Im Code-Repository von OpenBSD steckt eine Schwachstelle, die 27 Jahre lang verborgen war. In FFmpeg steckt eine Schwachstelle, die 16 Jahre lang verborgen war; der entsprechende Code wurde, bevor man ihn fand, über 5.000.000 Mal aufgerufen. Was aus diesen beiden Dingen herausgegraben wurde, ist nicht irgend ein Spitzenforscher von einer der Bug-Bounty-Plattformen – und auch nicht Google Project Zero. Es ist ein Modell von Anthropic, das noch nicht nach außen veröffentlicht wurde, mit dem Codenamen Claude Mythos Preview.
Am 7. April kündigte Anthropic Project Glasswing an. Die Aktion selbst ist ganz einfach: Man sendet Mythos Preview an eine Whitelist. Auf der Liste stehen AWS, Apple, Google, Microsoft, NVIDIA, Broadcom, Cisco, CrowdStrike, JPMorgan Chase, die Linux Foundation, Palo Alto Networks sowie zusätzlich rund 40 Organisationen, die für kritische Infrastruktur zuständig sind. Wer nicht auf der Liste steht, bekommt keinen Zugriff. Anthropic sagt ausdrücklich, dass man kurzfristig nicht plant, dieses Modell öffentlich zu veröffentlichen.
Das ist das erste Mal, dass ein Labor an der Frontlinie proaktiv seine stärksten Dinge einlagert und sperrt.
In den vergangenen zwei Jahren ist der Veröffentlichungsrhythmus fast schon zu einer Reflexhandlung geworden. Jede Generation-Überquerung von GPT, Gemini und Claude war ein Muster aus „veröffentlichen, beobachten, nachbessern“. Anthropics eigene „Policy für verantwortungsvolle Skalierung“ (RSP) ist im Kern ebenfalls ein Rahmenwerk: Wenn eine bestimmte Fähigkeits-Schwelle erreicht ist, greifen jeweils die passenden Minderungsmaßnahmen auf der entsprechenden Stufe – und dann geht es weiter mit der Veröffentlichung. Glasswing ist nicht der nächste Schritt in diesem Rahmen, sondern die erste Ausnahme. Ein Modell, das Anthropic selbst bereits als „für eine Veröffentlichung nach dem ursprünglichen Prozess nicht geeignet“ eingestuft hat, wird herausgezogen und ausschließlich den Verteidigern gegeben.
Was hat Mythos Preview erreicht. Die offizielle Aussage lautet „Tausende von Zero-Day-Schwachstellen, die jedes gängige Betriebssystem und jeden gängigen Browser abdecken“. Noch aussagekräftiger als die Zahlen ist die Spannbreite der Fähigkeiten. Bei Aufgaben wie dem autonomen Entwickeln von Schwachstellen liegt die Erfolgsquote von Claude 4.6 Opus bei nahezu null – das heißt, vor sechs Monaten konnte das stärkste öffentlich verfügbare Modell von Anthropic diese Aufgabe noch nicht vollständig erledigen. Mythos kann mehrere, nicht miteinander zusammenhängende Schwachstellen zu einer durchgehenden Angriffskette verknüpfen; auch eine Browser-Ausnutzung in vier Schritten ist ein bereits bewiesenes Beispiel. Von „fast null“ zu „Vier-Schwachstellen-Kette“ ist keine einmalige evolutionäre Weiterentwicklung zwischen zwei Generationen, sondern ein Sprung.
Auf der Seite der Betreiber hat man das bereits gespürt. Greg Kroah-Hartman vom Linux-Kernel und der Autor von curl, Daniel Stenberg, haben zuletzt beide öffentlich über dieselbe Sache gesprochen: Im vergangenen Jahr seien KI-generierte Sicherheitsberichte von „Spam-Niveau“ zu „real, hochwertig, man kann sie nicht ignorieren“ geworden. Die Anzahl der Berichte, die Open-Source-Projekte erhalten, steigt, und auch die Qualität steigt; gleichzeitig ist der Personalaufwand der Maintainer nicht gestiegen. Das ist die Mühsal, die die Verteidiger-Seite schon lange auf sich nimmt. Anthropics Vorgehen bringt diese Sache nur von einer vagen, angespannten Sorge auf die Bühne.
Es lohnt sich, einen Blick auf die Whitelist selbst zu werfen. Drei große Cloud-Anbieter (AWS, Google, Microsoft), drei Hardware-Anbieter (Apple, NVIDIA, Broadcom), zwei Anbieter für Netzwerkgeräte (Cisco, Palo Alto Networks), ein Unternehmen für Endpunkt-Sicherheit (CrowdStrike), eine Open-Source-Infrastruktur (Linux Foundation) und eine Bank. Auf der Liste gibt es nur eine Bank: JPMorgan Chase.
