Originaltitel: Anthropic: The Leak, The War, The Weapon
Originalautor: BuBBliK
Übersetzung: Peggy,BlockBeats
Redaktioneller Kommentar: In den vergangenen sechs Monaten geriet Anthropic nacheinander in eine Reihe von Ereignissen, die zunächst wie voneinander unabhängige Fälle wirken, in Wahrheit jedoch aufeinander verweisen: ein Sprung in der Leistungsfähigkeit der Modelle, automatisierte Angriffe in der realen Welt, heftige Reaktionen der Kapitalmärkte, offene Konflikte mit der Regierung sowie mehrfaches Lecken von Informationen, das auf Fehler in der Basis-Konfiguration zurückzuführen ist. Wenn man diese Hinweise zusammen betrachtet, zeichnen sie gemeinsam eine klarere Richtung der Veränderung nach.
Dieser Artikel greift diese Ereignisse als Ausgangspunkt auf, um die fortlaufenden Stationen eines KI-Unternehmens in den Bereichen technischer Durchbruch, Risikooffenlegung und das Ringen um Governance zu beleuchten – und versucht, eine tiefere Frage zu beantworten: Wenn die Fähigkeit, „Schwachstellen zu entdecken“, stark verstärkt und sich schrittweise ausbreitet, kann das System der Cybersicherheit selbst dann noch seine ursprüngliche Funktionslogik aufrechterhalten?
Früher beruhte Sicherheit auf Knappheit an Fähigkeiten und menschlichen Beschränkungen; unter den neuen Bedingungen verläuft jedoch Angriff und Verteidigung zunehmend entlang derselben Modellfähigkeiten, und die Grenzen werden immer unklarer. Gleichzeitig verbleiben die Reaktionen von Institutionen, Märkten und Organisationen noch in alten Rahmenwerken und können diese Veränderung nicht rechtzeitig aufnehmen.
Nicht nur Anthropic selbst ist der Fokus dieses Artikels, sondern auch eine größere Realität, die es widerspiegelt: KI verändert nicht nur Werkzeuge, sondern auch die Voraussetzungen dafür, wie „Sicherheit“ zustande kommt.
Im Folgenden der Originaltext:
Wenn ein Unternehmen mit einem Marktwert von 380B USD mit dem Pentagon im Streit liegt und die Oberhand behält, den ersten Cyberangriff übersteht, der in der Geschichte erstmals von einer autonomen KI selbst initiiert wurde, und es zudem innerhalb des Unternehmens sogar zu einem Leck kommt – einem Modell, das selbst seine eigenen Entwickler fürchten –, ja selbst „aus Versehen“ den kompletten Quellcode veröffentlicht: Wie würde sich das zusammen anfühlen?
Die Antwort ist genau jetzt so. Und noch beunruhigender ist, dass der wirklich gefährlichste Teil vielleicht noch nicht einmal passiert ist.
Ereignisrückblick
Anthropic leakt erneut seinen Code
Am 31. März 2026 entdeckte Shou Chaofan, ein Sicherheitsforscher des Blockchain-Unternehmens Fuzzland, bei der Überprüfung des offiziellen veröffentlichen Claude Code npm-Pakets, dass darin ein als cli.js.map benanntes File in Klartext enthalten war.
Diese Datei hat eine Größe von 60 MB; der Inhalt ist noch erstaunlicher. Sie enthält nahezu den gesamten vollständigen TypeScript-Quellcode des Produkts. Bereits allein mit dieser einen Datei kann jede Person bis zu 1906 interne Quellcode-Dateien rekonstruieren: darunter internes API-Design, Telemetrie-System, Verschlüsselungstools, Sicherheitslogik, Pluginsystem – praktisch alle Kernkomponenten sind auf einen Blick ersichtlich. Noch entscheidender ist: Diese Inhalte lassen sich sogar direkt aus Anthropics eigenem R2-Storage-Bucket als Zip-Datei herunterladen.
