Es gibt einen Moment in der Technologiegeschichte, an dem du spürst, dass sich etwas fundamental verschoben hat. Nicht graduell, nicht inkrementell, sondern mit einem Knall. Ich glaube, dieser Moment ist jetzt eingetreten. Und er betrifft ein KI-Modell, das du als normaler Nutzer niemals in die Finger bekommen wirst.
Anthropic hat am 9. April 2026 Project Glasswing angekündigt, und ich war ehrlich gesagt einen Moment still, als ich die Details überflogen habe. Nicht weil es ein weiteres Modell-Release ist. Sondern weil Anthropic damit erstmals öffentlich erklärt: Wir haben etwas entwickelt, das zu mächtig ist, um es zu veröffentlichen.
Das Modell heißt Claude Mythos Preview, abgeleitet vom altgriechischen Begriff für „Erzählung“ oder „narratives System“. Die Ironie dahinter ist groß: Ein Modell, das mit keiner Geschichte aufwartet, die es in der Öffentlichkeit zu erzählen gibt.
Was ist Project Glasswing überhaupt?
Glasswing ist eine Initiative, die Anthropic gemeinsam mit elf weiteren Unternehmen gestartet hat. Die Mitglieder lesen sich wie das Who’s who der globalen Tech-Infrastruktur: Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks.
Das Ziel dieser Koalition: die kritischste Software der Welt abzusichern, bevor Angreifer dieselben KI-Fähigkeiten nutzen, die Anthropic gerade demonstriert hat.
Warum ein Schmetterling als Namensgeber? Der Glasswing-Schmetterling (Greta oto) besitzt transparente Flügel, die ihn vor Feinden verbergen. Die Metapher funktioniert in beide Richtungen: Einerseits stehen die Schwachstellen für die versteckten Bugs, die jahrzehntelang unentdeckt blieben. Andererseits steht die Transparenz für Anthropics Ansatz, offen zu kommunizieren, was dieses Modell kann und warum es nicht für die Allgemeinheit bereitgestellt wird.
Ich finde das keine Marketingspielerei. Das ist eine der wenigen Ankündigungen in der KI-Industrie, bei der mir das Namenskonzept tatsächlich schlüssig erscheint.
Claude Mythos Preview: Was kann das Modell wirklich?
Lass mich direkt auf die technischen Fakten eingehen, denn hier wird es unangenehm interessant.
Anthropic und die Partnerunternehmen haben Mythos Preview in den vergangenen Wochen eingesetzt und dabei tausende Zero-Day-Schwachstellen identifiziert. Viele davon kritisch, und zwar in jedem großen Betriebssystem und jedem großen Webbrowser sowie in einer Reihe weiterer wichtiger Softwaresysteme.
Das klingt abstrakt? Drei konkrete Beispiele aus der offiziellen Dokumentation, die ich für besonders aufschlussreich halte:
Mythos Preview entdeckte eine 27 Jahre alte Schwachstelle in OpenBSD, einem Betriebssystem, das als eines der sichersten der Welt gilt und unter anderem für Firewalls und kritische Infrastruktur eingesetzt wird. Die Lücke erlaubte es einem Angreifer, jede Maschine mit diesem Betriebssystem per Fernzugriff zum Absturz zu bringen.
Dazu kommt eine 16 Jahre alte Schwachstelle in FFmpeg, einer Bibliothek, die in unzähligen Anwendungen zur Video-Kodierung und -Dekodierung genutzt wird. Automatisierte Tests hatten dieselbe Codezeile fünf Millionen Mal durchlaufen, ohne das Problem je zu entdecken.
Und schließlich hat das Modell autonom mehrere Schwachstellen im Linux-Kernel gefunden und miteinander verknüpft, um einen Angreifer von einfachem Benutzerzugriff auf vollständige Kontrolle über die Maschine zu heben.
Ich sage das nicht, um Panik zu erzeugen. Diese Schwachstellen wurden alle bereits an die Hersteller gemeldet und behoben. Aber du solltest verstehen, was das bedeutet: Ein KI-Modell hat in wenigen Wochen Sicherheitslücken gefunden, die jahrzehntealte menschliche Überprüfung und millionenfache automatisierte Tests überlebt haben.
