Was bei Mythos auffällt, ist weniger ein einzelnes Feature, sondern die Kombination aus: Codeverständnis, Reasoning (also mehrstufiges Planen) und Tool-Autonomie. Auch diese drei Faktoren sind für sich genommen nicht neu. Durch die Kombination entstehen aber neue Eigenschaften. Glaubt man den Aussagen des Herstellers „Anthropic“ selbst, dann wurden die Fähigkeiten, um mehrstufige Angriffe selbstständig zu planen, komplexe Exploits zu entwickeln und Sicherheitslücken aufzudecken, die zuvor mehrere Jahrzehnte unentdeckt geblieben sind, nicht explizit trainiert, sondern sind als Nebeneffekt allgemeiner Modellverbesserungen entstanden. Das ist aus Security-Sicht eine ziemlich unangenehme Aussage. Denn es bedeutet, dass wir die offensiven Fähigkeiten künftiger KI-Systeme nicht mehr klar isoliert betrachten oder gezielt „abschalten“ können. Sie entstehen als inhärente Eigenschaft leistungsfähiger Modelle.
Exploits auf einem neuen Level
Einige der bekannt gewordenen Beispiele sind, auch wenn man mittlerweile weiß, dass die Aussagen der großen LLM-Betreiber mit Vorsicht zu genießen sind, bemerkenswert:
- Entdeckung tausender potenzieller Zero-Day-Schwachstellen
- Entwicklung von mehrstufigen Exploit-Ketten
- Kombination mehrerer Schwachstellen zur Umgehung von Sandboxen
- Teilweise autonome Zielverfolgung innerhalb einer Umgebung
Interessant sind dabei nicht die einzelnen neuen Schwachstellen die gefunden werden, sondern die Fähigkeit der KI, komplexe Angriffspfade zu entwickeln, die mehrere Systeme und Schutzmechanismen gleichzeitig betreffen und aushebeln können. Bis heute benötigten menschliche Angreifer hierfür viel Zeit, Erfahrung und ausreichende Ressourcen. Die Zukunft könnte aber vollkommen anders aussehen.
Der AISI-Test und warum er relevant ist
Ein in der Branche häufig zitierter Benchmark ist der mehrstufige Angriffssimulationstest des AI Safety Institute (AISI). Dieser Test besteht aus einer Reihe aufeinander aufbauender Schritte, die typischerweise notwendig sind, um eine komplexe Cyberattacke durchzuführen:
- Reconnaissance
- Initial Access
- Privilege Escalation
- Lateral Movement
- Exfiltration
Dass ein KI-System solche Sequenzen durchgängig erfolgreich bearbeiten kann, ist ein deutlicher Hinweis darauf, dass wir uns nicht mehr im Bereich von „Assistenzsystemen“ bewegen, sondern in Richtung teilautonomer Angriffslogik, bald schon vollautonomer KI-Angriffe.
Der ewige Kreislauf: Offense und Defense skalieren gleichzeitig
Anthropic positioniert das Projekt explizit als defensiven Ansatz. Ein Versuch, diese Fähigkeiten zuerst für Schutzmechanismen nutzbar zu machen. Das ist klingt logisch und alles andere wäre marketingtechnischer Selbstmord. Aber es ist leider nur die halbe Wahrheit. Denn es bedeutet gleichzeitig auch, dass noch effektivere Tools oder KI-Agenten zur Verfügung stehen - für schnellere Exploit-Entwicklung und zur Abdeckung breiterer Angriffsflächen - und damit die Eintrittsbarrieren für potentielle Angreifer in Zukunft noch deutlich niedriger liegen werden.
Oder anders gesagt: Alles, was die Verteidigung besser macht, macht auch den Angriff besser. Das gilt übrigens aber meistens auch umgekehrt und ist kein neues Prinzip in der Cybersecurity, aber durch KI erreicht es eine neue Skalierung.
Was ändert sich dadurch konkret für Unternehmen
Viele Organisationen unterschätzen aktuell noch, wie stark sich die Anforderungen verschieben. Klassische Security-Ansätze sind oft noch geprägt von punktuellen Penetrationstests, reaktiven Patch-Zyklen, isolierten Security-Tools und der zwar automatisierten Erkennung von Anomalien und Incidents, aber den darauf dann häufig noch immer manuell durchgeführten Aktionen.
In einer Welt, in der Angriffe zunehmend automatisiert und auf Echtzeit optimiert werden, reicht das nicht mehr aus.
Was stattdessen notwendig wird:
- Continuous Exposure Management: Nicht einmal im Jahr testen, sondern kontinuierlich verstehen, wo man angreifbar ist.
- Patch- und Vulnerability-Management: Die Zeit zwischen „Schwachstelle bekannt“ und „System gepatcht“ wird zum kritischen Faktor.
- Orchestrierte Verteidigung: Einzelne Tools verlieren an Bedeutung. Entscheidend ist die Fähigkeit, Telemetrie zu korrelieren und automatisiert zu reagieren.
- External Risk Management: Angriffe beginnen selten im eigenen Netzwerk. Lieferketten, Partner, exponierte Services werden zum zentralen Risiko und müssen proaktiv überwacht und gemanaged werden.
Fazit: Kein Quantensprung, aber ein Kipppunkt
Mythos ist wahrscheinlich nicht der „Gamechanger“, als der er teilweise dargestellt wird. Aber er ist ein klarer Indikator dafür, dass wir uns einem Kipppunkt nähern. Ein Punkt, an dem: Verteidigung ohne Automatisierung bald nicht mehr mithalten kann und klassische Security-Modelle strukturell an ihre Grenzen stoßen.
Für Unternehmen bedeutet das vor allem eines: Nicht mehr die Frage, ob man sich mit diesen Entwicklungen beschäftigt. Sondern wie schnell und wie konsequent.