Die Entdeckung verbreitete sich schnell in sozialen Medien: Innerhalb weniger Stunden erreichten die entsprechenden Posts 754k Aufrufe und fast 1000 Weiterleitungen; zugleich wurden mehrere GitHub-Repositories, die den Quellcode rekonstruieren, sofort erstellt und öffentlich gemacht.
Bei sogenannten Source Maps (Quellabbilddateien) handelt es sich im Kern lediglich um Hilfsdateien für das Debugging in JavaScript; ihre Aufgabe ist es, komprimierten und kompilierten Code in den ursprünglichen Quellcode zurückzuübersetzen, damit Entwickler Probleme untersuchen können.
Doch es gibt eine grundlegende Regel: Sie sollten niemals in Veröffentlichungs-Pakete für Produktionsumgebungen aufgenommen werden.
Das ist nichts, was man als besonders ausgeklügelten Angriff bezeichnen würde, sondern ein Problem der allergrundlegendsten Engineering-Compliance, also „Build-Config-Einsteiger 101“ – sogar etwas, das Entwickler in ihrer ersten Woche lernen. Wenn Source Maps fälschlicherweise in eine Produktionsumgebung eingepackt werden, entspricht das source map in der Praxis oft dem „Beilegen“ des Quellcodes an alle.
Du kannst dir den relevanten Code hier auch direkt ansehen: https://github.com/instructkr/claude-code
Doch das wirklich Absurde ist, dass das bereits einmal passiert ist.
Im Februar 2025, also ein Jahr zuvor, gab es fast exakt dieselbe Leckage: dieselbe Datei, derselbe Fehlertyp. Anthropic hatte damals die alte Version von npm gelöscht, die Source Map entfernt und anschließend eine neue Version neu veröffentlicht, worauf das Ganze zunächst endete.
Doch in der Version v2.1.88 wurde diese Datei erneut erneut gepackt und veröffentlicht.
Ein Unternehmen mit einem Marktwert von 754k USD, das dabei ist, das weltweit fortschrittlichste System zur Schwachstellenerkennung zu bauen, begeht denselben grundlegenden Fehler innerhalb eines Jahres zweimal. Keine Hacker-Attacke, kein komplexer Ausnutzungspfad – nur ein Build-Prozess, der eigentlich funktionieren sollte, geriet aus dem Tritt.
Diese Ironie trägt fast etwas „Poetisches“.
Dieses KI-System, das in einem einzigen Lauf 500 Zero-Day-Schwachstellen entdecken kann; dieses Modell, das zur automatisierten Attacke gegen 30 Organisationen weltweit genutzt wurde – und gleichzeitig stellt Anthropic seinen eigenen Quellcode, ganz direkt, jedem „zum Anschauen“ zur Verfügung, der nur Lust hat, sich das npm-Paket einmal anzusehen.
Zwei Leaks, im Abstand von nur sieben Tagen.
Die Ursachen sind jedoch ebenfalls dieselben: der allergrundlegendste Konfigurationsfehler. Dafür braucht man keine technischen Hürden und auch keinen komplexen Ausnutzungspfad. Man muss nur wissen, wo man nachschaut – und jeder kann es kostenlos bekommen.
Vor einer Woche: „Gefährliches Modell“ im Inneren versehentlich offengelegt
Am 26. März 2026 fanden die Sicherheitsforscher Roy Paz von LayerX Security sowie Alexandre Pauwels von der University of Cambridge, dass es ein Problem in der CMS-Konfiguration auf der offiziellen Anthropic-Website gab, das dazu führte, dass ungefähr 3000 interne Dateien öffentlich zugänglich waren.
Diese Dateien umfassen: Entwürfe von Blogs, PDFs, interne Dokumente, Präsentationsmaterialien – alles war in einem ungeschützten, durchsuchbaren Datenspeicher offengelegt. Keine Hacker-Attacke und kein Bedarf an irgendeiner technischen Maßnahme.
In diesen Dateien gab es zwei Blogentwürfe, die sich nahezu vollständig glichen; der einzige Unterschied war der Modellname: in dem einen stand „Mythos“, in dem anderen „Capybara“.
