Hochsicherheits-KI Mythos von Anthropic durch Lieferketten-Schwachstelle kompromittiert

Anthropic By Noah Brooks
Anthropic’s High-Security Mythos AI Breached via Supply Chain Vulnerability
Ein unbefugter Zugriff auf das eingeschränkte Modell Claude Mythos von Anthropic über einen Drittanbieter offenbart kritische Sicherheitslücken in der privaten KI-Lieferkette.

Sicherheit im Zeitalter der generativen künstlichen Intelligenz wird oft im Kontext von Alignment und Schutzmaßnahmen diskutiert, doch der jüngste Einbruch in Anthropic’s eingeschränktes Mythos-Modell lenkt den Fokus zurück auf eine traditionellere und womöglich gefährlichere industrielle Schwachstelle: die Lieferkette durch Dritte. Berichte haben enthüllt, wie es einer privaten Online-Gruppe gelungen ist, Zugriff auf Claude Mythos zu erlangen – ein Modell, das so sehr auf Cybersicherheit spezialisiert ist, dass Anthropic es für die allgemeine Veröffentlichung als zu gefährlich eingestuft hatte. Dieser Vorfall, der nicht durch einen direkten Angriff auf die Kerninfrastruktur von Anthropic, sondern über die Umgebung eines Dienstleisters geschah, verdeutlicht eine aufkommende Krise in der Art und Weise, wie hochsensible KI-Tools im globalen Finanz- und Technologiesektor eingesetzt und geschützt werden.

Die Mythos-Architektur: Warum dieses Modell unter Quarantäne stand

Um die Tragweite des Einbruchs zu verstehen, muss man zunächst betrachten, wofür Mythos in der aktuellen KI-Landschaft steht. Im Gegensatz zu den Standard-Iterationen von Claude, mit denen die Öffentlichkeit interagiert, wurde Mythos speziell für Sicherheit auf Unternehmensebene sowie für offensive und defensive Cybersicherheitssimulationen entwickelt. Mechanisch ausgedrückt: Wenn ein Standard-LLM ein vielseitiges Multifunktionswerkzeug ist, dann ist Mythos ein präzisionsgefertigtes Schlossknacker-Set. Anthropic hat das Modell als ein Risiko eingestuft, das „beispiellose Cybersicherheitsrisiken“ birgt, insbesondere weil seine Fähigkeiten zur Identifizierung von Softwareschwachstellen und zur Generierung von ausnutzbarem Code weit über die Schutzmaßnahmen für Endverbrauchermodelle hinausgehen.

Die Entscheidung des Unternehmens, Mythos in einer kontrollierten Quarantäne zu halten, war eine Reaktion auf das Potenzial des Modells, die Entdeckung von Zero-Day-Lücken in einem Ausmaß zu automatisieren, dem menschliche Sicherheitsteams nicht gewachsen wären. Mythos war konzeptionell darauf ausgelegt, große Finanzinstitute und Cybersicherheitsfirmen bei der Härtung ihrer Systeme zu unterstützen. Doch genau die Funktionen, die es zu einem wertvollen Verteidigungsinstrument machen – das tiefe Verständnis von Systemarchitekturen und die Fähigkeit, komplexe Angriffsvektoren zu simulieren –, machen es zu einem katastrophalen Haftungsrisiko, falls es in die Hände von Akteuren außerhalb einer regulierten Umgebung gelangt.

Analyse des Einbruchvektors

Erste Untersuchungen des Vorfalls deuten auf die Umgebung eines Drittanbieters als primäre Fehlerquelle hin. Dies ist ein klassisches Problem der industriellen Sicherheit. Anthropic hält zwar strenge interne Protokolle ein, doch um Dienstleistungen für seinen exklusiven Kundenstamm zu erbringen, muss das Unternehmen seine Modelle in die Arbeitsabläufe externer Auftragnehmer und Infrastrukturanbieter integrieren. Berichten zufolge nutzten Mitglieder einer nicht autorisierten Gruppe, die größtenteils über einen privaten Discord-Kanal operierten, Schwachstellen in einer dieser Zwischenumgebungen aus, um eine dauerhafte Verbindung zur Mythos-Vorschau herzustellen.

Aus technischer Sicht spiegelt dies ein Versagen der „Edge Security“ wider. Wenn ein Modell in einer Sandbox eines Dritten gehostet oder getestet wird, liegt die Sicherheit dieses Modells nicht mehr allein in der Verantwortung des Entwicklers; sie ist nur so stark wie das Zugriffsmanagementsystem des Anbieters. In diesem Fall nutzte die unbefugte Gruppe Berichten zufolge mehrere Strategien, um Authentifizierungsprotokolle zu umgehen, und erlangte schließlich genügend Zugriff, um das Modell regelmäßig für ihre eigenen Zwecke zu nutzen. Anthropic hat erklärt, dass es derzeit keine Hinweise darauf gibt, dass die eigenen internen Server kompromittiert wurden, was darauf hindeutet, dass das Leck ein Versagen der Bereitstellungskette und nicht des Kernspeichers des Modells war.