Die Benchmark-Realität: Zahlen, die ich ernst nehme
Ich bin generell skeptisch gegenüber Benchmarks, weil Unternehmen ihr eigenes Modell gerne günstig beleuchten. Bei Glasswing kommen aber Bewertungen von unabhängigen Partnern wie Microsoft und Google dazu, und die Zahlen sprechen für sich.
CyberGym (Cybersecurity Vulnerability Reproduction):
- Mythos Preview: 83,1%
- Claude Opus 4.6: 66,6%
Das ist kein marginaler Unterschied. Laut Anthropic unterstreichen diese Evaluierungsergebnisse den substanziellen Abstand zwischen Mythos Preview und dem nächstbesten Modell, Claude Opus 4.6.
SWE-bench Verified (Coding):
- Mythos Preview: 93,9%
- Claude Opus 4.6: 80,8%
Humanity’s Last Exam (mit Tools):
- Mythos Preview: 64,7%
- Claude Opus 4.6: 53,1%
Microsoft hat Mythos Preview gegen CTI-REALM, ihren eigenen Open-Source-Sicherheitsbenchmark, getestet und dabei substanzielle Verbesserungen gegenüber früheren Modellen festgestellt.
Was mich dabei am meisten beschäftigt: Anthropic stellt fest, dass die Fähigkeiten von Mythos Preview direkt aus seinen starken agentischen Coding- und Reasoning-Fähigkeiten resultieren. Das Modell hat die meisten dieser Schwachstellen vollständig autonom gefunden, ohne menschliche Steuerung.
Das ist der Punkt, an dem ich einen Schritt zurücktrete.
Warum dieses Modell nicht für die Öffentlichkeit ist
Ich habe in den vergangenen Jahren viele KI-Ankündigungen begleitet und kommentiert. Die übliche Dramaturgie: Ein Unternehmen veröffentlicht ein Modell, erklärt warum es das beste ist, und ein paar Monate später kommt das nächste. Mythos Preview durchbricht diese Logik.
Anthropic plant nicht, Claude Mythos Preview allgemein verfügbar zu machen. Das langfristige Ziel ist es, Nutzern die Möglichkeit zu geben, Mythos-class-Modelle sicher einzusetzen, aber dafür müssen zunächst Cybersecurity-Safeguards entwickelt werden, die die gefährlichsten Outputs erkennen und blockieren.
Das ist eine ungewöhnlich ehrliche Aussage für ein Unternehmen, das im Wettbewerb mit OpenAI, Google DeepMind und anderen steht. Kein „Wir veröffentlichen es bald“, kein „Mit den richtigen Nutzungsbedingungen ist es sicher“. Stattdessen: Dieses Modell bleibt vorerst unter Verschluss.
Anthropic plant, neue Safeguards mit einem kommenden Claude Opus-Modell einzuführen, um diese zu verbessern und zu verfeinern, bevor sie bei einem Modell eingesetzt werden, das dasselbe Risikopotenzial wie Mythos Preview aufweist.
Was mich dabei nachdenklich stimmt: Wenn das nächste Opus-Modell als Testumgebung für Sicherheitsmechanismen dient, bevor man Mythos freigibt, dann reden wir über einen Zeitraum von mehreren Quartalen. Anthropic will offensichtlich nicht wiederholen, was in der Vergangenheit passiert ist: Fähigkeiten veröffentlichen, Konsequenzen erst danach verstehen.
Was das für die Cybersecurity-Landschaft bedeutet
Der CISO von Cisco, Anthony Grieco, bringt es auf den Punkt: KI-Fähigkeiten haben eine Schwelle überschritten, die die erforderliche Dringlichkeit beim Schutz kritischer Infrastruktur fundamental verändert. Die alten Methoden zur Systemabsicherung sind nicht mehr ausreichend.
Ich arbeite täglich mit EPU und KMU in der DACH-Region, die sich fragen, ob KI für sie relevant ist. Diese Frage ist ab heute anders zu beantworten. Es geht nicht mehr nur darum, ob du KI in deinem Betrieb nutzt. Es geht darum, dass die Software, auf der dein Betrieb läuft, in einer Welt existiert, in der KI-Modelle Sicherheitslücken schneller finden und ausnutzen können als menschliche Teams sie schließen.
