In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
Als BSI stehen wir mit Anthropic im Austausch. Testen konnten wir das Tool bisher nicht, haben aber im persönlichen Gespräch mit den Entwicklern einen Einblick in die Funktionsweise gewinnen können.
Dazu BSI-Präsidentin Claudia Plattner: "Wir nehmen die Ankündigungen sehr ernst und erwarten Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt. [2/x]
-
Als BSI stehen wir mit Anthropic im Austausch. Testen konnten wir das Tool bisher nicht, haben aber im persönlichen Gespräch mit den Entwicklern einen Einblick in die Funktionsweise gewinnen können.
Dazu BSI-Präsidentin Claudia Plattner: "Wir nehmen die Ankündigungen sehr ernst und erwarten Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt. [2/x]
Konsequent zu Ende gedacht könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben. Zudem stellt sich die Frage, ob - und wenn ja, wie lange - derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. Daraus wiederum ergeben sich Fragen nationaler wie europäischer Sicherheit und Souveränität." [3/3]
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
warum?
weg mit der Kacke!
habt ihr den Quellcode von Claude gesehen?
LLMs gehören wegreguliert, nicht als Schlangenöl auf beliebigen Code geschmissen -
Konsequent zu Ende gedacht könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben. Zudem stellt sich die Frage, ob - und wenn ja, wie lange - derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. Daraus wiederum ergeben sich Fragen nationaler wie europäischer Sicherheit und Souveränität." [3/3]
@bsi
> keine unbekannten klassischen Software-Schwachstellendie größte Softwareschwachstelle ist bekannt: der Endanwender
dieser Thread verdeutlicht das mal wieder exzellent
-
Konsequent zu Ende gedacht könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben. Zudem stellt sich die Frage, ob - und wenn ja, wie lange - derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. Daraus wiederum ergeben sich Fragen nationaler wie europäischer Sicherheit und Souveränität." [3/3]
@bsi
Soso. "mittelfristig". Aha. Interessante Vorstellung.
Was heisst das denn in diesem Zusammenhang: 2, 5, 10… Jahre? -
Konsequent zu Ende gedacht könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben. Zudem stellt sich die Frage, ob - und wenn ja, wie lange - derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. Daraus wiederum ergeben sich Fragen nationaler wie europäischer Sicherheit und Souveränität." [3/3]
@bsi Konsequent zu Ende gedacht könnte es mittelfristig Schwachstellen bei Anthropic zu kaufen geben.
-
Am besten gar nicht und ihr als BSI solltet mal langsam anfangen Deutsche oder Europäische Produkte und Firmen zu Födern und dafür zu sorgen das unsere Kritische Infrastruktur wieder in Deutschland Läuft und nicht in Amerika Anthropic steht aktuell vor einer doppelten Sicherheitskrise, die durch massive Software-Schwachstellen im eigenen Code-Assistenten und den Missbrauch des KI-Chatbots für Cyberangriffe auf Behörden gekennzeichnet ist. Im Februar 2026 enthüllte Check Point Research kritische Lücken in Claude Code, die Remote-Code-Ausführung und Diebstahl von API-Schlüsseln ermöglichten, während Gambit Security berichtete, dass Hacker im Dezember 2025 einen Claude-Chatbot nutzten, um mexikanische Behörden anzugreifen und etwa 150 Gigabyte sensibler Daten zu stehlen.
Neben diesen operativen Pannen sorgte die Ankündigung des neuen Modells Claude Mythos im April 2026 für massive Besorgnis, da es tausende bisher unentdeckte Sicherheitslücken in Betriebssystemen und Browsern autonom fand – darunter eine 27 Jahre alte Schwachstelle in OpenBSD. Aufgrund dieser beispiellosen Fähigkeiten zur Schwachstellenentdeckung und der dokumentierten Umgehung von Sicherheits-Sandboxes hat Anthropic die Veröffentlichung von Mythos vorläufig gestoppt und stattdessen einen exklusiven Zugang für Verteidigungsverbünde (u. a. Microsoft, Apple, Amazon) geplant.
