Wenn ein KI-Modell in wenigen Wochen tausende Zero-Day-Lücken in jedem großen Betriebssystem findet, ist das keine Pressemitteilung mehr, die ich überfliege. Anthropic hat am Montag Claude Mythos Preview angekündigt. Der bemerkenswerte Teil steht erst im zweiten Absatz: Sie veröffentlichen es nicht.
Claude Mythos: Was Anthropic da gebaut hat
Mythos ist laut Anthropics eigener Red-Team-Dokumentation das stärkste Reasoning-Modell, das sie bisher trainiert haben. Bei der USAMO 2026 (USA Mathematical Olympiad, eine der härtesten Mathematik-Wettbewerbe weltweit, an der KI-Modelle inzwischen als Benchmark gemessen werden) springt Mythos von 42,3 auf 97,6 Prozent gegenüber dem Vorgänger. Das alleine wäre schon eine Story für die Tech-Blase. Der eigentliche Nachrichtenwert liegt aber woanders.
In den Wochen vor der Ankündigung haben Anthropics Sicherheitsteams das Modell auf reale Codebases losgelassen. Das Ergebnis: tausende neue Zero-Day-Lücken in jedem großen Betriebssystem und jedem großen Browser, alle vollautomatisch entdeckt. Der vorzeigbarste Treffer ist CVE-2026-4747, eine 17 Jahre alte Remote-Code-Execution-Lücke in FreeBSDs NFS-Implementation (Network File System, das Standardprotokoll für Datei-Sharing in Unix-Netzwerken). Mythos hat sie nicht nur gefunden, sondern auch gleich einen funktionierenden Exploit dafür geschrieben.
Eine 17 Jahre alte RCE-Lücke in einem so etablierten Subsystem wie NFS ist genau die Art von Befund, bei der man kurz die Augen reibt. Das war kein obskurer Fork, das war Mainline-Code, mehrfach auditiert. Eine KI hat in Tagen erledigt, was menschliche Reviewer in fast zwei Jahrzehnten übersehen haben.
Project Glasswing statt Public Release
Mythos kommt nicht in die normale API. Stattdessen startet Anthropic Project Glasswing, ein geschlossenes Programm mit zwölf Partnern. Mit dabei sind Apple, Microsoft, Google, AWS, Cisco, Palo Alto Networks, CrowdStrike und die Linux Foundation. Der Zugang ist auf rein defensive Sicherheitsarbeit beschränkt, also Patch-Entwicklung und Schwachstellen-Hunting in eigenem Code.
Dazu kommen 100 Millionen US-Dollar Compute-Credits für Glasswing-Partner und vier Millionen Dollar als direkte Spende an Open-Source-Sicherheitsorganisationen. Letzteres ist der Teil, den ich für am ehrlichsten halte. Die großen Hyperscaler haben eigene Security-Teams in vierstelliger Größe. Die Open-Source-Welt, in der Mythos die meisten Lücken gefunden hat, lebt von Ehrenamt und ein paar bezahlten Maintainern. Wenn die Werkzeuge auf einem Niveau spielen, das einzelne Pflegeteams nicht mehr matchen können, müssen die Mittel mit. Sonst entsteht eine Asymmetrie, die niemand will.
Glaubwürdig oder PR-Theater?
Die naheliegende Frage stellt Simon Willison in seiner Einordnung ähnlich: ehrliche Selbstzurückhaltung oder gut platziertes Marketing? Beides ist denkbar. Anthropic hat ein offensichtliches Interesse, sich als das verantwortungsbewusste KI-Labor zu positionieren. Gleichzeitig wäre ein öffentlicher Release eines Modells, das innerhalb von Tagen produktive Exploits ausspuckt, tatsächlich ein Problem. Beides kann stimmen.
Was mir an der Konstruktion gefällt: Glasswing ist nicht „vertraut uns einfach“. Die zwölf Partner können das Modell unabhängig validieren, und die Open-Source-Förderung ist nachvollziehbar an Organisationen gebunden. Was mir weniger gefällt: Wir bekommen das Ergebnis ihrer Tests nur als gefilterten Bericht. Wer prüft, was Mythos sonst noch kann? Anthropic selbst.
Für Defender ist die Botschaft trotzdem klar. Wenn ein einzelnes Modell tausende neue Lücken in einer Trainingsphase findet, dann finden es früher oder später auch andere. Vielleicht nicht in dieser Qualität, vielleicht später, aber die Richtung ist gesetzt. Die Halbwertszeit von „wir haben das schon vor Jahren auditiert“ sinkt gerade massiv.
Was übrigbleibt
Mythos ist ein Modell, das ich nicht selbst werde testen können. Das ist beabsichtigt, und ausnahmsweise ergibt diese Form von Selbstbeschränkung für mich Sinn. Bisher haben fast alle KI-Labore den Ansatz „Veröffentlichen, dann reparieren“ gefahren. Glasswing dreht die Reihenfolge um.
Was das für den Rest der Branche bedeutet, ist die offene Frage. Wenn OpenAI und DeepMind nachziehen, könnten wir innerhalb von Monaten ein neues Patch-Tempo bei großen Codebases sehen. Ziehen sie nicht nach, haben wir einen Wettlauf zwischen einem zurückgehaltenen Anthropic-Modell und einem öffentlich verfügbaren Konkurrenten ohne Bremse. Spannender ist die zweite Variante. Beruhigender die erste.