CrowdStrike-CTO Elia Zaitsev drückt das klar aus: Das Zeitfenster zwischen der Entdeckung einer Schwachstelle und ihrer Ausnutzung durch Angreifer ist kollabiert. Was früher Monate dauerte, geschieht heute mit KI in Minuten.
Das ist kein theoretisches Szenario. Das ist die Realität, für die Project Glasswing gerade aufgebaut wird.
Die 100-Millionen-Dollar-Frage: Wer profitiert wirklich?
Anthropic stellt im Rahmen von Project Glasswing bis zu 100 Millionen US-Dollar in Usage Credits für Mythos Preview zur Verfügung. Zusätzlich fließen 4 Millionen Dollar als direkte Spenden an Open-Source-Sicherheitsorganisationen.
Konkret: 2,5 Millionen Dollar gehen an Alpha-Omega und OpenSSF über die Linux Foundation, weitere 1,5 Millionen Dollar an die Apache Software Foundation, damit die Maintainer kritischer Open-Source-Software auf die veränderte Bedrohungslandschaft reagieren können.
Das ist wichtig, weil Open-Source-Software das Fundament des modernen Internets bildet. Jim Zemlin von der Linux Foundation stellt fest, dass Open-Source-Maintainer, deren Software den Großteil der kritischen Infrastruktur weltweit unterstützt, historisch gesehen bei Sicherheitsfragen auf sich allein gestellt waren. Security-Expertise war bisher ein Luxus, den sich nur Organisationen mit großen Security-Teams leisten konnten.
Wenn du WordPress-Plugins verwendest, auf Apache-Servern hostest oder Linux-basierte Systeme nutzt: Diese Initiative arbeitet gerade daran, die Software, auf der du täglich aufbaust, sicherer zu machen. Nicht hypothetisch, sondern aktiv.
Eine kritische Einschätzung: Was ich dabei nicht vergessen darf
Ich wäre nicht fair, wenn ich das alles ohne Gegengewicht stehen lassen würde.
Anthropic ist nicht neutral. Sie sind ein kommerzielles Unternehmen mit Investoren und Wettbewerbsdruck. Die Entscheidung, Mythos Preview nicht zu veröffentlichen, ist gleichzeitig eine PR-Strategie: Sie positionieren sich als das verantwortungsvolle KI-Unternehmen in einer Branche, in der Verantwortung oft als Bremsklotz gilt. Das ist klug. Ob es vollständig aufrichtig ist, kann ich von außen nicht beurteilen.
Die Koalition ist mächtig, aber nicht repräsentativ. Zwölf Unternehmen, allesamt amerikanisch, allesamt groß. Europäische Datenschutzbehörden, staatliche Institutionen aus der EU oder kleinere Länder sind nicht dabei. Wenn diese Koalition Standards für Cybersecurity im KI-Zeitalter setzt, dann setzt sie diese nach amerikanischen Interessen.
Die „Safeguards“ bleiben vage. Anthropic erklärt, was die Safeguards leisten sollen: gefährliche Outputs erkennen und blockieren. Wie das technisch funktioniert, wann die Kriterien erfüllt sind, und wer das unabhängig überprüft, bleibt offen. Das ist ein echter Kritikpunkt.
Und trotzdem: Bei aller berechtigten Skepsis halte ich die Grundrichtung für richtig. Anthropic selbst sagt, dass keine einzelne Organisation diese Cybersecurity-Probleme alleine lösen kann. Frontier-KI-Entwickler, andere Software-Unternehmen, Sicherheitsforscher, Open-Source-Maintainer und Regierungen weltweit haben alle wesentliche Rollen zu spielen.
Das ist nicht die Sprache eines Unternehmens, das Alleinherrschaft anstrebt. Das ist die Sprache eines Unternehmens, das zumindest rhetorisch verstanden hat, dass es hier um mehr geht als um Marktanteile.