Project Glasswing und das Paradoxon der industriellen Bereitstellung

Der Einbruch ist besonders brisant angesichts der hochkarätigen Natur der am Testprozess beteiligten Einheiten. Die Initiative mit dem Namen Project Glasswing zielte darauf ab, Mythos einer ausgewählten Gruppe der weltweit mächtigsten Finanz- und Technologieinstitutionen bereitzustellen. Die Liste umfasst Amazon, Apple, JP Morgan Chase, Goldman Sachs, Citigroup, Bank of America und Morgan Stanley. Dies war nicht nur ein Software-Test; es war eine strategische Anstrengung, die vom US-Finanzministerium gefördert wurde, um KI als strukturellen Verteidigungsmechanismus für das globale Finanznetz zu nutzen.

Im April traf sich Finanzminister Scott Bessent Berichten zufolge mit leitenden Bankern, um für den Einsatz von Mythos zur Erkennung systemischer Schwachstellen im Bankensektor zu werben. Das Paradoxon dabei ist offensichtlich: Je kritischer der Nutzen eines Tools ist, desto stärker verteilt müssen seine Zugangspunkte sein. Durch die Einbeziehung mehrerer globaler Banken und deren jeweiliger IT-Infrastrukturen vergrößerte sich die „Angriffsfläche“ für Mythos exponentiell. Jede Bank und jeder Subunternehmer, der diese Banken unterstützt, stellte ein potenzielles Einfallstor für Hacker dar. Der Einbruch über einen Drittanbieter ist eine ernüchternde Erinnerung daran, dass in der Welt der industriellen Automatisierung und KI die Peripherie oft anfälliger ist als das Zentrum.

Wie wirkt sich unbefugter Zugriff auf die KI-Sicherheit aus?

Wenn auf ein Modell wie Mythos außerhalb seiner vorgesehenen Umgebung zugegriffen wird, ist die Hauptsorge der Wegfall von Überwachung und Telemetrie. Innerhalb von Project Glasswing konnte Anthropic theoretisch überwachen, wie das Modell verwendet wurde, und sicherstellen, dass es nur für defensive Aufgaben eingesetzt wurde. In den Händen einer unbefugten Gruppe in einem privaten Forum existieren diese Überwachungsmechanismen nicht. Es gibt keinen „Notausschalter“ oder ein Gremium mehr, das verhindern könnte, dass das Modell dazu eingesetzt wird, Schadsoftware zu entwickeln oder Exploits in der öffentlichen Infrastruktur zu identifizieren.

Darüber hinaus ermöglicht der Einbruch bösartigen Akteuren, „adversarial testing“ nach Belieben durchzuführen. Sie können das Modell untersuchen und manipulieren, um seine internen Schwachstellen zu finden, was möglicherweise zu Techniken führt, die die Sicherheitsfilter anderer, öffentlicherer Modelle umgehen könnten. Dies erzeugt einen Rückkopplungseffekt, bei dem ein kompromittiertes Hochsicherheitsmodell zum Trainingsgelände für das Aushebeln von KI-Sicherheit in der gesamten Branche wird. Für ein Unternehmen wie Anthropic, das seine Marke auf dem Konzept der „konstitutionellen KI“ aufgebaut hat, ist dieser Einbruch mehr als ein technisches Versagen; er ist eine Herausforderung für ihre grundlegende Philosophie der sicheren Bereitstellung.

Die wirtschaftliche Realität der Drittanbieterrisiken

Aus wirtschaftlicher Sicht unterstreicht der Mythos-Einbruch die steigenden Kosten der KI-Sicherheit. Da Unternehmen wie Anthropic, OpenAI und Google DeepMind immer leistungsfähigere Tools entwickeln, werden die Kosten für die Sicherung der Lieferkette wahrscheinlich bald die Kosten für das Training der Modelle selbst erreichen. Wir erleben die Entstehung eines neuen Sektors in der Tech-Wirtschaft: KI-Treuhandwesen und sichere Bereitstellung. Wenn Drittanbietern nicht mehr zugetraut werden kann, diese Modelle zu handhaben, könnten KI-Entwickler gezwungen sein, ihre eigene, durchgängig proprietäre Hardware- und Netzwerkarchitektur aufzubauen, um ihre Dienste bereitzustellen, was die Eintrittsbarrieren für Unternehmens-KI erheblich erhöhen würde.

Die Abhängigkeit von Drittanbietern für Datenkennzeichnung, Serverwartung und Edge-Bereitstellung ist derzeit Industriestandard, da sie effizient ist. Doch wie dieser Vorfall zeigt, ist Effizienz häufig der Feind der Sicherheit. Für die Finanzgiganten, die Mythos testen, könnte der Einbruch zu einer Abkühlung des Interesses an „Vorschau“-Versionen sensibler Technologie führen. Wenn ein Werkzeug, das eine Bank schützen soll, aufgrund der Nachlässigkeit eines Auftragnehmers selbst als Waffe eingesetzt werden kann, ändert sich die Risiko-Nutzen-Rechnung für die Chefetage grundlegend.

Können KI-Modelle jemals wirklich eingedämmt werden?

