Test

KI-Governance

Anthropic Mythos und Project Glasswing: Ein neues Kastensystem für Cyberverteidigung

Anthropics Mythos und Project Glasswing teilen die globale Cyberverteidigung. Markenhersteller stehen auf der falschen Seite der Asymmetrie.

C Carlos Martínez Barriga 4 min read
Dark server room with blue network lights illustrating Anthropic Mythos AI cybersecurity model and Project Glasswing restricted access tier
Anthropics Mythos und Project Glasswing verändern, wer Schwachstellen zuerst zu sehen bekommt.
Inhaltsverzeichnis

Kurzfassung

  • Anthropics Mythos-Modell findet Schwachstellen besser als fast alle menschlichen Spezialisten und hat bereits Tausende kritische Bugs in Betriebssystemen und Browsern aufgespürt.

  • Project Glasswing beschränkt den Zugang auf rund 40 Firmen — AWS, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia, Palo Alto Networks, JPMorgan Chase. Keine europäische Bank, Behörde oder Cyberagentur ist dabei.

  • Für Markenhersteller mit alten ERP-, MES- und SCADA-Stacks ist nicht das Modell das Risiko, sondern die Asymmetrie.

Anthropic hat still das wichtigste Cybersicherheitsasset des Jahres aufgebaut, und der größte Teil der Welt darf es nicht anfassen. Mythos, ein Frontiermodell für Schwachstellensuche, wird über das kontrollierte Programm Project Glasswing verteilt. Die Liste der Teilnehmer sagt mehr über das nächste Jahrzehnt der Cyberverteidigung als jede Produktseite.

Was Project Glasswing wirklich ist

Glasswing ist keine Beta. Es ist eine Kaste. Anthropic bestätigt Zugang für rund 40 Organisationen: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Linux Foundation, Microsoft, Nvidia und Palo Alto Networks bilden den technischen Kern. JPMorgan Chase ist das einzige bestätigte Finanzinstitut. Dario Amodei traf hochrangige Vertreter der Trump-Regierung im Weißen Haus, um eine Erweiterung zu besprechen. Die Antwort war ein klares Nein: Die Verwaltung blockierte den Vorschlag, das Programm auf rund 70 weitere Organisationen auszudehnen, mit Verweis auf Konzentrationsrisiken und Rechenkapazität.

Das US-Finanzministerium wollte hinein. EU-Finanzminister fordern Zugang öffentlich. Anbieter operativer Technologien — die Hersteller industrieller Steuerungen für Versorger, Raffinerien und Werke — äußern, was Nextgov unverblümt als Verärgerung bezeichnet.

Warum das ein Hersteller- und kein Big-Tech-Problem ist

Innerhalb der 40 wird Mythos zu einer präventiven Intelligenzschicht. Patches kommen vor Exploits. Außerhalb der 40 ist jede Codebasis faktisch ein Forschungsumfeld für dieselben Techniken, weil die Schwachstellenklassen, die Mythos findet, später in Angriffswerkzeugen auftauchen. Rest of World berichtet, dass derzeit keine europäische Bank, Regierung oder Cyberbehörde am Programm teilnimmt. Das ist keine Fußnote. Das ist die Karte.

Markenhersteller sitzen im am stärksten exponierten Quadranten. Ihre ERP-Installationen sind oft ein Jahrzehnt alt. MES- und SCADA-Schichten entstanden vor dem Zeitalter des KI-Red-Teamings. Lieferanten arbeiten über geteilte Portale, die niemand im großen Maßstab gefuzzt hat. Nichts davon wird unter Glasswing-Bedingungen geprüft — sondern erst durch das, was drei bis neun Monate später frei zirkuliert.

Epinium-Daten

In den 60+ Markenherstellern, die wir in über fünf Jahren begleitet haben, enthält der durchschnittliche IT/ERP-Stack mehr als 14 Jahre angesammelten Legacy-Code — genau die Oberfläche, die KI-Schwachstellenscanner wie Mythos zuerst freilegen.

Die Asymmetrie, mit der jeder CISO planen sollte

Glasswing schafft eine zweistufige Verteidigungswirtschaft. Stufe eins: Hyperscaler und wenige Partner patchen still mit Modellfunden. Stufe zwei: Alle anderen erben eine feindlichere Angriffsfläche ohne entsprechendes Teleskop. Die strategische Frage lautet nicht, ob man auf Zugang wartet, sondern wie das Fenster zwischen Veröffentlichung und Behebung verkürzt wird, wenn man strukturell auf der langsamen Seite steht. Für eine vertiefende Sicht auf Legacy-Risiken siehe unsere Analyse zur IT-Bereitschaft im KI-Zeitalter.

Was ist Anthropics Mythos-Modell?

Mythos ist ein Frontiermodell von Anthropic, spezialisiert auf das Aufspüren und Ausnutzen von Softwareschwachstellen. Laut Anthropic hat es bereits Tausende kritische Fehler entdeckt, auch in allen großen Betriebssystemen und Browsern. Es wird ausschließlich über Project Glasswing verteilt.

Wer hat Zugang zu Project Glasswing?

Rund 40 Organisationen, darunter AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Linux Foundation, Microsoft, Nvidia und Palo Alto Networks. JPMorgan Chase ist das einzige bestätigte Finanzinstitut. Keine europäische Bank, Regierung oder Cyberbehörde wurde als Teilnehmer bestätigt.

Warum hat das Weiße Haus die Ausweitung gestoppt?

Hochrangige Vertreter verwiesen auf Konzentrationsrisiken für die nationale Sicherheit und begrenzte Rechenkapazität bei einer Erweiterung auf rund 70 weitere Organisationen. Das Programm bleibt eng, während das US-Finanzministerium und EU-Pendants weiter Zugang fordern.

Betrifft Mythos Markenhersteller direkt?

Ja, indirekt aber spürbar. Hersteller sind selten in Glasswing, doch ihre ERP-, MES- und SCADA-Systeme teilen Codeherkunft mit auditierter Software. Heute privat aufgedeckte Schwachstellenklassen erscheinen oft in wenigen Monaten in öffentlichen Exploit-Kits.

Was sollten Hersteller-IT-Teams jetzt tun?

Legacy-Komponenten inventarisieren, Lieferantenexposition mappen, Patch-Kadenzen beschleunigen und KI-gestütztes Red-Teaming als Basiskontrolle behandeln statt als Zukunftsoption. Die Verteidigungslücke wächst schneller als jährliche Budgetzyklen.

Glasswing wird nicht ewig so klein bleiben, doch der Präzedenzfall — dass Frontier-Sicherheitsintelligenz per Vertrag und nicht per Kauf zugeteilt wird — ist die bleibende Veränderung. Wer sich auf die Asymmetrie vorbereitet und nicht auf den eventuellen Zugang, taucht in der nächsten Breach-Liste nicht auf.

Sorge, dass Ihr Legacy-Stack zur Belastung wird? Mythos-Klasse-Scanner werden den Abstand zwischen Glasswing-Insidern und allen anderen weiter vergrößern, und ERP/MES-Landschaften der Hersteller sind das weichste Ziel in dieser Lücke. Erfahren Sie, wie Epinium Transform die Schwachstellenexposition im KI-Zeitalter prüft →

#anthropic mythos #ki cybersecurity #ki governance #markenhersteller #project glasswing #schwachstellen