Was Anthropic als nächstes plant
Project Glasswing ist als langfristige Initiative konzipiert. Die Partner werden Zugang zu Claude Mythos Preview erhalten, um Schwachstellen in ihren Kernsystemen zu finden und zu beheben. Die geplanten Aufgabenbereiche umfassen lokale Schwachstellenerkennung, Black-Box-Testing von Binärdateien, die Absicherung von Endpoints und Penetration Testing.
Innerhalb von 90 Tagen wird Anthropic öffentlich über die Ergebnisse berichten: welche Schwachstellen behoben wurden, was gelernt wurde, und was offengelegt werden kann. Geplant ist auch eine Zusammenarbeit mit führenden Sicherheitsorganisationen, um praktische Empfehlungen zu entwickeln, wie sich Security-Praktiken im KI-Zeitalter weiterentwickeln müssen.
Die Bereiche, die dabei auf den Tisch kommen:
- Vulnerability-Disclosure-Prozesse
- Software-Update-Prozesse
- Open-Source- und Supply-Chain-Security
- Secure-by-Design-Praktiken im Software Development Lifecycle
- Standards für regulierte Industrien
- Triage-Skalierung und Automatisierung
- Patching-Automatisierung
Das ist keine vage Absichtserklärung. Das ist ein Arbeitsprogramm. Ob es in dieser Breite umgesetzt wird, werden wir in den nächsten Quartalen sehen.
Was das für dich als EPU oder KMU bedeutet
Du bist kein Security-Experte. Du betreibst kein globales Rechenzentrum. Warum sollte dich das also beschäftigen? Ich übrigens auch nicht.
Weil du auf Software aufbaust, die andere gebaut haben. Jedes WordPress-Backend, jeder SaaS-Anbieter, jede Cloud-Instanz, die du nutzt, läuft auf Betriebssystemen und Bibliotheken, die potenziell solche Schwachstellen enthalten. Die gute Nachricht: Project Glasswing arbeitet daran, diese Lücken zu schließen. Die schlechte: Es gibt keine Garantie, dass das schneller geht als Angreifer, die ähnliche Modelle nutzen.
Meine konkrete Empfehlung für jetzt:
- Updates konsequent durchführen. Klingt banal, aber die drei Schwachstellen, die Mythos Preview gefunden hat, sind alle gepatcht worden. Patches nützen dir nichts, wenn du sie nicht einspielst.
- SaaS-Anbieter kritisch befragen. Frag deinen Hosting-Anbieter, deinen CRM-Hersteller, deinen Newsletter-Dienst: Was ist ihr Prozess bei kritischen Sicherheitsupdates? Wie schnell reagieren sie?
- Zwei-Faktor-Authentifizierung überall. Nicht optional. Wirklich überall. Auch wenn der Angriff auf die Software-Ebene zielt, ist dein Account die letzte Verteidigungslinie.
Das sind keine revolutionären Tipps. Aber im Kontext von Glasswing bekommt „grundlegende Sicherheitshygiene“ eine neue Dringlichkeit.
Die eigentliche Botschaft
Anthropic hat offen kommuniziert: AI-Modelle haben ein Niveau an Coding-Fähigkeit erreicht, bei dem sie alle außer den fähigsten menschlichen Experten beim Auffinden und Ausnutzen von Software-Schwachstellen übertreffen. Die Ausbreitung dieser Fähigkeiten über Akteure hinaus, die sie sicher einsetzen, könnte ernsthafte Konsequenzen für Wirtschaft, öffentliche Sicherheit und nationale Sicherheit haben.
Das ist der eigentliche Kern von Project Glasswing. Nicht die Benchmark-Zahlen, nicht die 100 Millionen Dollar, nicht einmal die gefundenen Schwachstellen. Sondern die implizite Aussage:
Wir haben eine Technologie gebaut, die wir selbst für zu gefährlich halten, um sie frei zu lassen. Und wir haben beschlossen, das öffentlich zu sagen.
Ich halte das für einen der ehrlichsten Sätze, den ein KI-Unternehmen je gesagt hat.
Die nächsten Monate werden zeigen, ob auf diese Ehrlichkeit auch die entsprechenden Handlungen folgen. Ich werde es weiterverfolgen.
