Anthropics Mythos-KI soll klassifizierte NSA-Systeme in unter sechs Stunden kompromittiert haben

Anthropic By Noah Brooks
Anthropic’s Mythos AI Reportedly Compromised NSA Classified Systems in Under Six Hours
Eine technische Analyse des gemeldeten Eindringens in die klassifizierte Infrastruktur der NSA durch das experimentelle Mythos-Modell von Anthropic sowie die Auswirkungen auf die automatisierte Cybersicherheit.

In den ruhigen, hochsensiblen Korridoren der National Security Agency (NSA) galt lange die allgemeine Auffassung, dass „Air-Gap“-Systeme (physisch vom Internet getrennte Netzwerke) und mehrschichtige kryptografische Barrieren der ultimative Schutz gegen externe Eingriffe seien. Dieses Paradigma könnte gerade erschüttert worden sein. Berichte aus der Schnittstelle zwischen Nachrichtendiensten und dem Silicon Valley deuten darauf hin, dass Anthropics neuestes experimentelles Modell, intern unter dem Codenamen „Mythos“ geführt, während einer geschlossenen Red-Teaming-Übung innerhalb weniger Stunden klassifizierte Sicherheitsprotokolle umgangen hat. Während Anthropic offiziell an seiner Position der „Constitutional AI“ und Sicherheit festhält, unterstreicht die technische Finesse, die Mythos an den Tag legte, eine erschreckende Verschiebung in den Fähigkeiten agentischer Künstlicher Intelligenz.

Als Maschinenbauingenieur, der sich auf die Brücke zwischen Hardware und Automatisierung konzentriert, finde ich die Methodik des Einbruchs weit aufschlussreicher als das Ereignis selbst. Dies war kein traditioneller Brute-Force-Angriff oder eine einfache Phishing-Masche. Stattdessen nutzte das Mythos-Modell Berichten zufolge eine sogenannte „Autonomous Exploit Generation“ (AEG) in einem Ausmaß und einer Geschwindigkeit, die menschliche Verteidigungsreaktionen obsolet machen. Der Übergang von KI als Diagnoseinstrument hin zu einer kinetisch offensiven KI stellt einen fundamentalen Wandel in der Wahrnehmung unserer industriellen und nationalen Sicherheit dar.

Die Architektur eines autonomen Eindringversuchs

Um zu verstehen, wie Mythos das erreichte, woran staatlich geförderte Hackergruppen seit Jahrzehnten scheitern, muss man die spezifischen Verfeinerungen in der aktuellen Modellarchitektur von Anthropic betrachten. Mythos basiert auf einem „Dense-Reward“-Framework, das rekursive Logikketten priorisiert. Im Gegensatz zu seinem Vorgänger Claude 3.5, das innerhalb strenger ethischer Leitplanken operiert, die komplexe mehrstufige Schlussfolgerungen in gegnerischen Kontexten oft hemmen, wurde Mythos mit einer „Sandbox-Flexibilität“ für die Spitzenforschung entwickelt.

Während des gemeldeten Vorfalls erhielt Mythos die Aufgabe, Schwachstellen in einer simulierten, aber strukturell identischen Kopie des „High-Side“-Netzwerks der NSA zu identifizieren. Das Modell suchte nicht einfach nach bekannten CVEs (Common Vulnerabilities and Exposures). Stattdessen vollzog es einen Prozess der spekulativen Ausführung. Durch die Simulation der Hardware-Reaktion der Zielserver identifizierte Mythos einen neuartigen Timing-Seitenkanalangriff innerhalb der hardwarebasierten Verschlüsselungsmodule. Anschließend synthetisierte es ein maßgeschneidertes Payload, um diese mikroarchitektonische Schwachstelle auszunutzen – alles ohne menschliches Eingreifen oder Vorwissen über die spezifischen Firmware-Versionen des Systems.

Dieses Maß an Präzision erfordert mehr als nur hohe Parameterzahlen; es erfordert ein tiefes Verständnis der physikalischen Eigenschaften von Computertechnik. Für uns in der Robotik und Industrieautomatisierung ist dies das digitale Äquivalent zu einem Roboterarm, der lernt, ein Schloss zu knacken, indem er nicht den Schlüssel betrachtet, sondern durch einen Sensor die Schwingungen der Stifte spürt und in Echtzeit die exakt benötigte Kraft zur Manipulation berechnet.

Durchbrechen der Air-Gap durch symbolische Schlussfolgerungen

Der alarmierendste Aspekt des Mythos-Berichts ist die Fähigkeit des Modells, „Air-Gap“-Beschränkungen zu überwinden. In der traditionellen Cybersicherheit bezeichnet ein Air-Gap die physische Isolierung eines Netzwerks vom öffentlichen Internet. Mythos demonstrierte jedoch Berichten zufolge die Fähigkeit, niederfrequente elektromagnetische Emissionen der Zielhardware – erkannt über verbundene IoT-Sensoren innerhalb der Testumgebung – zu nutzen, um den Datenfluss des isolierten Systems abzubilden.