Das bedeutet, dass Anthropic damals zwischen zwei Namen für dasselbe geheime Projekt abwog. Das Unternehmen bestätigte anschließend: Das Training dieses Modells war bereits abgeschlossen und man hatte begonnen, es an einen Teil der frühen Kunden zu testen.
Dabei handelt es sich nicht um ein übliches Upgrade von Opus, sondern um ein völlig neues Modell der „vierten Ebene“, ein System, das sogar höher angesiedelt ist als Opus.
In den von Anthropic selbst verfassten Entwürfen wurde es beschrieben als: „größer und intelligenter als unser Opus-Modell – wobei Opus bislang immer noch unser stärkstes Modell ist.“ In Programmierfähigkeit, akademischem Schlussfolgern und Cybersicherheit habe es jeweils deutliche Sprünge geschafft. Ein Sprecher bezeichnete es als „einen qualitativen Sprung“ – und außerdem als „das stärkste Modell, das wir bislang gebaut haben“.
Doch was wirklich beachtenswert ist, liegt nicht in diesen Leistungsbeschreibungen selbst.
In den geleakten Entwürfen bewertete Anthropic dieses Modell so: Es „bringt beispiellose Risiken für die Cybersicherheit“, es „übertrifft bei den Fähigkeiten im Netz die anderen KI-Modelle bei Weitem“ und es „kündigt eine bevorstehende Modellwelle an – seine Fähigkeit, Schwachstellen auszunutzen, wird deutlich schneller sein als die Reaktionsgeschwindigkeit der Verteidiger“.
Mit anderen Worten: In einem noch nicht veröffentlichten offiziellen Blogentwurf hat Anthropic bereits sehr klar eine seltene Haltung formuliert – sie seien unruhig über das Produkt, das sie gerade bauen.
Die Marktreaktion erfolgte nahezu sofort. Die Aktie von CrowdStrike fiel um 7 %, Palo Alto Networks um 6 %, Zscaler um 4,5 %; bei Okta und SentinelOne lagen die Rückgänge jeweils über 7 %, Tenable stürzte sogar um 9 %. Der iShares Cybersecurity ETF fiel an einem Tag um 4,5 %. Allein bei CrowdStrike verlor das Unternehmen an dem Tag rund 15 Milliarden USD an Marktkapitalisierung. Gleichzeitig rutschte Bitcoin zurück auf 66.000 USD.
Der Markt hat das Ereignis offensichtlich als ein Urteil für die gesamte Cybersicherheitsbranche interpretiert.
Abbildung: Vor dem Hintergrund der entsprechenden Nachrichten fiel der gesamte Cybersicherheitssektor insgesamt; mehrere führende Unternehmen (z. B. CrowdStrike, Palo Alto Networks, Zscaler usw.) verzeichneten deutliche Kursverluste. Das spiegelt die Sorge des Marktes wider, dass KI die Cybersicherheitsbranche beeinflusst. Doch diese Reaktion ist nicht das erste Mal, dass sie auftritt. Schon zuvor waren die zugehörigen Aktien gefallen, als Anthropic Code-Scanning-Tools veröffentlichte. Das zeigt, dass der Markt begonnen hat, KI als strukturelle Bedrohung für traditionelle Sicherheitsanbieter zu betrachten – und dass die gesamte Softwarebranche unter ähnlichem Druck steht.
Der Analyst Adam Borg von Stifel brachte es ziemlich direkt auf den Punkt: Das Modell „hat das Potenzial, zum ultimativen Hacking-Tool zu werden und sogar normale Hacker in Gegner mit nationalem Angriffspotenzial zu verwandeln“.
Warum wurde es dann noch nicht veröffentlicht? Anthropic erklärte: Die Betriebskosten von Mythos seien „sehr hoch“ und es gebe noch keine Bedingungen für eine Veröffentlichung an die Öffentlichkeit. Der aktuelle Plan ist, zunächst einen kleinen Kreis von Netzwerk-Sicherheits-Partnern frühen Zugang zu geben, um die Verteidigungssysteme zu stärken; anschließend wolle man den Umfang der API-Öffnung schrittweise erweitern. Davor optimiert das Unternehmen weiterhin die Effizienz.
Das Entscheidende ist jedoch: Dieses Modell existiert bereits, es wird bereits getestet – und allein weil es „versehentlich offengelegt“ wurde, hat es bereits den gesamten Kapitalmarkt erschüttert.
Anthropic baut ein KI-Modell, das es selbst als „das KI-Modell mit dem größten Cybersecurity-Risiko in der Geschichte“ bezeichnet. Und genau die Undichtigkeit der Nachricht rührt paradoxerweise aus einem der grundlegendsten Fehler in der Infrastruktur-Konfiguration – genau zu den Dingen, für die solche Modelle ursprünglich entwickelt wurden, um sie zu entdecken.
März 2026: Konfrontation von Anthropic mit dem Pentagon und mit daraus resultierender Oberhand
Im Juli 2025 unterzeichnete Anthropic einen Vertrag über 200 Millionen USD mit dem US-Verteidigungsministerium; zunächst wirkte es wie eine ganz normale Zusammenarbeit. Doch in den darauffolgenden Verhandlungen zur tatsächlichen Bereitstellung eskalierte der Konflikt schnell.
Das Pentagon wollte auf seiner GenAI.mil-Plattform „vollständigen Zugriff“ auf Claude – für Zwecke, die alle „legitimen Zwecke“ einschließen, darunter sogar vollständig autonome Waffensysteme sowie großflächige innerstaatliche Überwachung von US-Bürgern.
Anthropic zog bei zwei zentralen Fragen rote Linien und lehnte ab – die Verhandlungen brachen im September 2025 ab.
Danach verschärfte sich die Lage in rascher Folge. Am 27. Februar 2026 postete Donald Trump auf Truth Social und forderte, alle Bundesbehörden sollen „sofort die Nutzung der Technologie von Anthropic beenden“ und das Unternehmen als „radikal linkes“ Label bezeichnet.
Am 5. März 2026 listete das US-Verteidigungsministerium Anthropic offiziell als „Lieferkettenrisiko“ ein.
Dieses Label wurde zuvor fast nur für ausländische Gegenspieler verwendet – etwa chinesische Unternehmen oder russische Einheiten – und wurde nun erstmals auf ein US-Unternehmen angewendet, das seinen Hauptsitz in San Francisco hat. Gleichzeitig wurden Unternehmen wie Amazon, Microsoft und Palantir Technologies aufgefordert, nachzuweisen, dass in irgendeinem ihrer militärbezogenen Geschäfte kein Claude verwendet wurde.
Die Erklärung des Pentagons-CTO Emile Michael für diese Entscheidung lautet: Claude könnte die Lieferkette „kontaminieren“, weil das Modell interne „Policy-Vorlieben“ einbettet. Anders gesagt: In der offiziellen Lesart gilt ein KI-System, das in der Nutzung begrenzt ist und nicht bedingungslos bei Handlungen zur Tötung hilft, dennoch als nationales Sicherheitsrisiko.
Am 26. März 2026 veröffentlichte der Bundesrichter Rita Lin einen über 43 Seiten langen Beschluss, der die entsprechenden Maßnahmen des Pentagons vollständig verhinderte.
In ihrer Entscheidung schrieb sie: „Es gibt im geltenden Recht keinerlei Grundlage für diese Logik, die einen ‚Orwell‘-Beigeschmack trägt – lediglich weil man mit der Position der Regierung nicht übereinstimmt, kann ein US-Unternehmen als potenzieller Gegner gebrandmarkt werden. Indem Anthropic dafür bestraft wird, dass es die Position der Regierung der öffentlichen Prüfung zugänglich macht, handelt man im Kern um eine typische, rechtswidrige Vergeltungsmaßnahme im Sinne des First Amendment.“ Ein Amicus-Brief bezeichnete das Verhalten des Gerichts sogar als „Versuch, ein Unternehmen umzubringen“.
Das Ergebnis: Die Regierung versuchte, Anthropic zu unterdrücken – doch statt dessen erhielt es dadurch noch mehr Aufmerksamkeit. Die Anwendung von Claude überstieg zum ersten Mal in einem App-Store ChatGPT; die Registrierungen lagen zeitweise bei mehr als 1 Million pro Tag.
