Das künstliche Intelligenz-Unternehmen Anthropic hat eine Cybersicherheitsinitiative namens Project Glasgow gestartet, die versucht, die fortschrittlichen Fähigkeiten seines neuen Grenzmodells Claude Mythos zu nutzen, um kritische Softwareausfälle zu entdecken und zu korrigieren. Anstatt diese Version auf die breite Öffentlichkeit zu bringen, hat sich das Unternehmen entschlossen, mit einer begrenzten Gruppe von Organisationen - darunter große Cloud-Lieferanten, Softwarehersteller und Finanzinstitute - zu arbeiten, um das Werkzeug im Schutz der wesentlichen Infrastruktur anzuwenden.
Wie vom Unternehmen selbst berichtet, zeigte Claude Mythos in seiner vorläufigen Version eine bemerkenswerte Fähigkeit, Code, Grund über Systeme zu analysieren und Ausbeutungssequenzen zu bauen, die die meisten menschlichen Experten auf der Suche nach Schwachstellen überwiegen würde. Dieser Sprung in der Kapazität stellt eine doppelte Lektüre dar: Zum einen kann er die Erkennung und das Patchen von Fehlern beschleunigen, bevor sie ausgenutzt werden; zum anderen führt er das Risiko ähnlicher Techniken ein, die in schädliche Hände fallen. Anthropic hat argumentiert, dass diese duale Dimension - das Potenzial zu verteidigen und gleichzeitig anzugreifen - der Hauptgrund ist, warum sie das Modell nicht offen verbreiten wird. Mehr zum öffentlichen Ansatz des Unternehmens finden Sie auf seinem Corporate Blog Beamte.
Das Unternehmen behauptet, dass Mythos Preview bereits Tausende von hocheffizienten Schwachstellen in großen Betriebssystemen und Browsern identifizierte, einschließlich historischer Fehler, die seit Jahren nicht auf Open Source-Projekten waren. In der Praxis zeigt das Detektieren von seitenweise latenten Fehlern zwei Dinge: zum einen das Vorhandensein von Risiken, die in kritischer Software anfallen; zum anderen, dass Fortschritte in IA-Modellen eine operative Kapazität erreichen, die grundlegende Hilfsaufgaben transzendiert und in praktische Bereiche der Ausbeutung und automatisierte Korrektur umgesetzt wird. Um konkrete Erkenntnisse und technischen Hintergrund zu vergleichen, ist es nützlich, die Sicherheitsseiten von Projekten zu konsultieren, die als OpenBSD oder der Sicherheitsbereich von Multimedia-Projekten wie FFmpeg.
Anthropische Geschenke Projekt Glasgow als eine dringende Antwort: Bevor feindliche Akteure ähnliche Techniken einschließen, ist die Idee, diese gleichen Werkzeuge zu verwenden, um Verteidigung zu stärken. Der Plan umfasst die Zusammenarbeit mit Top-Level-Unternehmen und Organisationen sowie die Vergabe von Modellnutzungskrediten und Spenden für Open-Source-Sicherheitsinitiativen. Es ist eine Verpflichtung, eine riskante technologische Kapazität in einen Verteidigungshebel zu verwandeln, der mit der Industrie koordiniert wird, eine Strategie, die sich an öffentlich-private Zusammenarbeit in der Cybersicherheit erinnert.
Die öffentliche Diskussion kann jedoch nicht von den jüngsten Episoden getrennt werden, die die eigene operative Widerstandsfähigkeit von Anthropic in Frage stellen. Vor der Ankündigung wurden versehentliche Filtrationen von Dokumentation und Code hergestellt: Vormaterialien auf Mythos wurden versehentlich zur Verfügung gestellt, und dann wurden Tausende von Quellcode-Dateien, die mit Claude Code verbunden sind, einige Stunden angezeigt. Diese Vorkommnisse zeigen, dass selbst wenn eine Organisation den Zugang zu sensiblen Technologien einschränkt, menschliche Fehler oder Fehler in internen Prozessen zu problematischen Divulgenzen führen können.
