Claude Mythos: NSA und CISA nutzen KI für Sicherheitsaudits

US-Behörden nutzen Anthropics KI Claude Mythos zur Aufspürung von Schwachstellen in Regierungssoftware. Das Modell deckte unentdeckte Sicherheitslücken auf.

Die US-Sicherheitsbehörden CISA und NSA nutzen das KI-Modell Claude Mythos des Unternehmens Anthropic für groß angelegte Sicherheitsaudits staatlicher Software. Die hochentwickelte künstliche Intelligenz durchforstet systematisch Regierungs-Code nach Schwachstellen – und fördert dabei bislang unentdeckte Sicherheitslücken zutage.

Autonome Jagd auf Sicherheitslücken

Das Attack Surface Evaluation Team der CISA hat mit Hilfe von Mythos bereits eine beträchtliche Anzahl von Schwachstellen in föderalen Softwaresystemen aufgespürt. Nach Branchenberichten vom Juli entdeckte das Modell Sicherheitslücken in sensiblen Regierungssystemen, die zuvor unerkannt geblieben waren.

Doch Mythos kann mehr als nur Fehler finden. Das britische AI Security Institute stellte fest, dass das Modell in der Lage ist, mehrstufige Cyberangriffe eigenständig auszuführen. In praktischen Tests identifizierte es einen 27 Jahre alten Bug in OpenBSD – ein Beleg für seine außergewöhnliche Analysefähigkeit.

Der aktuelle Open Source Security and Risk Analysis Report (OSSRA) 2026 zeichnet ein düsteres Bild: Die Anzahl der Schwachstellen pro kommerzieller Codebasis hat sich auf 581 verdoppelt. Öffentlich verfügbare Modelle können komplexe Sicherheitsanalysen mittlerweile für weniger als 30 Euro pro Datei replizieren.

Während die CISA-Nutzung erst im Juli publik wurde, setzt die NSA das Modell Berichten zufolge bereits seit April 2026 ein – und das trotz eines früheren Pentagon-Vorstoßes, Anthropic als Lieferkettenrisiko einzustufen.

Vom Risiko zum Vorzeigeprojekt

Die Nutzung von Mythos durch Regierungsbehörden ist das Ergebnis eines turbulenten regulatorischen Wechselbads. Im Februar 2026 stufte das Pentagon Anthropic als Risiko für die Lieferkette ein – eine Entscheidung, die ein Richter im März wieder kippte.

Anzeige

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Sicherheits-Report jetzt herunterladen

Anthropic selbst kündigte eine Vorschau von Claude Mythos im April an. Der Zugang blieb zunächst Teilnehmern von Project Glasswing vorbehalten – einer 90 Millionen Euro schweren Initiative mit Partnern wie Amazon, Microsoft und Google.

Die Export- und Zugangskontrollen haben sich in den letzten Wochen rasant verändert. Am 12. Juni 2026 ordnete die US-Regierung an, den Zugang auf amerikanische Staatsbürger zu beschränken. Nach einem fast dreiwöchigen Tauziehen wurden diese Beschränkungen am 30. Juni aufgehoben. Bereits am 1. Juli kam eine abgesicherte Version des verwandten Modells Fable 5 mit schärferen Sicherheitsfiltern auf den Markt, und der globale Zugangsstopp für ausländische Nutzer wurde aufgehoben.

Zwischen Schutzschild und Risiko

Trotz seiner defensiven Anwendung sehen Sicherheitsexperten in Mythos eine ernsthafte Bedrohung. Das Modell markiere einen Technologiesprung, der weit verbreitete Schwachstellen in Open-Source-Software offenlegen könnte – und damit auch Angreifern neue Wege eröffnet.

Anzeige

Die technologische Entwicklung von KI stellt Unternehmen vor völlig neue Compliance-Herausforderungen. Dieses kostenlose E-Book bietet Ihnen einen praxisnahen Umsetzungsleitfaden zu den Pflichten der neuen EU-KI-Verordnung. Gratis KI-Leitfaden für Unternehmen sichern

Die Sicherheitslandschaft wird zunehmend komplexer. Das chinesische Labor Z.ai veröffentlichte kürzlich sein quelloffenes Modell GLM-5.2. Gleichzeitig häufen sich Berichte über Angriffe auf Lieferketten in der gesamten Branche.

Die Europäische Zentralbank hat auf die veränderte Lage reagiert und Banken angewiesen, formelle KI-gestützte Cyberabwehrpläne zu erstellen. Internationale Behörden warnen zunehmend, dass die Geschwindigkeit der KI-Entwicklung die bestehenden Sicherheitskontrollen überholen könnte.