Claude fand 10.000 kritische Lücken in einem Monat — Patchen ist der Engpass

Ein bisher unveröffentlichtes Anthropic-Modell hat in einem einzigen Monat mehr als zehntausend hoch- und kritischschwere Software-Schwachstellen gefunden, verteilt über den Code von etwa fünfzig Partnerorganisationen. Das Modell, intern Claude Mythos Preview genannt, wurde auf Open-Source-Bibliotheken, Browser und Infrastruktur gerichtet, auf der ein großer Teil des modernen Internets läuft. Das Ergebnis dreht eine seit Jahrzehnten gültige Gleichung der Software-Sicherheit um. Das Finden der Bugs ist nicht mehr der harte Teil der Arbeit. Sondern das Patchen.

Das Programm heißt Project Glasswing, und Anthropic startete es etwa einen Monat vor der Veröffentlichung dieser ersten Zahlen. Rund fünfzig Partnerorganisationen erklärten sich bereit, ihren eigenen Produktionscode mit dem Modell scannen zu lassen. Cloudflare ließ es auf kritische Systeme los und meldete rund zweitausend Befunde zurück, vierhundert davon als hoch oder kritisch eingestuft. Mozilla schickte es gegen Firefox und brachte 271 unterschiedliche Schwachstellen in der nächsten großen Browser-Version ans Licht — mehr als das Zehnfache dessen, was dasselbe Team in der vorherigen Version mit dem öffentlich verfügbaren Claude Opus 4.6 produziert hatte.

Was diese Zahlen bedeuten, hängt davon ab, welche Software man tatsächlich nutzt. Das Modell entdeckte einen Zertifikatsfälschungs-Bug in wolfSSL, einer Krypto-Bibliothek, die in Milliarden von Heimroutern, Smart-Home-Hubs und Industriesteuerungen steckt. Die Lücke trägt jetzt eine CVE-Nummer, CVE-2026-5194, und ein Patch wird ausgerollt. Derselbe Scan-Lauf über mehr als tausend Open-Source-Projekte produzierte schätzungsweise 6.202 hoch- oder kritischschwere Befunde. Das sind keine akademischen Treffer auf Spielzeug-Benchmarks. Das sind Bugs im realen Code, der eure verschlüsselten Verbindungen, eure Browser-Tabs und die Maschinen am anderen Ende der Leitung verwaltet.

Empfohlene LektüreEine KI hat einen funktionierenden Zero-Day-Exploit geschrieben — Google fing ihn ab

Mythos Preview ist keine Claude-Version, die man kaufen kann. Anthropic hat sich gegen eine öffentliche Veröffentlichung entschieden. Das Unternehmen argumentiert, dass dasselbe Modell, das in diesem Maßstab Schwachstellen findet, in den falschen Händen zu einer industriellen Exploit-Fabrik würde. „Kein Unternehmen“, heißt es in der Ankündigung, „hat Schutzmechanismen entwickelt, die stark genug sind, um den Missbrauch solcher Modelle zu verhindern.“ Vorerst lebt Mythos Preview innerhalb eines kontrollierten Programms mit überprüften Partnern und einer koordinierten Offenlegungs-Pipeline.

Welche Art von Bugs findet das Modell überhaupt? Speichersicherheits-Fehler in C- und C++-Bibliotheken, Zertifikats-Handling-Lücken wie die in wolfSSL, Logikfehler in Implementierungen von Netzwerkprotokollen und Authentifizierungs-Löcher in weit verbreiteten Diensten. Es sind genau die Kategorien, die seit Jahrzehnten reale Datenpannen verursachen. Das UK AI Security Institute berichtet, dass Mythos Preview das erste getestete Modell ist, das beide End-to-End-Cyber-Range-Simulationen vollständig löst — kontrollierte Umgebungen, die komplette Angreifer-Abläufe nachbilden. Die unabhängige Sicherheitsfirma XBOW bezeichnete das Modell als „signifikanten Sprung“ gegenüber früheren Arbeiten, mit, wie sie es nannte, „absolut beispielloser Präzision“.

