Claude Mythos: Anthopic’s AI-Hacking-Modell schickt Cyber-Aktien auf Talfahrt
Die Aktien zahlreicher Cybersecurity- und Software-Unternehmen sind am Freitag deutlich unter Druck geraten. Auslöser ist die Vorstellung eines neuen KI-Modells des US-Entwicklers Anthropic mit dem Namen Claude Mythos Preview, das Sicherheitslücken in Software offenbar weitgehend autonom aufspüren und ausnutzen kann. Anleger fürchten, dass das System etablierte Geschäftsmodelle der Branche grundlegend infrage stellen könnte.
Der S&P-500-Index für Software und Dienstleistungen verlor am Freitag rund 1,6 Prozent und notiert seit Jahresbeginn fast ein Viertel im Minus. Ein viel beachteter Goldman-Sachs-Korb US-amerikanischer Software-Aktien gab am Freitag um etwa fünf Prozent nach. Besonders deutlich traf es spezialisierte Cybersecurity-Anbieter: Cloudflare verlor rund 14 Prozent, Akamai mehr als 16 Prozent, Okta knapp acht Prozent. Auch Palo Alto Networks (–5,2 Prozent), Fortinet (–4,4 Prozent), Zscaler (–4,1 Prozent), CrowdStrike (–3,2 Prozent) sowie Cisco (–2,0 Prozent) gerieten unter Druck.
| # | Unternehmen | Ticker | Börse | Kursentwicklung (Freitag) |
|---|---|---|---|---|
| 1 | CrowdStrike | CRWD | NASDAQ | ▼ 3,15% |
| 2 | Cisco | CSCO | NASDAQ | ▼ 2,00% |
| 3 | Cloudflare | NET | NYSE | ▼ 13,90% |
| 4 | Palo Alto Networks | PANW | NASDAQ | ▼ 5,24% |
| 5 | Fortinet | FTNT | NASDAQ | ▼ 4,35% |
| 6 | Akamai | AKAM | NASDAQ | ▼ 16,34% |
| 7 | Okta | OKTA | NASDAQ | ▼ 7,86% |
| 8 | Zscaler | ZS | NASDAQ | ▼ 4,07% |
Wie die Financial Times berichtet, hatten US-Finanzminister Scott Bessent und Fed-Chef Jay Powell bereits Anfang der Woche Vertreter mehrerer Großbanken einberufen, um die von Mythos ausgehenden Cyberrisiken zu erörtern. Auch die Bank of Canada veranstaltete dem Bericht zufolge ein Treffen mit Finanzaufsehern und Großbanken, bei dem das neue Modell zur Sprache kam.
Was Mythos so brisant macht
Anders als frühere Modelle stellt Anthropic Claude Mythos Preview ausdrücklich nicht allgemein zur Verfügung. Begründet wird dieser Schritt mit den Risiken, die im internen Testbetrieb sichtbar wurden. Das Modell ist nach Angaben des Unternehmens in der Lage, sogenannte Zero-Day-Schwachstellen – also bislang unbekannte Sicherheitslücken – nahezu vollständig autonom zu identifizieren und entsprechende Exploits zu entwickeln. Dabei soll es die Fähigkeiten aller außer den besten menschlichen Sicherheitsexperten übertreffen.
In internen Tests stieß Mythos auf tausende kritische Schwachstellen in gängigen Betriebssystemen und Webbrowsern. Drei Beispiele machte Anthropic öffentlich: eine 27 Jahre alte Lücke in OpenBSD, einem als besonders robust geltenden Betriebssystem für Firewalls und kritische Infrastruktur, die es erlaubte, betroffene Systeme allein über eine Netzwerkverbindung zum Absturz zu bringen; eine 16 Jahre alte Schwachstelle in der weit verbreiteten Video-Bibliothek FFmpeg, die automatisierte Testwerkzeuge zuvor fünf Millionen Mal ausgeführt hatten, ohne den Fehler zu bemerken; sowie mehrere verkettete Lücken im Linux-Kernel, mit denen ein Angreifer von einfachen Nutzerrechten zur vollständigen Systemkontrolle gelangen konnte. Alle drei Schwachstellen wurden den jeweiligen Entwicklern gemeldet und inzwischen geschlossen.
Project Glasswing mit Cyber-Firmen als Partner
Um die Fähigkeiten des Modells zumindest defensiv nutzbar zu machen, hat Anthropic die Initiative „Project Glasswing“ ins Leben gerufen. Über sie erhalten ausgewählte Partner Zugang zu Mythos, um eigene und Open-Source-Systeme auf Lücken zu prüfen. Zu den Gründungspartnern zählen unter anderem Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks. Mehr als 40 weitere Organisationen, die kritische Softwareinfrastruktur betreiben, sollen ebenfalls Zugriff bekommen. Anthropic stellt dafür Nutzungsguthaben in Höhe von bis zu 100 Millionen US-Dollar bereit und vergibt zusätzlich vier Millionen US-Dollar an Open-Source-Sicherheitsorganisationen.