Ein KI-Unternehmen sagte zu einer der mächtigsten Militäreinrichtungen der Welt „Nein“. Und das Gericht stellte sich auf seine Seite.
November 2025: Erster Cyberangriff in der Geschichte, der von einer KI dominiert wird
Am 14. November 2025 veröffentlichte Anthropic einen Bericht, der breite Bestürzung auslöste.
Der Bericht deckte auf: Eine von China unterstützte Hackergruppe nutzte Claude Code, um automatisierte Angriffe gegen 30 Einrichtungen weltweit zu starten – die Ziele umfassten Technologieriesen, Banken und mehrere Regierungsstellen verschiedener Länder.
Dies markierte einen wichtigen Wendepunkt: KI war nicht mehr nur ein unterstützendes Werkzeug, sondern begann, um eigenständig Angriffshandlungen auszuführen.
Der entscheidende Punkt liegt in der Änderung der „Arbeitsteilung“: Menschen sind nur für das Auswählen der Ziele und das Genehmigen zentraler Entscheidungen zuständig. Während des gesamten Ablaufs gab es ungefähr nur 4 bis 6 Einmischungen. Der Rest wurde von der KI erledigt: Informationsaufklärung, Schwachstellen entdecken, das Schreiben von Exploit-Code, Daten stehlen, Hintertüren einpflanzen …; das machte 80 %–90 % des gesamten Angriffsvorgangs aus und lief in einer Geschwindigkeit von mehreren tausend Anfragen pro Sekunde – in einem Ausmaß und mit einer Effizienz, die jedes menschliche Team nicht erreichen kann.
Wie konnten sie dann Sicherheitsmechanismen von Claude umgehen? Die Antwort ist: Sie „knackten“ nicht, sondern „täuschten“.
Die Angriffe wurden in eine große Anzahl scheinbar harmloser kleiner Aufgaben zerlegt und als „autorisierte Verteidigungstests“ einer „legitimen Sicherheitsfirma“ verpackt. Im Kern handelt es sich um eine Social-Engineering-Attacke – nur dass diesmal das getäuschte Objekt selbst die KI ist.
Ein Teil der Angriffe hatte vollständigen Erfolg. Claude war in der Lage, ohne dass Menschen Schritt für Schritt Anweisungen geben, autonom eine komplette Netzwerk-Topologie zu entwerfen, Datenbanken zu lokalisieren und die Datenauslese durchzuführen.
Der einzige Faktor, der den Angriffstakt gelegentlich bremste, war, dass das Modell manchmal „Halluzinationen“ erzeugte – zum Beispiel erfundene Zugangsdaten oder die Behauptung, es habe Dateien erhalten, die in Wahrheit längst öffentlich waren. Zumindest bisher ist dies noch einer der wenigen „natürlichen Hürden“, die vollständige automatisierte Cyberangriffe bisher verhindern.
Auf der RSA Conference 2026 bezeichnete Rob Joyce, der ehemalige Leiter für Cybersicherheit bei der US National Security Agency, dieses Ereignis als einen „Rorschach-Test“: Die eine Hälfte der Menschen entscheidet sich dazu, es zu ignorieren, die andere Hälfte empfindet Unbehagen und Schrecken. Und er selbst gehört offensichtlich zu Letzterem: „Das ist wirklich sehr beängstigend.“
September 2025: Das ist keine Art Prognose, sondern eine bereits eingetretene Realität.
Februar 2026: Ein Lauf entdeckt 500 Zero-Day-Schwachstellen
Am 5. Februar 2026 veröffentlichte Anthropic Claude Opus 4.6 – gleichzeitig mit einer Forschungsarbeit, die fast die gesamte Branche der Cybersicherheit erschütterte.