Der Vorfall mit Claude Code zeigte auch ein bestimmtes Sicherheitsproblem im Verhalten des Agenten, der Befehle auf Entwicklermaschinen betreibt. Ein externer Sicherheitsbericht stellte fest, dass das System aus Leistungsgründen aufgehört hat, bestimmte Denialregeln anzuwenden, wenn ein Befehl mehr als 50 Unterbefehle enthielt. In der Praxis könnte ein Schutz zur Blockierung einer gefährlichen Anweisung vermieden werden, wenn eine solche Anweisung zusammen mit einer langen Liste an scheinbar harmlosen Sätzen eingeführt wurde. Es ist ein klares Beispiel für die Spannung zwischen Leistung, Kosten und Sicherheit: Das Opfer umfassender Kontrollen durch Geschwindigkeit kann die Verknüpfungen öffnen, die die Angreifer ausnutzen. Um diese Arten von Schwachstellen und ihre Auswirkungen auf Software-Ökosysteme zu kontextualisieren, sollten Ressourcen wie die Datenbank der Schwachstellen der CVE oder Publikationen von Organisationen, die die Sicherheit in der künstlichen Intelligenz untersuchen.
Die Situation hebt ethische und regulatorische Fragen mit praktischen Auswirkungen auf. Wer entscheidet, welche Modelle zur Bewertung kritischer Infrastruktur und unter welchen Bedingungen genutzt werden können? Wie kann die Notwendigkeit einer Sicherheitstransparenz mit der Gefahr der Verbreitung von Methoden vereinbar sein, die von Angreifern wiederverwendet werden könnten? Im Falle von Anthropic war die Antwort darauf, den Zugang zu beschränken, gemeinsame Vereinbarungen mit wichtigen Akteuren und Finanzen in der offenen Sicherheitsgemeinschaft zu etablieren. Diese Maßnahmen entsprechen der Idee, dass die Steuerung von Grenztechnologien sowohl technische Kontrollen als auch Kooperationskanäle zwischen Unternehmen, Open Source-Projekten und Regierungen umfassen sollte.
Die betrieblichen Zwänge ersetzen jedoch nicht die Notwendigkeit unabhängiger Audits, klarer politischer Rahmenbedingungen und Gestaltungssicherheitspraktiken. Modelle, die über Code und Build-Ausbeuten autonome erfordern robustere Sicherheitskontrollen, von Penetrationstests von Drittanbietern bis zu internen Richtlinien, die eine versehentliche Exposition sensibler Informationen verhindern. Darüber hinaus müssen die technischen Gemeinschaft und die politischen Entscheidungsträger darüber diskutieren, wie Innovation mit Schutzmaßnahmen ausgeglichen werden kann: Die Spenden von Ressourcen und Krediten an Open-Source-Sicherheitsprojekte können helfen, aber sie löst nicht an sich das breitere Problem der Governance und Rechenschaftspflicht.
Ein weiterer Aspekt ist die Geschwindigkeit, mit der diese Fähigkeiten sich aus allgemeinen Verbesserungen im Code-Schreiben und automatischen Denkens ergeben, anstatt aus der Ausbildung, die speziell auf Fehlerausfälle abzielt. Dies bedeutet, dass Modelle, die bei der Programmierung wesentlich kompetenter werden, in Sicherheitsbereichen unbeabsichtigte Folgen haben können. Die Herausforderung für Unternehmen, die IA entwickeln, besteht darin, diese Nebenwirkungen zu antizipieren und zu mildern, ohne die Forschung zu stoppen.
Letztendlich zeigt der Fall von Project Glasgow und Claude Mythos eine praktische Lektion: Die Zeit, in der Cybersicherheit nur menschliche Fehler oder Softwarefehler ausgesetzt ist, verändert sich. Automatisierte Tools erscheinen nun mit der Fähigkeit, Schwachstellen auf einer Skala zu finden, auszunutzen und entscheidend zu helfen, die koordinierten Antworten erfordert. Informationen Ã1⁄4ber die Medienberichterstattung und Analyse dieser Ereignisse in spezialisierten Medien finden Sie im Technologiebereich der Informationsagenturen. Reuters oder die Überwachung großer Projekte und Stiftungen auf Seiten wie Linux Foundation die häufig an kollaborativen Sicherheitsinitiativen beteiligt sind.
Die Kombination aus verantwortungsvoller Transparenz, externem Audit, Investitionen in die Sicherheitsgemeinschaft und klaren Regeln für den Einsatz leistungsfähiger Modelle scheint heute der umsichtigste Weg. Inzwischen muss das Ökosystem lernen, mit Werkzeugen zu leben, die sowohl eine Hoffnung sind, kritische Systeme zu verteidigen als auch eine Warnung über die Macht der Automatisierung, wenn nicht mit angemessenen Kontrollen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...