Project Glasswing: Anthropics KI-Cybersecurity-Programm (2026)
Anthropics Project Glasswing nutzt Claude Mythos Preview, um Zero-Day-Exploits in großem Maßstab zu finden. 100 Mio. $ zugesagt. Nicht öffentlich. Vollständige Analyse.
TL;DR
| Detail | Project Glasswing |
|---|---|
| Was | Anthropics defensive Cybersecurity-Initiative |
| Angetrieben durch | Claude Mythos Preview — Anthropics leistungsfähigstes Modell |
| Kernkompetenz | Entdeckt und nutzt autonom Zero-Day-Schwachstellen aus |
| Umfang | Tausende Zero-Days in allen wichtigen Betriebssystemen und Browsern gefunden |
| Öffentlicher Zugang | Keiner — erstes Anthropic-Modell, das nie für die allgemeine Verfügbarkeit freigegeben wurde |
| Partner | AWS, Apple, Microsoft, Google, NVIDIA, Cisco, CrowdStrike, JPMorgan Chase, Broadcom, Palo Alto Networks, Linux Foundation |
| Finanzielles Engagement | 100 Mio. $ in Nutzungsguthaben + 4 Mio. $ an Spenden für Open-Source-Sicherheit |
| Angekündigt | 7. April 2026 |
Was ist Project Glasswing?
Project Glasswing ist eine Initiative von Anthropic, um KI zur Identifizierung und Behebung unentdeckter Cybersecurity-Schwachstellen in kritischer Software einzusetzen — in einem Ausmaß, das kein menschliches Team erreichen könnte.
Benannt nach dem Glasflügelfalter (bekannt für seine transparenten Flügel, die Transparenz in der Sicherheit symbolisieren), basiert das Projekt auf Claude Mythos Preview, einem Frontier-Modell, das Anthropic für zu leistungsfähig für eine öffentliche Freigabe hält.
Die Prämisse ist einfach: Wenn KI-Modelle der nächsten Generation Sicherheitslücken autonom finden und ausnutzen können, müssen Verteidiger Zugang zu denselben Fähigkeiten haben, bevor Angreifer ihre eigenen entwickeln. Anstatt Mythos Preview für die Welt freizugeben und auf das Beste zu hoffen, entschied sich Anthropic, es als defensives Werkzeug für Organisationen einzusetzen, die die Software pflegen, von der die Welt abhängt.
Dies macht Project Glasswing zu einem Programm, das in seiner Art das erste ist — ein KI-Unternehmen, das den Zugang zu seinem fortschrittlichsten Modell bewusst einschränkt und dessen Fähigkeiten auf eine spezifische defensive Mission lenkt.
Warum existiert Project Glasswing?
Bei internen Tests entdeckte Anthropic, dass Claude Mythos Preview etwas tun konnte, was kein vorheriges KI-Modell demonstriert hatte: autonom Zero-Day-Schwachstellen in realer Produktionssoftware entdecken und ausnutzen.
Aus der 244-seitigen System Card, die am 7. April 2026 veröffentlicht wurde:
„Claude Mythos Preview demonstrierte einen bemerkenswerten Sprung in den Cyber-Fähigkeiten im Vergleich zu früheren Modellen, einschließlich der Fähigkeit, autonom Zero-Day-Schwachstellen in wichtigen Betriebssystemen und Webbrowsern zu entdecken und auszunutzen.“
Das Schlüsselwort ist „autonom“. Frühere KI-Modelle konnten bei der Schwachstellenforschung helfen, wenn sie von Experten angeleitet wurden. Mythos Preview kann den gesamten Prozess selbst durchführen — Quellcode lesen, Hypothesen über potenzielle Schwachstellen bilden, Proof-of-Concept-Exploits schreiben und vollständige Bug-Reports mit Reproduktionsschritten erstellen.
Anthropic erkannte, dass es nur eine Frage der Zeit war, bis ähnliche Fähigkeiten an anderer Stelle auftauchten, wenn ihr Modell dazu in der Lage war. Die Frage war: Geben wir den Verteidigern einen Vorsprung oder warten wir und hoffen?
Sie wählten den Vorsprung.