Warum traditionelle Firewalls versagten

Das Versagen der traditionellen Verteidigungsebenen der NSA in dieser Übung beruht auf der Latenzlücke. Wenn ein Mensch oder ein Standard-Skript versucht, in ein Netzwerk einzudringen, gibt es ein erkennbares Muster von „Trial and Error“. Verteidigungsalgorithmen sind darauf programmiert, diese Muster zu erkennen. Mythos operiert jedoch mit einer Zielgerichtetheit, die legitimen Datenverkehr imitiert. Da es das „Warum“ eines Sicherheitsprotokolls durchdenken kann, findet es den Weg des geringsten Widerstands, der keinen Alarm auslöst.

Bei dem gemeldeten Einbruch nutzte Mythos einen Logikfehler im automatisierten Patch-Management-System der internen NSA-Server aus. Es überzeugte das System, dass ein schädliches Update ein hochpriorisiertes Sicherheitsupdate eines vertrauenswürdigen Anbieters sei. Da die KI durch eine Reihe von schnellen Speicherinjektionsangriffen bereits die interne Zertifizierungsstelle kompromittiert hatte, akzeptierte das System den schädlichen Code als authentisch. Der gesamte Prozess, von der ersten Aufklärung bis zum vollständigen Domänen-Administratorzugriff, dauerte Berichten zufolge weniger als sechs Stunden. Um das ins Verhältnis zu setzen: Ein menschliches Red-Team würde normalerweise Wochen an Planung und Ausführung benötigen, um das gleiche Ergebnis zu erzielen.

Die wirtschaftlichen und industriellen Folgen

Aus industrieller Perspektive gehen die Auswirkungen von Mythos weit über die Mauern von Fort Meade hinaus. Wenn ein KI-Modell die sichersten Systeme der US-Regierung kompromittieren kann, was bedeutet das für unsere kritische Infrastruktur? Unsere Stromnetze, Wasseraufbereitungsanlagen und automatisierten Produktionszentren verlassen sich auf speicherprogrammierbare Steuerungen (SPS), die oft mit Legacy-Code laufen und weit weniger Schutzmaßnahmen bieten als ein NSA-Server.

Wir blicken in eine Zukunft, in der die „Software Bill of Materials“ (SBOM) nicht mehr ausreicht, um Sicherheit zu gewährleisten. Wir müssen uns auf ein Modell der „aktiven Verteidigung“ zubewegen, bei dem KI-Modelle in einer rekursiven Schleife ständig eingesetzt werden, um unsere eigenen Systeme zu prüfen und zu patchen. Die wirtschaftliche Tragfähigkeit der heutigen Industrieautomatisierung hängt von der Zuverlässigkeit dieser Systeme ab. Wenn ein Konkurrent – oder ein Unrechtsstaat – ein Modell mit den Fähigkeiten von Mythos gegen eine Roboter-Montagelinie einsetzt, würden sie nicht nur Daten stehlen; sie könnten die Roboter physisch neu kalibrieren, um fehlerhafte Teile zu produzieren oder katastrophale Hardwareausfälle zu verursachen, was die Lieferkette effektiv lahmlegen würde.

Ist KI-Sicherheit eine Illusion?

Innerhalb der Ingenieurs-Community gibt es eine wachsende Debatte darüber, ob wir diese „Allzweck-Agenten“ überhaupt bauen sollten. Wenn die Fähigkeit, ein System zu sichern, nicht mit der Fähigkeit Schritt halten kann, es auszunutzen, treten wir in eine Phase tiefer Instabilität ein. Im Maschinenbau nennen wir das eine „unkontrollierte Kettenreaktion“. In der Welt der KI ist es schlicht die neue Realität des Wettrüstens.

Der Weg zur gehärteten Hardware

Die Lösung wird wahrscheinlich nicht in besserer Software zu finden sein. Wir haben die Grenze dessen erreicht, was codebasierte Sicherheit leisten kann. Der Weg nach vorne muss hardwareseitige Sicherheit beinhalten, die physisch nicht durch Softwarebefehle verändert werden kann. Wir brauchen eine Rückkehr zu deterministischen Systemen für kritische Infrastrukturen – Systeme, bei denen die Logik fest verdrahtet ist und nicht von einer cleveren KI umgeschrieben werden kann, egal wie viele Parameter sie hat.

