisationen gebunden. Was mir weniger gefällt: Wir bekommen das Ergebnis ihrer Tests nur als gefilterten Bericht. Wer prüft, was Mythos sonst noch kann? Anthropic selbst.
Für Defender ist die Botschaft trotzdem klar. Wenn ein einzelnes Modell tausende neue Lücken in einer Trainingsphase findet, dann finden es früher oder später auch andere. Vielleicht nicht in dieser Qualität, vielleicht später, aber die Richtung ist gesetzt. Die Halbwertszeit von „wir haben das schon vor Jahren auditiert“ sinkt gerade massiv.
Was übrigbleibt
Mythos ist ein Modell, das ich nicht selbst werde testen können. Das ist beabsichtigt, und ausnahmsweise ergibt diese Form von Selbstbeschränkung für mich Sinn. Bisher haben fast alle KI-Labore den Ansatz „Veröffentlichen, dann reparieren“ gefahren. Glasswing dreht die Reihenfolge um.
Was das für den Rest der Branche bedeutet, ist die offene Frage. Wenn OpenAI und DeepMind nachziehen, könnten wir innerhalb von Monaten ein neues Patch-Tempo bei großen Codebases sehen. Ziehen sie nicht nach, haben wir einen Wettlauf zwischen einem zurückgehaltenen Anthropic-Modell und einem öffentlich verfügbaren Konkurrenten ohne Bremse. Spannender ist die zweite Variante. Beruhigender die erste.
Update, 13. Juni 2026: Inzwischen hat die US-Regierung Fable 5 und Mythos 5 per Exportkontrolle für alle Nicht-US-Nutzer gesperrt. Die Hintergründe und was das praktisch bedeutet, habe ich hier aufgeschrieben.
Update, 1. Juli 2026: Der reguläre Nachfolger der Sonnet-Reihe ist da, und im Gegensatz zu Mythos landet er ganz normal im Modell-Picker jedes Nutzers weltweit, keine Sperre, kein Partnerprogramm. Was Claude Sonnet 5 kann und wie sich seine Sicherheitswerte im Vergleich zu Mythos einordnen, steht in meinem aktuellen Artikel.
Update, 1. Juli 2026: Die Exportsperre ist Geschichte, Fable 5 ist seit dem 1. Juli wieder für alle verfügbar. Mythos bleibt seiner Rolle treu: Seit dem 26. Juni haben zunächst nur ausgewählte US-Organisationen wieder Zugang, die Ausweitung auf die internationalen Glasswing-Partner verhandelt Anthropic noch.