Die Vorfälle werfen auch Fragen zur nationalen Sicherheit auf, nachdem der US-Kongressabgeordnete Josh Gottheimer nach wiederholten Quellcode-Lecks (unter anderem von über 2.000 Dateien und interner Dokumentation) Aufklärung gefordert hat. Während das deutsche BSI vor einer „unmittelbaren Gefahr für die IT-Infrastruktur" warnt und einen Wandel der Cyberbedrohungslage erwartet, hat Anthropic zudem eine Klage gegen die Einstufung als „Lieferkettenrisiko" durch das US-Pentagon eingereicht, die zuvor eine Nutzung durch US-Behörden untersagte. -
Konsequent zu Ende gedacht könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben. Zudem stellt sich die Frage, ob - und wenn ja, wie lange - derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. Daraus wiederum ergeben sich Fragen nationaler wie europäischer Sicherheit und Souveränität." [3/3]
@bsi das BSI haloziniert! Wenn Quantencomputer in der Zukunft ein mal statisch alle denkbaren Zustände einer Software durchprobieren kann, DANN kannst du sicher sein, alle Fehler gefunden zu haben.
Da aber niemals ALLE einen Quantencomputer ihr eigen nennen können werden, ist dass wahrscheinlich das Ende der freien Welt, wie wir sie HEUTE kennen.
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
Dafür stellen mittlerweile immanent wichtige Open Source Projekte ihr Bug Bounty Programme ein und nehmen keine Bug Meldungen mehr an, weil sie nur noch mit Ai Slope überschüttet werden, wobei 99% gar keine Bugs sind. Das ist dann das Gegenteil von "wird sicherer".
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
Alter, ihr kauft denen diesen PR-Unsinn ab? Und das OHNE auch nur mal selbst draufgeschaut zu haben??!??
Eine Schande! Schämt euch! -
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
@bsi Ich mache seit über 30 Jahren IT und kann gar nicht zählen wie oft irgendeine Technologie versprochen hat das bald alles sicher wird. Und immer hat jemand dann doch was neues gefunden. Toll das die KI jetzt Software bugs in Anwendungen findet, wie sieht es mit Sachen wie Bugs in Prozessoren aus deren Code man nicht kennt? Da kann die Anwendung noch so sicher sein. Ausserdem verlagern wir das Vertrauen nur vom Software-Hersteller auf den KI-Hersteller.
-
Konsequent zu Ende gedacht könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben. Zudem stellt sich die Frage, ob - und wenn ja, wie lange - derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. Daraus wiederum ergeben sich Fragen nationaler wie europäischer Sicherheit und Souveränität." [3/3]
@bsi
Da war doch irgendwas mit Halteproblem... 🤨 -
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
@bsi was haben sie euch für die werbung gezahlt? Oder wart ihr wirklich so naiv es für umsonst zu posten?
-
@bsi Konsequent zu Ende gedacht könnte es mittelfristig Schwachstellen bei Anthropic zu kaufen geben.
@flowrider @bsi Das ist IMHO das gruseligste Problem, da ja aktuell verzweifelt versucht wird, KI zu monetarisieren.
-
Dafür stellen mittlerweile immanent wichtige Open Source Projekte ihr Bug Bounty Programme ein und nehmen keine Bug Meldungen mehr an, weil sie nur noch mit Ai Slope überschüttet werden, wobei 99% gar keine Bugs sind. Das ist dann das Gegenteil von "wird sicherer".
Ich gebe mal ein konkretes Beispiel:
#curl is EVERYWHERE!!!!!
Curl ist quasi der kleine Stein im xkcd Comic, der das Internet zusammenhält. Es ist überall drin! Selbst auf dem Mars, um den Mond herum und in Atomkraftwerken genutzt.
Aber wie @bagder es auf der nächsten foss-north sicherlich dediziert darlegen wird, ist folgendes das Problem:
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
@bsi Naja, die meisten Sicherheistlücken, welche Claude Mythos gefunden haben, waren schon lange vorher bekannt. Es wird halt nichts in Softwaresicherheit investiert (kann man auch an den BSI toots über Citrix, Microsoftlücken usw. nachlesen).
Jeder (nicht nur Antrophic) kann so ein Modell erzeugen): 1) Static code analyzer, fuzzer über open source laufen lassen 2) Audit reports 3) Alles in einem LLM finetunen. Fertig. Das wird jeder großer Player mit einem Wimpernzug hinbekommen. -
@bsi Naja, die meisten Sicherheistlücken, welche Claude Mythos gefunden haben, waren schon lange vorher bekannt. Es wird halt nichts in Softwaresicherheit investiert (kann man auch an den BSI toots über Citrix, Microsoftlücken usw. nachlesen).
Jeder (nicht nur Antrophic) kann so ein Modell erzeugen): 1) Static code analyzer, fuzzer über open source laufen lassen 2) Audit reports 3) Alles in einem LLM finetunen. Fertig. Das wird jeder großer Player mit einem Wimpernzug hinbekommen.@bsi Da kommen allerdings dann keine neuen Lücken bei raus. Nur bekannte die nicht gefixed wurden, weil Geld gespart werden soll oder weil schon komplett abgedeckt durch Defense-in-Depth. Das Problem sind hier die Investitionen - bekannt sind die alle schon.
Der technische Anthropic Bericht übertreibt die Kritikalität, spart mit Details (ohje alles so schlimm können wir nicht teilen) und einige Fixes für kritischen Sicherheitslücken wurden durch ahem "update der Dokumentation" gefixt (botan) -
@bsi Da kommen allerdings dann keine neuen Lücken bei raus. Nur bekannte die nicht gefixed wurden, weil Geld gespart werden soll oder weil schon komplett abgedeckt durch Defense-in-Depth. Das Problem sind hier die Investitionen - bekannt sind die alle schon.
Der technische Anthropic Bericht übertreibt die Kritikalität, spart mit Details (ohje alles so schlimm können wir nicht teilen) und einige Fixes für kritischen Sicherheitslücken wurden durch ahem "update der Dokumentation" gefixt (botan)@bsi Die Kernellücke in BSD ist Panikmache. Niemand macht NFS über Internet verfügbar. Niemand sollte NFS ohne Authentifizierung und ohne Firewallregeln im privaten Netzwerk haben. Klar das solche Lücken einfach über Defense-in-Depth abgedeckt werden können => deswegen auch 20 Jahre keinen Fix (war sicher vorher bekannt). Dazu null Investionsbereitschaft von Softwarefriremn in Security (nur in Security wo ihr Geschäftsmodel bedroht wird)
-
@bsi Die Kernellücke in BSD ist Panikmache. Niemand macht NFS über Internet verfügbar. Niemand sollte NFS ohne Authentifizierung und ohne Firewallregeln im privaten Netzwerk haben. Klar das solche Lücken einfach über Defense-in-Depth abgedeckt werden können => deswegen auch 20 Jahre keinen Fix (war sicher vorher bekannt). Dazu null Investionsbereitschaft von Softwarefriremn in Security (nur in Security wo ihr Geschäftsmodel bedroht wird)
@bsi Meines Erachtens falscher Fokus (unbegründete Panik). Statdtdessen sollte man sich auf Microsegmentation, Internet Egress Filtering, besseres Patch Management, bessere Ausbildung, bessere Software ohne Sicherheitslücken, minimale Zugriffsrechte usw. fokussieren. Dann kann man viele Sachen abfangen, obwohl Lücken in der Software vorhanden sind.
Dazu müssen auch die großen Softwarefirmen für ihre Sicherheitslücken, über die das BSI regelmäßig berichtet, zur Verantwortung gezogen werden.