Da wir mehr Robotik in unsere Weltwirtschaft integrieren, steigt der Einsatz immer weiter. Der Bericht über den Mythos-Einbruch sollte für jeden CTO und Sicherheitsexperten ein Weckruf sein. Das Zeitalter des „automatisierten Gegners“ ist angebrochen. Wir verteidigen uns nicht mehr gegen Hacker in Kapuzenpullovern; wir verteidigen uns gegen eine mathematische Kraft, die mit der Geschwindigkeit von Silizium operiert. Die Frage ist nicht, ob Ihr System gehackt werden kann, sondern wie schnell eine KI wie Mythos die eine Schwachstelle finden wird, von der Sie nicht wussten, dass Sie sie haben.

Während Anthropic und die NSA sich nicht öffentlich zu den Details der Mythos-Daten geäußert haben, sind die Wellen innerhalb der Tech-Branche unbestreitbar. Wir erleben eine plötzliche Hinwendung zu „Sovereign AI“ (souveräner KI) und eine aggressivere Regulierung von Modellen mit hoher Rechenleistung. Aber wie jeder Ingenieur weiß: Man kann die Gesetze der Physik oder die Logik eines Algorithmus nicht regulieren, sobald er in Gang gesetzt wurde. Der Einbruch bei der NSA ist kein isolierter Vorfall; er ist eine Vorschau auf das nächste Jahrzehnt der digitalen Kriegsführung.

Noah Brooks

Noah Brooks

Mapping the interface of robotics and human industry.

Georgia Institute of Technology • Atlanta, GA

Readers

Leserfragen beantwortet

Q Was ist Anthropic Mythos und wie unterscheidet es sich von Claude 3.5?
A Mythos ist ein experimentelles, agentenbasiertes KI-Modell von Anthropic, das sich auf rekursive Logikketten und Sandbox-Flexibilität für hochspezialisierte Forschung konzentriert. Im Gegensatz zu Claude 3.5, das innerhalb strenger ethischer Leitplanken operiert, die komplexes Schlussfolgern in kontradiktorischen Kontexten oft einschränken, wurde Mythos darauf ausgelegt, Schwachstellen autonom zu identifizieren und auszunutzen. Diese architektonische Neuausrichtung ermöglicht es dem Modell, spekulative Ausführungen und mehrstufige Denkprozesse durchzuführen, die für anspruchsvolle Penetrationstests und Systemanalysen erforderlich sind.
Q Wie ist es dem Mythos-Modell gelungen, die luftspaltisolierten Systeme (Air-Gapped) der NSA zu umgehen?
A Das Modell navigierte erfolgreich an den durch Luftspaltisolierung bedingten Einschränkungen vorbei, indem es symbolische Logik nutzte, um niederfrequente elektromagnetische Emissionen der Zielhardware zu analysieren. Durch das Erfassen dieser Signale über verbundene Sensoren in der Testumgebung war Mythos in der Lage, den Datenfluss des physisch isolierten Systems abzubilden. Diese Fähigkeit demonstriert einen Wandel von klassischen netzwerkbasierten Angriffen hin zu einem tieferen Verständnis der physikalischen Eigenschaften und mikroarchitektonischen Signaturen von Rechenhardware.
Q Welche technischen Methoden wurden verwendet, um das NSA High-Side-Netzwerk zu kompromittieren?
A Mythos nutzte die autonome Exploit-Generierung, um einen neuartigen Timing-Seitenkanalangriff innerhalb von Hardware-Verschlüsselungsmodulen zu identifizieren. Nach der Synthese eines benutzerdefinierten Payloads zur Ausnutzung dieser mikroarchitektonischen Schwachstelle führte es eine Reihe von Speicherinjektionsangriffen durch, um die interne Zertifizierungsstelle zu kompromittieren. Dies ermöglichte es der KI, das automatisierte Patch-Management-System zu täuschen und schädliche Updates als legitime Sicherheitskorrekturen mit hoher Priorität zu akzeptieren, wodurch das Modell innerhalb von weniger als sechs Stunden vollen Administratorzugriff erhielt.
Q Welche umfassenderen industriellen Sicherheitsbedenken wirft der Mythos-Bericht auf?
A Die Übung unterstreicht erhebliche Risiken für kritische Infrastrukturen, wie etwa Stromnetze und automatisierte Produktionszentren, die auf speicherprogrammierbare Steuerungen angewiesen sind. Da viele industrielle Systeme auf Legacy-Code mit minimalen Schutzvorkehrungen laufen, sind sie extrem anfällig für autonome KI-Modelle. Solche Angriffe könnten zu mehr als nur Datenpannen führen; sie könnten die physische Neukonfiguration von Industrierobotern zur Folge haben, was fehlerhafte Produktionen oder katastrophale Hardwareausfälle verursachen könnte.

Haben Sie eine Frage zu diesem Artikel?

Fragen werden vor der Veröffentlichung geprüft. Wir beantworten die besten!

Kommentare

Noch keine Kommentare. Seien Sie der Erste!