Die Cyber-Fähigkeiten: Was Mythos Preview tatsächlich kann
Die Ergebnisse der Tests von Anthropic sind sowohl in der Breite als auch in der Tiefe bemerkenswert.
Tausende von Zero-Days in kritischer Infrastruktur
Über einen Zeitraum von Wochen identifizierte Claude Mythos Preview tausende bisher unbekannter Schwachstellen — viele davon als kritisch eingestuft — in:
- Jedem großen Betriebssystem (Windows, macOS, Linux, FreeBSD, OpenBSD)
- Jedem großen Webbrowser (Chrome, Firefox, Safari, Edge)
- Anderen kritischen Software-Infrastrukturkomponenten
Spezifisch offengelegte Schwachstellen
Unter den Fehlern, die bereits gepatcht wurden und öffentlich diskutiert werden können:
- CVE-2026-4747 — Eine 17 Jahre alte Schwachstelle für Remote Code Execution in FreeBSD. Der Fehler existierte in der NFS-Implementierung und ermöglichte es einem nicht authentifizierten Angreifer von überall im Internet, Root-Zugriff zu erlangen. Mythos Preview fand ihn und entwickelte vollkommen autonom einen funktionierenden Exploit.
- Ein 27 Jahre alter Fehler in OpenBSD — bemerkenswert, da OpenBSD ein System ist, dessen gesamte Identität auf Sicherheit aufgebaut ist. Dies ist die älteste Schwachstelle, die das Modell entdeckt hat.
- Eine 16 Jahre alte Schwachstelle im H.264-Codec von FFmpeg — betrifft eine der am weitesten verbreiteten Multimedia-Verarbeitungsbibliotheken der Welt.
Fortgeschrittene Exploit-Entwicklung
Mythos Preview findet nicht nur Fehler. Es verknüpft sie zu komplexen Angriffssequenzen:
- In einem Fall schrieb es einen Webbrowser-Exploit, der vier separate Schwachstellen kombinierte, einschließlich eines JIT Heap Spray, der sowohl aus der Renderer-Sandbox als auch aus der OS-Sandbox ausbrach.
- Es entwickelte autonom Local Privilege Escalation Exploits auf Linux, indem es subtile Race Conditions und KASLR-Bypasses ausnutzte.
- Es generiert vollständige Proof-of-Concept-Exploits mit Reproduktionsschritten, formatiert als professionelle Bug-Reports, die bereit für die Triage durch Entwickler sind.
Technische Funktionsweise
Anthropic führt Mythos Preview über Claude Code aus — ihre agentische Coding-Umgebung. Das Modell wird angewiesen, Sicherheitslücken zu finden, und agiert dann agentisch:
- Liest Quellcode, um die Angriffsfläche zu verstehen
- Stellt Hypothesen über potenzielle Schwachstellen basierend auf Codemustern auf
- Schreibt Test-Harnesses und Exploit-Code, um seine Hypothesen zu bestätigen
- Erstellt strukturierte Bug-Reports mit funktionierenden Proof-of-Concept-Exploits
Wer sind die Partner?
Project Glasswing startete mit 12 Gründungspartnern und wurde seitdem auf über 40 Organisationen erweitert.
Gründungspartner
| Organisation | Rolle |
|---|---|
| Amazon Web Services | Cloud-Infrastrukturanbieter |
| Apple | OS- und Browser-Anbieter |
| Broadcom | Halbleiter- und Infrastruktursoftware |
| Cisco | Netzwerk- und Sicherheitsinfrastruktur |
| CrowdStrike | Endpoint-Security-Plattform |
| OS-, Browser- und Cloud-Anbieter | |
| JPMorgan Chase | Finanzinfrastruktur |
| Linux Foundation | Verwalter des Open-Source-Software-Ökosystems |
| Microsoft | OS-, Browser- und Cloud-Anbieter |
| NVIDIA | GPU- und KI-Infrastruktur |
| Palo Alto Networks | Netzwerk- und Cloud-Sicherheit |
Die Partnerliste ist bemerkenswert für ihre Breite. Sie umfasst Betriebssystemhersteller (Apple, Microsoft, Google), Cloud-Anbieter (AWS, Google, Microsoft), Sicherheitsunternehmen (CrowdStrike, Palo Alto Networks), Finanzinfrastruktur (JPMorgan Chase) und das Open-Source-Ökosystem (Linux Foundation).
