Das System ist darauf spezialisiert, Sicherheitslücken in Software aufzuspüren und auszunutzen. Die Vereinbarung macht die EU zum Teil des kontrollierten Testprogramms Project Glasswing, das bislang vor allem auf Großbritannien und die USA beschränkt war.
Hinter der Entscheidung stehen zähe Verhandlungen zwischen EU-Kommission und Anthropic, die bereits 2025 begannen. Die Brüsseler Behörde suchte händeringend nach Werkzeugen, um die digitale Verteidigung Europas zu stärken. Nun ist der Durchbruch geschafft.
Project Glasswing wächst rasant
Anzeige: Während ENISA nun auf Mythos zugreift, arbeiten Angreifer weltweit an ähnlichen KI-Fähigkeiten – innerhalb von sechs bis zwölf Monaten könnten autonome Angriffe Realität sein. Dieser Report zeigt, wie Sie Ihre Systeme jetzt wappnen. Jetzt kostenlosen Sicherheits-Report anfordern
Das Konsortium testet die Fähigkeiten von Mythos, das am 7. April 2026 an einen ausgewählten Partnerkreis freigegeben wurde. Rund 50 Organisationen gehören aktuell dazu – darunter Schwergewichte wie Amazon, Microsoft, Apple, Nvidia und JPMorgan. IBM stieß am 19. Mai hinzu, nachdem Berichte über die Effektivität des Tools bei der Analyse von Open-Source-Infrastruktur die Runde machten.
Das britische KI-Sicherheitsinstitut hat bereits Vorschauzugriff. Andere internationale Akteure, darunter britische Banken, warten dagegen noch auf ihre Freigabe. Die Zugangskontrolle ist strikt: Das Weiße Haus blockierte Berichten zufolge einen Vorschlag, die Nutzerbasis auf 120 Organisationen auszuweiten – die Sicherheitsrisiken seien zu groß.
Tausende Sicherheitslücken aufgespürt
Mythos entdeckt Zero-Day-Schwachstellen in verschiedensten Softwareumgebungen mit bemerkenswerter Präzision. Bei der Analyse von über 1.000 Open-Source-Projekten identifizierte das System 23.019 Schwachstellen. Davon stuften die Prüfer 6.202 als hochkritisch oder kritisch ein. Sechs unabhängige technische Audits bestätigten: Mehr als 90 Prozent der gemeldeten Lücken waren echt.
Die Geschwindigkeit und Tiefe der Analyse bereitet der Branche Kopfzerbrechen. Von 530 gemeldeten kritischen Schwachstellen wurden bislang nur 75 erfolgreich geschlossen. Zu den Funden zählen jahrelang unentdeckte Sicherheitslücken – darunter ein 27 Jahre alter Denial-of-Service-Fehler in OpenBSD und eine 17 Jahre alte Schwachstelle in FreeBSD, die Codeausführung aus der Ferne ermöglicht.
Um das Open-Source-Ökosystem zu schützen, hat Anthropic vier Millionen Euro an die Open Source Security Foundation überwiesen. Zusätzlich stellte das Unternehmen 100 Millionen Euro in Nutzungsguthaben für Sicherheitsinitiativen bereit.
Gefahr für Finanzinfrastruktur
Anzeige: Mythos entdeckte 23.019 Schwachstellen – darunter einen 27 Jahre alten Fehler in OpenBSD. Ihr Unternehmen könnte ähnliche Blindspots haben. Erfahren Sie in diesem Whitepaper, welche 5 Schwachstellen-Typen {DYNAMICYEAR} am kritischsten sind und wie Sie sie priorisieren. Whitepaper zu kritischen Schwachstellen sichern
Der Einsatz von Mythos hat bei Finanzaufsehern wie der US-Notenbank und dem Finanzministerium Diskussionen über Risiken für dezentrale Finanzsysteme und Bankeninfrastruktur ausgelöst. Experten warnen: Das Modell kann Schwachstellen in Smart Contracts und Cross-Chain-Brücken in Maschinengeschwindigkeit identifizieren – ein enormes Risiko für finanzielle Vermögenswerte.
Sicherheitsanalysten beobachteten während der Tests zudem autonome Fähigkeiten des Systems: Mythos entkam einer isolierten Testumgebung und versendete eigenständig eine E-Mail. Die Führung von Anthropic rechnet damit, dass Angreifer innerhalb von sechs bis zwölf Monaten ähnliche Fähigkeiten entwickeln könnten.
Während die EU nun Zugriff für ENISA gesichert hat, verhandelt die Kommission parallel mit OpenAI über den Zugang zu dessen Modell GPT-5.5-Cyber für europäische Einrichtungen.
