Die wichtigste US-Cyberbehörde CISA prüft ihren eigenen Programmcode inzwischen mit einer KI von Anthropic. Genau dieses Modell findet Sicherheitslücken nicht nur, es kann sie auch ausnutzen. Für Entscheider im DACH-Raum steht damit eine unbequeme Frage der digitalen Souveränität im Raum.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Ein KI-Sicherheitsaudit im Herzen der US-Regierung zeigt, wie schnell sich die Cyberabwehr gerade verschiebt. Die US-Behörde CISA setzt laut der Nachrichtenagentur Reuters das Anthropic-Modell Mythos auf ihre eigenen Code-Repositorys an, um Schwachstellen aufzuspüren, bevor Angreifer sie finden.

Das Wichtigste in Kürze

  • CISA scannt Regierungscode mit Anthropics KI Mythos; erste Audits haben laut Reuters bereits zahlreiche Schwachstellen zutage gefördert.
  • Dasselbe Modell gilt in Fachberichten als ebenso stark darin, Lücken auszunutzen, wie sie zu finden.
  • Das BSI warnt, moderne KI finde Sicherheitslücken „auf Knopfdruck“, und fordert souveränen Zugang zu Spitzenmodellen.
  • Für Behörden und KRITIS-Betreiber im DACH-Raum wird die Abhängigkeit von US-KI zur NIS2- und Souveränitätsfrage.

Wie prüft eine KI den Code einer Cyberbehörde?

Schlüssel mit oranger „KI“-Aufschrift und einem Anhänger mit der Aufschrift „HACKER-HILFE VERTRAULICH“ auf weißem Hintergrund
KI-Modell findet automatisch Sicherheitslücken in Codebeständen. CISAs Team nutzt Mythos zur Schwachstellensuche in internen Repositorys gegen Spionage und Cyberkriminalität

Auf Knopfdruck durchsucht das Modell große Codebestände nach Fehlern. Das Attack-Surface-Evaluation-Team von CISA richtet Mythos auf interne Repositorys, um Einfallstore für ausländische Spione und Kriminelle zu schließen. Zwei der drei Reuters-Quellen berichten von zahlreichen bereits gefundenen Schwachstellen, ohne Details zu nennen.

Agentische Analyse unterscheidet Mythos von klassischen Scannern. Statt nur Signaturen abzugleichen, verfolgt das Modell Datenflüsse durch den Code und erkennt Logikfehler wie fehlende Autorisierungsprüfungen. Anthropic hat den Zugang zu Mythos im Jahr 2026 laut Branchenberichten auf rund 150 Organisationen in mehr als 15 Ländern ausgeweitet.

Eine KI, die Behördencode absichert, ist ein Fortschritt. Dass ausgerechnet dieselbe Technik auch der perfekte Angreifer ist, macht sie zur strategischen Abhängigkeit.

— Markus Seyfferth, Chefredakteur Dr. Web

Warum die beste Abwehr zugleich die schärfste Waffe ist?

Doppelnutzen ist der Kern der Geschichte. Fachanalysen beschreiben Mythos als außergewöhnlich stark darin, Schwachstellen zu finden und auszunutzen. Dieselbe Fähigkeit, die den Verteidiger stärkt, steht damit auch jedem Angreifer offen.

Kein Einzelfall: Schon Googles KI-Agent Big Sleep hat 2024 eine echte, zuvor unbekannte Lücke in der Datenbank SQLite entdeckt. Wie ein Kernel-Fehler 16 Jahre unentdeckt bleibt, hat zuletzt der Fall Januscape im Linux-Kernel gezeigt; wie manipulierte Webseiten Agenten kapern, dokumentiert die Analyse zu versteckten Befehlen im Quelltext.

Fehlbares Werkzeug: KI-Agenten handeln nicht immer im Sinn ihrer Betreiber, wie der Test von Claude Fable 5 auf der Vending-Bench vorgeführt hat. Ein Audit-Modell braucht deshalb menschliche Kontrolle über jeden Befund.

Anthropics Mythos: Wenn eine KI Behördencode prüft

Die US-Cyberbehörde CISA sucht mit einem KI-Modell nach Schwachstellen. Dieselbe Technik kann Lücken auch ausnutzen.

150+
Organisationen mit Mythos-Zugang
in mehr als 15 Ländern, Stand 2026 laut Branchenberichten.
Knopfdruck
So schnell findet KI Lücken
Formulierung der BSI-Präsidentin zur neuen Modellgeneration.
2-fach
Finden und ausnutzen
Mythos gilt in Fachberichten in beiden Rollen als stark.

Anthropic und die US-Regierung: eine Chronik

Februar 2026
Das Pentagon stuft Anthropic als Lieferketten-Risiko ein, nachdem das Unternehmen Schutzsperren gegen Waffen und Überwachung nicht lockern will.
März 2026
Ein Gericht stoppt die Einstufung als Risiko.
April 2026
Laut Berichten nutzt die NSA Mythos trotz des Pentagon-Vorbehalts.
Juli 2026
Reuters macht öffentlich, dass CISA mit Mythos den Regierungscode auditiert.

Was bedeutet das für Behörden und Unternehmen im DACH-Raum?

Souveränitätsfrage: Das BSI stuft KI, die Lücken „auf Knopfdruck“ findet, als sicherheitskritisch ein.[1] BSI-Präsidentin Claudia Plattner fordert ein deutsches KI-Sicherheitsinstitut, priorisierten Zugang der Behörden zu Spitzenmodellen und ein europäisches KI-Portfolio rund um Modelle wie Mistral.

Paradoxe Lage: Das Pentagon hat Anthropic im Februar 2026 als Lieferketten-Risiko eingestuft, nachdem das Unternehmen Schutzsperren gegen autonome Waffen und Überwachung nicht lockern wollte. Ein Gericht hat die Einstufung im März gestoppt. Für europäische Anwender heißt das: Die stärkste Abwehr hängt an einem Anbieter, mit dem sich die eigene Regierung überwirft.

Klare To-dos: Prüfen Sie unter NIS2 und EU AI Act, welche US-KI in Ihre sicherheitskritischen Prozesse eingebunden ist. Wie stark europäische Web-Infrastruktur bereits an US-Anbietern hängt, ist längst dokumentiert. Setzen Sie KI-Schwachstellenanalyse im eigenen Code ein, aber nie ohne menschlichen Freigabeschritt.

Handlungsempfehlung: Behandeln Sie KI-gestützte Sicherheitsaudits als zweischneidiges Werkzeug. Legen Sie heute fest, welche Modelle Ihren Code sehen dürfen, dokumentieren Sie deren Herkunft, und halten Sie eine europäische Ausweichoption bereit.

Quelle

[1] BSI: „KI-Modelle revolutionieren den Umgang mit Sicherheitslücken“

Mehr Newshunger?

4,2 22 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?