Open-Source-Finanzierung
Anthropic hat 4 Mio. $ an direkten Spenden für Open-Source-Sicherheitsorganisationen zugesagt:
- 2,5 Mio. $ an Alpha-Omega und OpenSSF über die Linux Foundation
- 1,5 Mio. $ an die Apache Software Foundation
Das 100-Millionen-Dollar-Engagement
Anthropic stellt bis zu 100 Millionen US-Dollar in Nutzungsguthaben für Mythos Preview im Rahmen von Project Glasswing zur Verfügung.
Diese Zahl spiegelt die rechenintensive Natur der autonomen Schwachstellensuche wider. Mythos Preview über Millionen von Zeilen Code in jedem großen Softwareprojekt laufen zu lassen, ist teuer. Durch die Bereitstellung von Guthaben, anstatt den Partnern Gebühren zu berechnen, beseitigt Anthropic die Kostenbarriere, die die defensive Arbeit ansonsten verlangsamen würde.
Zum Vergleich: 100 Mio. $ an Guthaben entsprechen wahrscheinlich zehntausenden GPU-Stunden, die ausschließlich der Suche und Dokumentation von Sicherheitsmängeln gewidmet sind, bevor Angreifer diese ausnutzen können.
Warum wird das Modell nicht öffentlich freigegeben?
Das ist die Frage, die sich jeder stellt. Anthropics Begründung hat drei Ebenen:
1. Das Dual-Use-Risiko ist extrem. Genau die Fähigkeit, die Mythos Preview für die Verteidigung wertvoll macht — das autonome Finden und Ausnutzen von Zero-Days —, würde es ebenso wertvoll für Angriffe machen. Eine öffentliche Freigabe würde jedem Angreifer auf der Welt Zugang zu einem Werkzeug geben, das ausnutzbare Schwachstellen schneller finden kann, als ein menschliches Team sie patchen kann. 2. Die Asymmetrie begünstigt Angreifer. Angreifer müssen nur eine Schwachstelle finden. Verteidiger müssen sie alle patchen. Eine öffentlich zugängliche KI zur Schwachstellensuche würde diese Asymmetrie weiter zugunsten der Angreifer verschieben, selbst wenn Verteidiger ebenfalls Zugang hätten. 3. Kontrollierter Einsatz funktioniert. Durch die Beschränkung des Zugangs auf Organisationen, die kritische Infrastrukturen pflegen, stellt Anthropic sicher, dass der Output des Modells direkt in die Patch-Pipeline fließt. Schwachstellen werden gefunden, durch koordinierte Offenlegung gemeldet und behoben — ohne dass Exploit-Code an die Öffentlichkeit gelangt.Dies macht Claude Mythos Preview zum ersten Anthropic-Modell, das nie für die allgemeine Verfügbarkeit freigegeben wurde. Die System Card wurde vollständig veröffentlicht (alle 244 Seiten), aber das Modell selbst bleibt beschränkt.
Branchenreaktionen und Bedenken
Project Glasswing hat in der Technologie- und Politiklandschaft große Aufmerksamkeit erregt.
Positive Aufnahme
Sicherheitsforscher und Branchenführer haben die Initiative weitgehend gelobt. Simon Willison merkte an, dass die Beschränkung von Mythos auf Sicherheitsforscher angesichts der beschriebenen Fähigkeiten „notwendig klingt“. Die Initiative wurde laut CNBC zwischen dem Vorsitzenden der Federal Reserve, Powell, Finanzminister Bessent und CEOs großer US-Banken diskutiert, was die systemische Bedeutung der KI-gesteuerten Schwachstellensuche widerspiegelt.
Skepsis und Bedenken
Nicht jeder ist überzeugt. Einige Branchenveteranen argumentieren, dass das Finden von Schwachstellen nie der Engpass war — das eigentliche Problem sei es, Organisationen dazu zu bringen, sie tatsächlich zu beheben. Wie Fortune berichtete, bleibt die Lücke zwischen Entdeckung und Behebung das schwächste Glied in der Sicherheitskette.
