Mit Claude #Mythos hat #Anthropic ein #KI-Modell vorgestellt, das laut den öffentlich verfügbaren Informationen in kürzester Zeit eine Vielzahl bislang unbekannter #Schwachstellen in gängigen Betriebssystemen und Browsern auffinden kann – darunter Lücken, die bisher jahrelang unentdeckt blieben. Das BSI spricht bereits von erwarteten „Umwälzungen im Umgang mit Sicherheitslücken“. Gleichzeitig hat vor Kurzem die US-Regierung aus Sorge vor verstärkten Cyberangriffen infolge solcher Modelle den Anthropic CEO getroffen – das erste Mal seit der politischen Auseinandersetzung zu Beginn dieses Jahres.
Manch einer hält die Ankündigung von Anthropic inklusive der Geheimhaltung der Software für einen ausgeklügelten Marketing Gig – entscheidend aber ist unabhängig von einem einzelnen Konzern vielmehr die Tatsache, dass Anthropic mit seiner Forschung nicht allein ist. Andere westliche Labore arbeiten unter massivem Investitionsdruck an vergleichbaren Fähigkeiten, und staatliche Akteure wie die Volksrepublik China investieren nicht nur in Modelle, sondern in die gesamte Energieinfrastruktur zur Sicherung der nötigen Rechenleistung für einen immer umfassenderen AI-Betrieb. Ein internationales regulatorisches Verbot solch offensiver KI-Werkzeuge wäre zivilisatorisch zwar bedeutsam, aber geopolitisch kaum durchsetzbar: Staaten werden solche Werkzeuge in Zukunft einsetzen – offen oder verdeckt.
Die Konsequenz wäre eine strukturelle Machtverschiebung in der #Cybersicherheit in einer verhältnismäßig kurzen Zeitspanne: Wenn Sicherheitslücken nicht mehr in wochenlanger Forschungsarbeit gefunden, sondern durch KI massenhaft produziert werden, verlieren Bug-Bounty-Modelle und Responsible Disclosure zunehmend ihre Grundlage, überdies wächst der zeitliche Druck zur Schwachstellenbehebung deutlich – bei nach wie vor limitierten Kapazitäten. Und die geopolitische Dimension wäre genauso enorm: Denn wer die leistungsfähigsten Modelle kontrolliert, kontrolliert künftig möglicherweise auch den Zugang zu Schwachstellen – und damit einen zentralen Hebel digitaler, wirtschaftlicher und staatlicher Handlungsfähigkeit. „Security by Design“ als Prinzip ist vor diesem Hintergrund zwar dringend notwendig, versucht aufgrund der Vielzahl aktiver Legacy-Systeme aber eine Realität umzukehren, die in zahllosen Fällen schon nicht mehr umkehrbar sein dürfte.
Zum Thema habe ich für Security Insider eine aktuelle Einschätzung verfasst: https://www.security-insider.de/claude-mythos-anthropic-zaesur-cybersicherheit-kipker-a-f987e7d54801adb58cd67b4c51407cea/
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen #berlin