Anthropic: Project Glasswing findet 10.000 hochriskante Schwachstellen im ersten Monat mit Claude Mythos Preview

Anthropic veröffentlichte am 22. Mai 2026 den ersten monatlichen Bericht über Project Glasswing — eine Initiative, die das Claude Mythos Preview-Modell nutzt, um kritische Software auf Schwachstellen zu scannen, bevor Angreifer sie ausnutzen können. Project Glasswing vereint rund 50 externe Partner, darunter Sicherheitsteams von Mozilla, dem UK AI Safety Institute und XBOW, die Mythos-Modelle über ein strukturiertes Research-Preview-Programm nutzen. Im ersten Monat meldeten Partner über 10.000 hochriskante und kritische Schwachstellen in ihren eigenen Produktionscodebases.

Anthropic startete gleichzeitig ein offenes Open-Source-Programm, bei dem Glasswing automatisch 1.000+ JavaScript-, Python- und Rust-Projekte auf GitHub und anderen Plattformen scannt. In diesem Programmteil fand Mythos 6.202 hochriskante und kritische Schwachstellen mit einer True-Positive-Rate von 90,6 Prozent, gemessen in einem koordinierten Triage-Prozess mit Projektmaintainern.

Wie funktioniert Project Glasswing technisch?

Project Glasswing kombiniert das Claude Mythos Preview-Modell mit einer Pipeline, die Quellcode empfängt, ein semantisches Modell von Funktionen und Metadaten aufbaut und das Modell dann anweist, spezifische Schwachstellenklassen zu finden — Memory-Safety-Fehler, Deserialisierungs-Gadgets, Race-Conditions, hartcodierte Credentials und Logikfehler in Autorisierungskontrollen. Mythos generiert Hypothesen, versucht sie in einer Sandbox-Umgebung zu reproduzieren und leitet nur validierte Befunde an menschliche Review-Teams weiter.

Anthropic behauptet, dass Mythos Lücken aufdeckt, die traditionelle statische Analysatoren und Fuzzer übersehen, weil es semantisches Verständnis mit gezieltem Experimentieren verbindet. Mozilla erklärte in einer koordinierten Offenlegung, dass Mythos 10-mal mehr bestätigte Schwachstellen in der Firefox-Codebasis fand als frühere Runden interner und externer Penetrationstests.

Was nutzen Partner und welche Ergebnisse erzielen sie?

Anthropic hob mehrere konkrete Partner hervor. Mozilla gab bekannt, dass Mythos Sicherheitslücken in der Firefox-Codebasis 10× schneller entdeckt als bisherige Audit-Teams. Das UK AI Safety Institute nutzt Glasswing zur unabhängigen Verifikation von Befunden und zur Bewertung offensiver Modellkapazitäten. XBOW, spezialisiert auf autonome Penetrationstester, integriert Mythos in seinen autonomen Penetrationsagenten.

Was ändert sich in der Cybersicherheit?

Anthropic stellt fest, dass sich der Hauptengpass vom Entdecken von Schwachstellen auf deren Verifikation und Behebung verlagert hat. Tausende bestätigter kritischer Lücken warten auf koordinierte Offenlegung und Behebung. Das ist ein struktureller Wandel — jahrzehntelang diente die Behauptung „wir können die gemeldeten Schwachstellen nicht abarbeiten” als Entschuldigung für versäumtes Patching; sie wird nun zur Entschuldigung für unzureichende Organisation.

Warum bleiben Mythos-Modelle geschlossen?

Anthropic erläuterte, dass Mythos-Modelle vorerst im Preview-Zugang ohne breitere öffentliche Verfügbarkeit bleiben. Der Grund ist das Dual-Use-Risiko: Dieselbe Fähigkeit, die Partnern hilft, Schwachstellen zu finden und zu schließen, würde auch Angreifern ermöglichen, automatisiert nach Lücken in Produktionssystemen zu suchen. Das UK AI Safety Institute bestätigte diese Einschätzung unabhängig. Anthropic kündigt die Erweiterung des Partnerprogramms und die Entwicklung stärkerer Schutzmaßnahmen an, die einen breiteren Zugang während 2027 ermöglichen könnten.