Die nächste Frage, für jeden, der mit automatischen Scannern gearbeitet hat, lautet: Wie viele dieser Befunde sind real? Unabhängige Sicherheitsfirmen prüften 1.752 der hoch- und kritischbewerteten Meldungen. Etwa 90,6 Prozent, 1.587 davon, erwiesen sich als legitime Schwachstellen. Das ist ein deutlich saubereres Signal als die typische Rauschrate von Fuzzing- oder Pattern-Matching-Werkzeugen, und Cloudflare berichtete, die Fehlalarmrate des Modells sei in eigenen Tests besser gewesen als die der menschlichen Red-Team-Mitglieder. Aber es bedeutet immer noch, dass etwa eine von zehn Meldungen ein Fehlalarm ist. In diesem Maßstab summiert sich das auf rund tausend Nicht-Bugs im Stapel — jeder einzelne ein Bericht, den ein Mensch lesen und verwerfen muss.

Das härtere Problem ist, was passiert, sobald ein echter Bug gemeldet wird. Zum Zeitpunkt dieses ersten Updates waren erst 75 der 530 an die Maintainer gemeldeten hoch- und kritischschweren Lücken gepatcht. Die durchschnittliche Korrektur dauert rund zwei Wochen. Einige Open-Source-Maintainer, dem Bericht zufolge überlastet, haben Anthropic gebeten, das Tempo der Offenlegungen zu drosseln. „Fortschritt in der Software-Sicherheit war früher dadurch begrenzt, wie schnell wir neue Schwachstellen finden konnten“, schreibt das Unternehmen. „Jetzt ist er dadurch begrenzt, wie schnell wir die große Zahl von KI-gefundenen Schwachstellen verifizieren, melden und patchen können.“

Für normale Nutzerinnen und Nutzer ist die praktische Erkenntnis unspektakulär. Die Software, die ihr heute verwendet, möglicherweise der Browser, in dem diese Seite geladen wurde, enthält mit hoher Wahrscheinlichkeit kritische Bugs, die eine KI bereits kennt und Menschen noch nicht behoben haben. Koordinierte Offenlegung setzt voraus, dass der Patch vor der öffentlichen Ankündigung eintrifft — und diese Reihenfolge hält nur, wenn die Patches auch wirklich rechtzeitig kommen. Project Glasswing ist vorerst in den Vereinigten Staaten und im Vereinigten Königreich verankert. Cloudflare, Mozilla, das UK AI Security Institute und XBOW sind die namentlich genannten Teilnehmer. Ein vergleichbares Koordinationsprogramm für Offenlegungen existiert in den meisten anderen Ländern nicht. Ob die Bugs, die das Modell in brasilianischen, indischen, japanischen oder koreanischen Software-Stacks findet, mit derselben Dringlichkeit behandelt werden, ist eine offene Frage.

Anthropic sagt, Project Glasswing werde auf weitere Partner ausgedehnt. Das Modell Mythos Preview selbst bleibt nicht am Markt, und das Unternehmen hat keinen Termin für eine öffentliche Veröffentlichung genannt; jeder breitere Einsatz würde nach dem aktuellen Selbstverständnis Schutzmaßnahmen erfordern, die heute noch nicht existieren. Ein zweites Update wird für später im Jahr 2026 erwartet. Die Kennzahl, die man im Blick behalten sollte, wird nicht sein, wie viele Bugs eine KI finden kann. Sie wird sein, wie viele davon die Menschen am anderen Ende Zeit hatten zu beheben.

Mehr davon

Eine vergiftete VS-Code-Erweiterung stahl 3.800 interne GitHub-Repositories

Ein Scan von 380.000 mit KI gebauten Apps findet Tausende ohne jede Authentifizierung

Megalodon machte GitHub Actions zur Hintertür für 5.561 Repositorys

Ein Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen