Europa bleibt bei Cyber-KI außen vor: Anthropics Mythos findet Hunderte Zero-Day-Lücken, doch nur US-Firmen haben Zugang
Was wirklich drin steht
Anthropic hat am 7. April 2026 sein Frontier-Modell Claude Mythos Preview vorgestellt, das bei Cybersicherheitsaufgaben bislang unerreichte Fähigkeiten zeigt. Das Modell kann autonom Zero-Day-Sicherheitslücken in realen Softwareprojekten finden, bestätigen und Proof-of-Concept-Exploits dafür erstellen. In einer Zusammenarbeit mit Mozilla identifizierte Mythos 271 Sicherheitslücken im Firefox-Browser, die Mozilla am 21. April im Sicherheitsupdate Firefox 150 behoben hat. Darunter waren kritische Use-after-free-Schwachstellen in DOM- und WebRTC-Komponenten. Zum Vergleich: Ein früherer Scan mit Claude Opus hatte nur 22 Bugs gefunden. Anthropic hat das Modell bewusst nicht öffentlich zugänglich gemacht und stattdessen 'Project Glasswing' gegründet - ein Konsortium aus Amazon Web Services, Apple, Google, JPMorgan Chase, Microsoft und Nvidia, die frühzeitigen Zugang erhalten, um Schwachstellen in ihren Systemen zu finden und zu beheben. Keine europäische Regierung, keine EU-Institution und kein europäisches Unternehmen hat Zugang. Die EU-Kommission verhandelt seit Wochen erfolglos mit Anthropic über Testzugang für europäische Finanzinstitute und Unternehmen. Im Gegenzug hat OpenAI angeboten, sein Modell GPT-5.5-Cyber dem EU AI Office zur Verfügung zu stellen.
Unsere Einordnung
Diese Situation verdient die Einstufung als ernstes Risiko. Europäische Software - Betriebssysteme, Browser, Bankensysteme - hat dieselben Sicherheitslücken wie die Software, die Mythos bei US-Partnern scannt. Doch Europa hat keinen Zugang zum leistungsfähigsten Werkzeug, um diese Lücken zu finden. Das schafft eine asymmetrische Sicherheitslage: US-Unternehmen können ihre Systeme proaktiv absichern, europäische nicht. Anthropics Begründung - restriktiver Zugang zum Schutz vor Missbrauch - ist nachvollziehbar, denn ein öffentlich verfügbares Modell, das Zero-Days findet, wäre ein Geschenk für Angreifer. Gleichzeitig stellt sich die Machtfrage: Ein einzelnes US-Unternehmen entscheidet faktisch, wer Zugang zum mächtigsten Cybersicherheitswerkzeug der Welt hat. Mozillas CTO Bobby Holley relativierte allerdings: Keine der 271 gefundenen Lücken sei von einer Art gewesen, die ein Elite-Sicherheitsforscher nicht auch hätte finden können. Das Modell ist also schneller und gründlicher als Menschen, aber nicht grundsätzlich überlegen. Dass OpenAI sein Konkurrenzprodukt der EU anbietet, zeigt den geopolitischen Wettbewerb um die europäische Gunst.
Relevanz für Deutschland
Für Deutschland ist diese Entwicklung aus mehreren Gründen brisant. Erstens betrifft die Cybersicherheitslücke direkt die deutsche Wirtschaft: Deutsche Banken, Versicherer und Industrieunternehmen nutzen dieselbe Software, die Mythos bei US-Partnern scannt - ohne Zugang zum Schutzmechanismus. Die EZB hat europäische Banken bereits wegen der KI-Cybersicherheitsrisiken einberufen. Zweitens stellt sich die Frage der digitalen Souveränität: Der EU AI Act sieht für 'General Purpose AI with Systemic Risk' Berichtspflichten vor - ob Mythos darunter fällt, ist eine offene Rechtsfrage, die möglicherweise bis August 2026 geklärt werden muss. Drittens fehlt in Europa ein vergleichbares eigenes Modell. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die europäische Cybersicherheitsagentur ENISA haben keine gleichwertigen KI-Werkzeuge. Die Abhängigkeit von US-Tech-Konzernen bei der Cybersicherheit ist damit so sichtbar wie nie zuvor.
Faktencheck
Die Firefox-Zahlen (271 Schwachstellen, behoben in Firefox 150) sind durch Mozillas offizielles Security Advisory MFSA 2026-30 verifizierbar und werden von SecurityWeek, The Register und Slashdot übereinstimmend berichtet. Die Evaluierung durch das britische AI Safety Institute (AISI) ist auf deren offizieller Webseite dokumentiert. Project Glasswing und die teilnehmenden Unternehmen werden durch Anthropics eigene Webseite (anthropic.com/glasswing) bestätigt. Die gescheiterten EU-Verhandlungen werden von CNBC, The Parliament Magazine und CryptoBriefing unabhängig berichtet. Die Aussage von Mozillas CTO Bobby Holley, dass kein Bug eine Art war, die ein Elite-Forscher nicht auch hätte finden können, stammt aus dem Register-Bericht.
Quelle
- • https://www.cnbc.com/2026/05/11/openai-eu-cyber-model-anthropic-mythos-gpt.html
- • https://www.securityweek.com/claude-mythos-finds-271-firefox-vulnerabilities/
- • https://www.theregister.com/2026/04/22/mozilla_firefox_mythos_future_defenders/
- • https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities