Anthropic verschiebt die Sprachregelung zu seinem Cybersicherheits-Modell. Am 22. Mai meldete der KI-Konzern auf X, dass Mythos-class Modelle nach der Entwicklung neuer Sicherheitsmechanismen in einen General Release gehen sollen. Einen Tag später tauchten Spuren des Modells unter dem Bezeichner „claude-mythos-1-preview“ in Claude Code und Claude Security auf.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das ist ein hörbarer Tonwechsel. Mythos Preview war im April 2026 explizit als restringiertes Forschungsmodell gestartet. Anfangs hatten elf Launch-Partner und rund vierzig zusätzliche Organisationen Zugang. Ein breiterer Vertrieb war ausdrücklich nicht geplant. Diese Linie hält Anthropic offiziell nicht mehr.

Das Wichtigste in Kürze

  • Anthropic kündigt am 22. Mai 2026 einen späteren General Release für Mythos-class Modelle an.
  • Project Glasswing meldet seit April über 10.000 high- und critical-severity Vulnerabilities in essenzieller Software.
  • 1.596 koordinierte Vulnerability Disclosures über 281 Open-Source-Projekte, davon 97 bereits gepatcht.
  • Spuren des Modells „claude-mythos-1-preview“ tauchten am 23. Mai temporär in Claude Code und Claude Security auf.

Was hat sich am 22. und 23. Mai geändert?

Eine geöffnete, massive Rundtür eines Banktresors aus Stahl mit Scharnieren und Handrad
Anthropic kündigt General Release von Mythos-class Modellen an, sobald Sicherheitsvorkehrungen implementiert sind. Das widerspricht früheren Aussagen zur permanenten Beschränkung

Den Anstoß lieferte ein Tweet des offiziellen Anthropic-Accounts. Darin heißt es sinngemäß, sobald die nötigen Safeguards stehen, sollen Mythos-class Modelle als General Release verfügbar werden. Das ist ein deutlicher Bruch zur Aprilkommunikation, in der Anthropic Mythos als dauerhaft restringiert beschrieb. Parallel dokumentierten TestingCatalog und mehrere Quellen, dass „claude-mythos-1-preview“ kurzzeitig in der UI sichtbar war und ein neuer Zugriffshinweis hinterlegt war: „Access to the Claude Mythos model in Claude Code and Claude Security“.

Wie viele Schwachstellen hat Mythos seit April gefunden?

Küken mit Helm neben grünem Schild, das auf einen Datenpunkt zeigt
Anthropic und Glasswing identifizierten in sechs Wochen über zehntausend kritische Schwachstellen in Open-Source-Software, 1.596 offiziell gemeldete Vulnerabilities in 281 Projekten

Die Zwischenbilanz ist ungewöhnlich. Anthropic und die Glasswing-Partner haben in sechs Wochen über zehntausend hoch- oder kritisch-eingestufte Schwachstellen in essenzieller Software identifiziert. Die koordinierte Disclosure-Dashboard nennt 1.596 offiziell gemeldete Vulnerabilities über 281 Open-Source-Projekte. 97 davon sind bereits gepatcht.

Darunter finden sich altbekannte Klassiker. Eine 27 Jahre alte OpenBSD-Lücke etwa, die einen Remote-Crash mit einer einzigen Verbindung erlaubt. Eine 16 Jahre alte FFmpeg-Schwachstelle in Code, den automatisierte Scanner laut Anthropic fünf Millionen Mal überprüft hatten.

Was bedeutet die Öffnung für deutsche Sicherheitsbehörden und KRITIS?

Geöffneter Safe mit oranges Vorhängeschloss, Schlüssel und Schild, weißer Hintergrund
CISOs in KRITIS-Sektoren integrieren Glasswing-Disclosure-Liste in Patch-Workflow. Anthropic-Modelle für Mittelständler meist zu teuer

Für CISOs in KRITIS-Sektoren stellt sich die operative Frage zuerst. Wer auf einem essenziellen Open-Source-Stack aufsetzt, sollte die Glasswing-Disclosure-Liste in den Patch-Workflow integrieren. Anthropics Geschäftsmodell zeigt, dass Mythos Preview mit dem fünffachen Preis von Opus 4.6 gehandelt wird. Für die meisten Mittelständler kommt der direkte Einsatz also vorerst nicht in Frage. Indirekt wirkt das Modell trotzdem, weil die gepatchten Schwachstellen in jedem Linux-Server, Browser und WebApp-Framework landen, das in deutschen Rechenzentren läuft.

Auf Behördenebene gibt es eine zweite Spur. Anthropic verhandelt mit der EU über die Einstufung von Mythos als reguliertes Sicherheits-Asset. Wenn diese Verhandlungen erfolgreich enden, könnten BSI, BaFin und vergleichbare Stellen den Zugang strukturiert beziehen, ohne in den freien Markt zu treten.

Mythos verändert die ökonomische Gleichung der Schwachstellensuche. Was vor zwei Jahren ein 90-Tage-Mannfortprojekt war, läuft heute in 90 Minuten ab. Das hebt die Latte für jeden, der heute kommerzielle Software ausliefert. Wer 2026 noch glaubt, ein VDP-Programm sei optional, wird die Mythos-Welle nicht überleben.

— Michael Dobler, Herausgeber Dr. Web

Wie passt das zum AI Act?

Holzstempel mit grünem Griff und Aufdruck: „MYTHOS - ERLAUBT NACH AI ACT“
Mythos-class unterliegt EU-Regulierung durch Dual-Use-Regeln, GPAI-Schwellen und KRITIS-Einsatz. Logging- und Auditpflichten sind erforderlich

Der AI Act kennt die Kategorie Hochrisiko-KI für Cybersicherheit nicht als eigenen Tatbestand. Trotzdem fällt Mythos-class in mehrere Bereiche, die der EU-Rahmen reguliert. Dual-Use-Aspekte einer Schwachstellen-Suche, Compute-Klassen jenseits der GPAI-Schwelle und der Einsatz in KRITIS-Sektoren stehen alle unter Beobachtung. Wer Mythos in der EU einsetzt, sollte die Logging- und Auditpflichten frühzeitig aufstellen, sonst entsteht beim Public-Release-Stichtag ein regulatorischer Overhang. Die EU-Mythos-Verhandlungen geben dafür eine Vorlage. Ohne klare Kontrolle wird kein deutsches Sicherheitsbehörden-Setup das Modell einsetzen.

Die Lage bleibt offen. Anthropic spricht von „naher Zukunft“, nennt aber keinen Stichtag. Bis zur Verfügbarkeit zählt die Disclosure-Liste. CISOs in deutschen Mittelständlern sollten die laufenden Patches in OpenSSL, Linux Kernel, FFmpeg und nginx priorisiert behandeln. Wer das verschleppt, wird vom nächsten Glasswing-Update überrollt.


Mehr zu Cybersecurity

Glossar Cybersecurity

Mehr Newshunger?

Ein großes, aus bedruckten Papierstreifen (Zeitungen) geformtes Osterei steht mittig auf weißem Grund. Oben auf dem Ei sitzt ein oranger Origami-Vogel. In seinem Schnabel hält er eine kleine Papierrolle mit der Aufschrift „NEUIGKEITEN“
Der Louvre nutzte das Passwort „Louvre“. DIHK meldet Konjunkturprognose 0,3 Prozent. Anthropic erzielte Q2 2026 erstmals Gewinn

Quellen

Anthropic – Tweet vom 22.05.2026 – x.com/AnthropicAI – besucht am 27.05.2026
TestingCatalog – Anthropic prepares Mythos 1 for Claude Code and Claude Security – testingcatalog.com/anthropic-prepares-mythos-1-for-claude-code-and-claude-security – besucht am 27.05.2026
CybersecurityNews – Anthropic’s Restricted Claude Mythos Moves Toward Public Release – cybersecuritynews.com/claude-mythos-moves-toward-public – besucht am 27.05.2026
Anthropic – Claude Mythos Preview – red.anthropic.com/2026/mythos-preview – besucht am 27.05.2026

4,5 11 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail