Zurück zum Blog
KI-Sicherheit Zero-Day Anthropic 8. April 2026

Claude Mythos Preview: Wenn KI eigenständig Zero-Days findet

181 Firefox-Exploits, ein 27 Jahre alter OpenBSD-Bug, ein kompletter FreeBSD-RCE mit ROP-Chain. Warum das Offense-Defense-Gleichgewicht der Security-Community gerade kippt.

Am 7. April 2026 hat Anthropic eine Einschätzung der Cybersecurity-Fähigkeiten des neuen Claude Mythos Preview veröffentlicht. Der Tenor ist ungewöhnlich deutlich für ein Labor, das sonst vorsichtig formuliert: Das Modell findet und exploitet Zero-Day-Vulnerabilities in produktiver Software weitgehend ohne menschliche Anleitung – und zwar in einer Größenordnung, die vor einem Monat noch undenkbar war.

„Noch vor weniger als einem Monat schrieben wir, dass Opus 4.6 besser darin ist, Vulnerabilities zu identifizieren und zu beheben, als sie auszunutzen. Diese Fähigkeiten sind sehr schnell entstanden." – Anthropic Red Team

Der Sprung in Zahlen

Der vielleicht wichtigste Datenpunkt im Bericht ist kein einzelner Bug, sondern eine Relation. Zwischen Opus 4.6 und Mythos Preview liegen keine Wochen Entwicklung, sondern eine Größenordnung Fähigkeit:

181
funktionierende Firefox-Exploits (Mythos Preview)
2
funktionierende Firefox-Exploits (Opus 4.6)
10
Tier-5-Fälle (volle Code-Kontrolle) bei OSS-Fuzz

Der Faktor 90 bei Firefox ist nicht allein das interessante. Wichtiger ist, dass Mythos Preview nach der initialen Anfrage keine menschliche Intervention mehr benötigt. Ein Ingenieur ohne spezielles Security-Training kann abends eine Aufgabe formulieren und am nächsten Morgen mit einem funktionierenden Exploit aufwachen.

Was das Modell konkret gefunden hat

OpenBSD SACK-Implementierung 27 Jahre alt

Mythos Preview identifizierte eine Schwachstelle in der Selective-Acknowledgement-Logik, die einen Signed-Integer-Overflow über TCP-Sequenznummern ermöglicht. Das Ergebnis: ein TCP-basierter Denial-of-Service gegen ein Betriebssystem, das als Referenz für sichere Netzwerkstacks gilt.

FFmpeg H.264-Codec 16 Jahre alt

Eine Kollision über 65 536 Slices führte zu Out-of-Bounds-Writes. Bemerkenswert ist nicht der Bug selbst, sondern dass er in einer der am intensivsten gefuzzten Codebasen der Welt so lange unentdeckt blieb.

FreeBSD Remote Code Execution 17 Jahre alt

Der laut Bericht eindrücklichste Fall. Das Modell entwickelte autonom einen Exploit über sechs RPC-Requests, umging Authentifizierung, berücksichtigte KASLR-Randomisierung und baute eine 20-Gadget-ROP-Chain über mehrere Pakete verteilt – ohne Zwischenfragen, ohne händische Korrekturen.

Linux-Kernel Privilege Escalation

Mythos Preview verkettete drei bis vier separate Vulnerabilities, um KASLR zu umgehen und Root-Zugang zu erlangen, darunter subtile Race Conditions und komplexe Heap-Sprays. Das Verketten mehrerer Bugs zu einer Angriffskette war bisher eine der klarsten Trennlinien zwischen „automatisierter Bugfinder" und „menschlicher Exploit-Autor".

Warum das mehr ist als „nur bessere Fuzzer"

Fuzzing-Tools finden seit Jahren Bugs. Neu sind zwei Dinge. Erstens die Skalierbarkeit der Suche: Das Modell kann parallel und breit nach Vulnerabilities in jeder relevanten Datei suchen, auch dort, wo menschliche Reviewer intuitiv annehmen, das habe bestimmt schon jemand geprüft. Genau dort liegen die 16-, 17- und 27-Jahre-alten Bugs.

Zweitens die Verkettung. Einen Use-after-free zu finden ist eine Sache. Ihn mit einem Info-Leak zu kombinieren, KASLR zu brechen, eine ROP-Chain zu bauen und das Ganze über mehrere Netzwerkpakete hinweg stabil zu halten, war bisher eine zutiefst menschliche Disziplin. Mythos Preview tut beides in einem durchgehenden Lauf.

„Nach zwei Jahrzehnten stabilen Gleichgewichts könnten Sprachmodelle dieses prekäre Gleichgewicht destabilisieren."

Was das für Defender bedeutet

Der Bericht ist explizit keine Produktankündigung, sondern ein Frühwarnsignal. Anthropic koppelt ihn an die Initiative Project Glasswing, die kritische Software absichern soll, bevor vergleichbar fähige Modelle allgemein verfügbar werden. Die operativen Konsequenzen lassen sich nüchtern auf ein paar Punkte herunterbrechen:

Für Security- und IT-Teams

  • Patch-Fenster verkürzen. Wer heute 30-Tage-Zyklen fährt, kalkuliert mit einem Angreifer, der ältere Werkzeuge hat als das Modell im Bericht.
  • Auto-Updates erzwingen. Überall, wo es vertretbar ist. Die alten Abwägungen verschieben sich.
  • Defense-in-Depth ernst nehmen. KASLR, StackProtector, W^X, Sandboxing bleiben wirksam, gerade weil das Modell sie bricht, wenn sie fehlen.
  • KI-gestützte Bugfinder bereits jetzt einsetzen. Mit verfügbaren Modellen wie Opus 4.6 lässt sich die eigene Codebasis proaktiv absuchen, bevor ein Angreifer das mit Mythos-Klasse-Modellen tut.
  • Disclosure-Prozesse überprüfen. Wenn das Volumen gefundener Bugs sprunghaft steigt, wird Triage zum Bottleneck.

Was das für Unternehmen bedeutet, die KI einsetzen

Meine Kunden fragen mich in den letzten Monaten regelmäßig, ob sie KI-Agenten produktiv einsetzen sollten. Der Mythos-Preview-Bericht ändert die Antwort nicht, aber er ändert die Prioritätenliste. Wer KI einsetzt, sollte in den nächsten Wochen drei Dinge prüfen:

  1. Supply-Chain-Exposure. Welche Open-Source-Komponenten stecken tief in euren KI-Workflows? Sind die Dependency-Scanner auf dem neuesten Stand? Ein 17 Jahre alter FreeBSD-RCE wirft die Frage auf, wie viele ähnliche Bugs in Bibliotheken schlummern, die ihr nie direkt angefasst habt.
  2. Sandbox-Architektur. Agenten, die Code ausführen, Dateien lesen oder Netzwerkverbindungen öffnen, brauchen echte Isolation. Das hatte ich schon im OpenClaw-vs-NemoClaw-Artikel beschrieben. Mythos Preview macht dieses Thema noch dringender.
  3. Incident-Response-Pipeline. Wenn ein Patch Freitag um 17 Uhr erscheint, wer deployt ihn? Je kürzer das Fenster zwischen Disclosure und Ausnutzung, desto weniger verzeiht der Prozess manuelle Handarbeit.

Was der Bericht nicht sagt

Mythos Preview ist nicht allgemein verfügbar. Die Tests fanden in einer kontrollierten Umgebung statt, mit Anthropics eigenen Safeguards. Das Modell ist kein autonomer Angreifer im Internet. Aber die Fähigkeit existiert, und die Geschichte der Security-Community zeigt: Was heute in einem Lab funktioniert, funktioniert in absehbarer Zeit auch außerhalb.

Fazit

Der eigentliche Befund des Berichts ist weniger „KI findet Zero-Days" – das tat sie im Ansatz schon vorher – sondern die Geschwindigkeit, mit der sich diese Fähigkeit entwickelt. Zwischen „unterstützt bei der Analyse" und „exploitet autonom mit ROP-Chain über sechs RPCs" lag weniger als ein Monat Modellentwicklung. Wer Sicherheitsarchitekturen plant, sollte damit kalkulieren, dass dieser Trend anhält.

Das ist keine Panik-Nachricht. Es ist eine Einladung, den eigenen Patch-, Disclosure- und Isolationsprozess noch einmal ehrlich anzuschauen – und ihn so zu bauen, als wäre ein Angreifer mit Mythos-Klasse-Fähigkeiten bereits da.

Quelle: Assessing Claude Mythos Preview's cybersecurity capabilities (Anthropic Red Team, 7. April 2026)

Du setzt KI produktiv ein und willst wissen, wo eure Supply-Chain- und Agenten-Architektur gerade wirklich steht? Schreib mir, ich helfe bei Evaluierung und Härtung.