Sicherheitsbedenken veranlassen Anthropic, die Nutzung von KI-Tools angesichts der wachsenden Cyber-Bedrohungslandschaft einzuschränken.
Anthropic hat angekündigt, sein KI-Modell Claude Mythos Preview nur einer ausgewählten Gruppe von Unternehmen zur Verfügung zu stellen, nachdem das neue Modell Tausende kritischer Schwachstellen in Betriebssystemen, Webbrowsern und anderer Software gefunden hat.
Anthropic sagte, dass das neue Allzweckmodell auch Hochsicherheitslücken in allen wichtigen Betriebssystemen und Webbrowsern gefunden habe.
„Angesichts der Geschwindigkeit des KI-Fortschritts wird es nicht lange dauern, bis sich solche Fähigkeiten vermehren, möglicherweise über die Akteure hinaus, die sich für ihren sicheren Einsatz einsetzen.“
KI wurde bereits von Hackern zur Durchführung von Cyberangriffen eingesetzt. Laut AllAboutAI ist im Vergleich zum Vorjahr ein Anstieg von 72 % bei KI-gestützten Cyberangriffen zu verzeichnen, wobei 87 % der globalen Unternehmen im Jahr 2025 KI-gestützte Cyberangriffe erleben werden.
Anthropic äußerte sich besorgt darüber, was passieren würde, wenn ähnliche KI-Fähigkeiten von böswilligen Akteuren genutzt würden.
Um dem entgegenzuwirken, kündigte Anthropic am Dienstag das Project Glasswing an, eine neue Initiative, die mehr als 40 Unternehmen zusammenbringt, darunter Amazon Web Services, Apple, Cisco, Google, JPMorgan, die Linux Foundation, Microsoft und Nvidia.
Project Glasswing wird die Fähigkeiten von Claude Mythos Preview nutzen, um Fehler defensiv zu finden, die Daten mit seinen Partnern zu teilen und Bedrohungen durch das Patchen kritischer Schwachstellen zuvorzukommen, bevor böswillige Akteure sie ausnutzen können.
Jahrzehnte alte Fehler werden entdeckt
Eine Zero-Day-Schwachstelle ist ein Softwarefehler, der ausgenutzt werden kann, bevor jemand, der ihn beheben kann, überhaupt weiß, dass er existiert. Um sie zu finden und zu beheben, war in der Vergangenheit seltenes und teures menschliches Fachwissen erforderlich, aber KI könnte den Umfang und die Geschwindigkeit der Erkennung verändern.
Anthropic sagte, die gefundenen Schwachstellen seien „oft subtil oder schwer zu erkennen“.
Viele von ihnen seien 10 oder 20 Jahre alt, wobei der älteste bisher gefundene Fehler ein inzwischen behobener, 27 Jahre alter Fehler in OpenBSD sei – einem Betriebssystem, das vor allem für seine Sicherheit bekannt sei, hieß es weiter.
Außerdem wurden ein 16 Jahre alter Fehler in der FFmpeg-Medienverarbeitungsbibliothek, eine 17 Jahre alte Sicherheitslücke zur Remotecodeausführung im Open-Source-Betriebssystem FreeBSD und zahlreiche Sicherheitslücken im Linux-Kernel gefunden.
Mythos Preview identifizierte außerdem mehrere Schwachstellen in den weltweit beliebtesten Kryptografiebibliotheken, Algorithmen und Protokollen, darunter TLS, AES-GCM und SSH.
Es fügte hinzu, dass Webanwendungen „eine Vielzahl von Schwachstellen enthalten“, die von Cross-Site-Scripting und SQL-Injection bis hin zu domänenspezifischen Schwachstellen wie Cross-Site-Request-Forgery reichen, das häufig bei Phishing-Angriffen eingesetzt wird.
Lebenszyklus eines Zero-Day-Exploits. Quelle: PhoenixNAP
Anthropic behauptete, dass 99 % der gefundenen Schwachstellen noch nicht behoben seien, „deshalb wäre es unverantwortlich von uns, Details darüber preiszugeben.“
Software wird sicherer werden, aber nicht über Nacht
Anthropic sagte, dass dies wahrscheinlich erst der Anfang eines Trends sei und „die Arbeit zur Verteidigung der Cyber-Infrastruktur der Welt Jahre dauern könnte“, aber KI werde dabei helfen, Software und Systeme zu härten.
„Langfristig gehen wir davon aus, dass die Verteidigungsfähigkeiten dominieren werden: dass die Welt sicherer wird und die Software besser gehärtet wird – größtenteils durch Code, der von diesen Modellen geschrieben wird.“ Aber die Übergangszeit wird schwierig sein.“