Der Einbruch in Claude Mythos wirft eine schwierige Frage auf: Ist das Konzept eines Modells, das „zu gefährlich für die Veröffentlichung“ ist, nachhaltig? Die Geschichte der Softwareindustrie legt nahe, dass Code, sobald er existiert, irgendwann nach außen dringt. Ob durch Social Engineering, Schwachstellen in der Lieferkette oder interne Whistleblower – die Entropie von Informationen ist eine mächtige Kraft. Wenn ein Modell tatsächlich zu gefährlich für die Öffentlichkeit ist, bringt die Weitergabe an einen externen Partner – selbst an eine vertrauenswürdige Bank – ein Risiko für eine vollständige Offenlegung mit sich, das größer als null ist.

Während Anthropic seine Untersuchungen fortsetzt, wird die Branche genau beobachten, ob das Unternehmen sein Modell der verteilten Tests zugunsten eines zentralisierteren „On-Premises-only“-Ansatzes aufgibt. Der Mythos-Vorfall dient vorerst als warnendes Beispiel für die Robotik- und Automatisierungsbranche. Wenn wir ausgeklügelte KI in physische industrielle Systeme integrieren, ist die Sicherheit der Verbindung genauso entscheidend wie die Logik der Steuerung. Ein kompromittiertes Modell in einem Rechenzentrum ist ein Desaster; ein kompromittiertes Modell, das ein Stromnetz oder eine Fertigungslinie steuert, ist eine Katastrophe. Die Brücke zwischen komplexer Hardware und dem globalen Markt ist nur so stabil wie das schwächste Glied in der Lieferkette.

Noah Brooks

Noah Brooks

Mapping the interface of robotics and human industry.

Georgia Institute of Technology • Atlanta, GA

Readers

Leserfragen beantwortet

Q Was ist der spezifische Zweck des Claude Mythos-Modells von Anthropic?
A Claude Mythos ist eine hochspezialisierte Version der KI von Anthropic, die für Cybersicherheit auf Unternehmensebene und Verteidigungssimulationen entwickelt wurde. Im Gegensatz zu Standardmodellen für Endverbraucher ist Mythos in der Lage, Software-Schwachstellen zu identifizieren und ausnutzbaren Code in automatisiertem Maßstab zu generieren. Da das Modell Zero-Day-Schwachstellen schneller als menschliche Teams entdecken kann, hat Anthropic seine Nutzung auf eine isolierte Umgebung für Hochsicherheitsinstitutionen beschränkt, um zu verhindern, dass es für offensive Cyberangriffe missbraucht wird.
Q Wie führte die Schwachstelle eines Drittanbieters zur Sicherheitsverletzung bei Mythos?
A Der Vorfall ereignete sich, weil Anthropic das Mythos-Modell in die externen Umgebungen von Drittanbietern integrierte, um Tests für Elite-Kunden zu ermöglichen. Unbefugte Nutzer nutzten schwache Authentifizierungsprotokolle innerhalb dieser zwischengeschalteten Anbietersysteme aus, anstatt die Kernserver von Anthropic direkt anzugreifen. Dieses Versagen bei der Absicherung der Peripherie zeigt, dass selbst die sichersten KI-Modelle nur so gut geschützt sind wie das schwächste Glied in ihrer Bereitstellungspipeline und ihrer Lieferkette von Drittanbietern.
Q Welche Organisationen waren am Test von Mythos im Rahmen des Projekts Glasswing beteiligt?
A Am Projekt Glasswing war eine ausgewählte Gruppe großer globaler Finanz- und Technologieunternehmen beteiligt, darunter Apple, Amazon, JP Morgan Chase, Goldman Sachs, Citigroup, Bank of America und Morgan Stanley. Diese Initiative wurde vom US-Finanzministerium gefördert, um die Sicherheit des globalen Finanznetzes zu stärken. Durch den Einsatz von Mythos bei diesen verschiedenen Institutionen zielte das Projekt darauf ab, KI-gestützte Erkenntnisse zu nutzen, um systemische Schwachstellen innerhalb der kritischsten wirtschaftlichen Infrastrukturen der Welt zu erkennen und zu beheben.
Q Welche Risiken birgt die Deaktivierung von Überwachung und Telemetrie bei Hochsicherheits-KI?
A Wenn auf ein eingeschränktes Modell wie Mythos außerhalb seiner vorgesehenen Umgebung zugegriffen wird, sind interne Sicherheitsmonitore und Notabschaltungen praktisch deaktiviert. Dies ermöglicht es unbefugten Akteuren, das Modell ohne jegliche Aufsicht zur Erstellung von Schadsoftware oder zur Identifizierung von Schwachstellen in der öffentlichen Infrastruktur zu beauftragen. Darüber hinaus ermöglicht es gegnerische Tests, bei denen böswillige Akteure das Modell systematisch untersuchen können, um Schwachstellen zu finden, die genutzt werden könnten, um Sicherheitsbarrieren in anderen KI-Systemen der Branche zu umgehen.

Haben Sie eine Frage zu diesem Artikel?

Fragen werden vor der Veröffentlichung geprüft. Wir beantworten die besten!

Kommentare

Noch keine Kommentare. Seien Sie der Erste!