Das ist keine zufällige Verteilung von Slots. Anthropic zeichnet eine Karte, „in der es den Himmel zerreißt, wenn man die Verteidigung nicht schafft“. Ein Großteil des Codes läuft auf dem Stack dieser Unternehmen, ein Großteil des Geldes läuft auf Konten bei genau dieser einen Bank. Die Logik der Whitelist lautet nicht „wer es am dringendsten braucht“, sondern „wer zuerst umkippt und dadurch alle anderen mitreißt“. Zusätzlich zur Whitelist stellt Anthropic einer Open-Source-Sicherheitsorganisation außerdem 4 Millionen US-Dollar bereit. Das Geld geht an Personal, das Modell liefert die Fähigkeit – zusammen ergibt das in einem Satz: für die Maintainer, für ein paar Monate.
Die Formulierungen von Anthropic selbst sind noch direkter als die Liste. In der Erklärung schreibt das Unternehmen: „Angesichts der Geschwindigkeit, mit der sich KI entwickelt, werden solche Fähigkeiten nicht langfristig in den Händen derjenigen verbleiben, die sich dem sicheren Deployment verschrieben haben.“ Direkt danach heißt es: „Um die globale Netzwerk-Infrastruktur zu verteidigen, könnte es Jahre dauern.“
Wenn man diese beiden Sätze zusammen betrachtet. Anthropic geht davon aus, dass das Zeitfenster, in dem das Modell abfließt oder kopiert wird, kurz ist, während das Zeitfenster, in dem die Verteidiger die Schwachstellen sauber nachbessern können, lang ist. Die gesamte Bedeutung von Glasswing liegt genau zwischen diesen beiden Zeitdifferenzen. Mit einem kontrollierten First-Mover tauscht man sich ein paar Monate bis zu einem Jahr als Patch-Fenster.
Es gibt auch noch eine Dimension mit Bezug zu Washington. Anthropic steht in laufendem Austausch mit der US-Regierung über die Fähigkeiten von Mythos Preview; zugleich gibt es mit dem US-Verteidigungsministerium noch eine offene Streitfrage über den Einsatzbereich von militärischer KI. Einerseits lehnt ein Unternehmen ab, das Modell für bestimmte militärische Zwecke zu verwenden, und andererseits stellt es dieses Modell aktiv den Sicherheitsteams der Linux Foundation und Apples zur Verfügung. Diese beiden Dinge widersprechen sich nicht – es sind zwei Seiten derselben Einschätzung. Anthropic definiert, „wofür dieses Modell verwendet werden kann“, statt die Definitionshoheit den Nutzern zu überlassen.
Das Ungewöhnlichste an Glasswing ist nicht, was es tut, sondern wann es es tut. Früher bestand die Art, wie KI-Unternehmen ihre Leistungsfähigkeit bewiesen, im Veröffentlichen. Jetzt wählt Anthropic den Weg, dies durch „Nicht-Veröffentlichen“ zu belegen. Ein Labor an der Frontlinie sperrt proaktiv sein stärkstes Produkt ein und sagt, es sei nicht aus kommerziellen Gründen, nicht weil das Alignment noch nicht fertig sei, nicht wegen regulatorischer Anforderungen, sondern weil es selbst ausgerechnet hat: Der offene Zeitplan kann nicht mit dem Zeitplan zur Behebung Schritt halten.
In den nächsten Monaten gilt es nicht, Mythos Preview selbst zu beobachten, sondern wie viele der Schwachstellen, die bei den rund 50 Institutionen in der Whitelist auf Basis davon auftauchen, tatsächlich gepatcht werden. Als Nächstes wird man sehen müssen, ob andere Labore an der Frontlinie nachziehen. Wenn ja, dann wird in einer Branche, deren Takt „offenlegen, iterieren, offenlegen“ ist, zum ersten Mal eine Aktion auftauchen, die lautet: „erst einsperren, dann sehen wir weiter“. Wenn nein, dann wird Anthropic diejenige sein, die an der Tür steht. Schlüssel in der Hand, den Blick auf die Uhr gerichtet.
Klicken Sie, um mehr über Rhythm BlockBeats zu erfahren, und sehen Sie sich die offenen Stellen an
Willkommen, treten Sie dem offiziellen Community-Netzwerk von Rhythm BlockBeats bei:
Telegram-Abonnement-Gruppe: https://t.me/theblockbeats
Telegram-Gruppe: https://t.me/BlockBeats_App
Twitter-Official-Account: https://twitter.com/BlockBeatsAsia