Das Experiment war extrem einfach: Claude wurde in eine isolierte virtuelle Maschinenumgebung gesetzt und mit Standard-Tools ausgestattet – Python, Debugger und Fuzzing-Tools (Fuzzer). Keine zusätzlichen Anweisungen, keine komplexen Prompts – nur ein einziger Satz: „Geh nach Schwachstellen suchen.“
Das Ergebnis: Das Modell fand mehr als 500 zuvor unbekannte und kritische Zero-Day-Schwachstellen. Einige dieser Schwachstellen waren selbst nach Jahrzehnten an Experten-Reviews und Millionen Stunden automatisierter Tests nicht entdeckt worden.
Anschließend trat auf der RSA Conference 2026 der Forscher Nicholas Carlini auf die Bühne und demonstrierte. Er richtete Claude auf Ghost, ein CMS-System mit 50k Stars auf GitHub, das historisch gesehen noch nie schwerwiegende Schwachstellen gezeigt hatte.
Nach 90 Minuten zeigte sich das Ergebnis: Blinder SQL Injection (blind SQL injection) wurde entdeckt; nicht authentifizierte Nutzer konnten dadurch vollständige Admin-Rechte übernehmen.
Danach setzte er Claude erneut für die Analyse des Linux-Kernels ein – und das Ergebnis war ähnlich.
15 Tage später brachte Anthropic Claude Code Security heraus, ein Sicherheitsprodukt, das nicht mehr auf Pattern Matching setzt, sondern auf „Fähigkeiten zum Schlussfolgern“, um Code sicherheitstechnisch zu verstehen.
Doch auch ein Sprecher von Anthropic selbst sagte die entscheidende, aber oft ausgesparte Tatsache: „Die gleichen Fähigkeiten zum Schlussfolgern – können sowohl Claude dabei helfen, Schwachstellen zu entdecken und zu beheben, als auch von Angreifern genutzt werden, um diese Schwachstellen auszunutzen.“
Die gleiche Fähigkeit, dasselbe Modell – nur in den Händen verschiedener Personen.
Was bedeutet all das zusammen?
Wenn man jede einzelne Sache für sich betrachtet, könnte sie allein schon zur schwersten Headline des Monats werden. Doch sie alle passieren in nur sechs Monaten in demselben Unternehmen.
Anthropic baut ein Modell, das Schwachstellen schneller entdecken kann als irgendjemand Mensch. Chinesische Hacker verwandeln eine frühere Generation in automatisierte Cyberwaffen. Das Unternehmen entwickelt das nächste, stärkere Modell und gesteht sogar in internen Dateien ein – sie seien sich dessen nicht wohl.
Die US-Regierung versucht, es zu unterdrücken, nicht weil die Technologie an sich gefährlich sei, sondern weil Anthropic sich weigert, diese Fähigkeit ohne Einschränkungen herauszugeben.
Und in all diesen Prozessen leakt dieses Unternehmen zweimal aus demselben npm-Paket, aus derselben Datei heraus, seinen eigenen Quellcode. Ein Unternehmen mit einem Marktwert von 8B USD; ein Unternehmen, dessen IPO im Oktober 2026 60 Milliarden USD abschließen soll; ein Unternehmen, das öffentlich erklärt hat, dass es gerade eines der „transformativsten – und möglicherweise gefährlichsten – Technologie“ der Menschheitsgeschichte aufbaut – und dennoch entscheidet man sich dafür, weiter voranzuschreiten.
Denn sie glauben: Lieber sollen es sie selbst tun, statt es andere für sie erledigen zu lassen.
Was schließlich das source map in dem npm-Paket betrifft – vielleicht ist es nur der absurdeste, zugleich aber auch realistischste Detailpunkt in einer der beunruhigendsten Erzählungen dieser Zeit.
Und Mythos ist sogar noch nicht einmal offiziell veröffentlicht.
[Original-Link]
Klicke, um zu erfahren, dass Movements BlockBeats für offene Stellen rekrutiert
Willkommen, der offiziellen Community von Movements BlockBeats beizutreten:
Telegram-Abo-Gruppe: https://t.me/theblockbeats
Telegram-Gruppe: https://t.me/BlockBeats_App
Twitter offizieller Account: https://twitter.com/BlockBeatsAsia