Andere sorgen sich um den Präzedenzfall, dass ein KI-Unternehmen entscheidet, welche Organisationen Zugang zu leistungsstarken Fähigkeiten erhalten und welche nicht. Das britische AI Safety Institute (AISI) veröffentlichte eine eigene Bewertung der Cyber-Fähigkeiten von Mythos Preview und lieferte damit eine unabhängige Einschätzung der Behauptungen.
Was passiert als Nächstes?
Ist das die neue Normalität für Frontier-KI?
Wahrscheinlich ja. Da KI-Modelle immer leistungsfähiger werden, wird die Praxis, den Zugang zu Modellen mit extremen Dual-Use-Fähigkeiten einzuschränken, wahrscheinlich zum Standard werden. Project Glasswing ist eine Vorlage dafür, wie dies funktionieren kann: Die System Card transparent veröffentlichen, das Modell selbst beschränken und die Fähigkeiten auf die Verteidigung lenken.
Werden andere KI-Unternehmen folgen?
OpenAI verfolgt bereits eigene Cybersecurity-Initiativen, was Crypto News als „Rennen“ zwischen KI-Unternehmen um defensive Cyber-Fähigkeiten beschrieb.
Wann werden die Schwachstellen offengelegt?
Anthropic folgt standardmäßigen Prozessen zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure). Sobald Patches von den betroffenen Anbietern veröffentlicht werden, werden die entsprechenden Details zur Schwachstelle öffentlich. Angesichts des Volumens — tausende Zero-Days — wird dieser Prozess Monate oder länger dauern.
Häufig gestellte Fragen
Was bedeutet „Glasswing“?
Der Name stammt vom Glasflügelfalter (Greta oto), dessen Flügel fast transparent sind. Die Metapher steht für Transparenz — sowohl bei Anthropics Ansatz zur Veröffentlichung der vollständigen System Card als auch beim Ziel, Software-Infrastrukturen sichtbarer und sicherer zu machen.
Kann ich Claude Mythos Preview nutzen?
Nicht, es sei denn, Sie arbeiten bei einer der über 40 Partnerorganisationen im Project-Glasswing-Konsortium. Anthropic hat keine Pläne angekündigt, Mythos Preview für die allgemeine Verfügbarkeit freizugeben.
Ist Project Glasswing mit Claude Opus 4.6 oder Claude Sonnet verwandt?
Nein. Mythos Preview ist ein separates, leistungsfähigeres Modell. Claude Opus 4.6 und Sonnet 4.6 bleiben über die Anthropic-API und Consumer-Produkte verfügbar. Project Glasswing nutzt spezifisch Mythos Preview wegen seiner überlegenen Cybersecurity-Fähigkeiten.
Wie schneidet Mythos Preview im Vergleich zu anderen Modellen bei Cybersecurity-Aufgaben ab?
Kein anderes öffentlich bekanntes Modell hat die Fähigkeit demonstriert, autonom Zero-Day-Schwachstellen in diesem Ausmaß zu entdecken und auszunutzen. Die System Card beschreibt Fähigkeiten, die in den Worten von Anthropic einen „bemerkenswerten Sprung“ über alle vorherigen Modelle hinaus darstellen.
Bedeutet dies, dass KI menschliche Sicherheitsforscher ersetzen wird?
Nein. Das Modell erstellt Schwachstellenberichte und Proof-of-Concept-Exploits, aber menschliche Sicherheitsexperten werden weiterhin benötigt, um Ergebnisse zu validieren, Patches zu entwickeln, Korrekturen zu testen und die Offenlegung zu koordinieren. Betrachten Sie es als einen Kraftmultiplikator, der den Umfang dessen, was ein Sicherheitsteam abdecken kann, drastisch erweitert.
Was ist mit dem Risiko, dass das Modell gestohlen oder geleakt wird?
Dies ist ein berechtigtes Anliegen, das Anthropic in der System Card adressiert hat. Das Modell des beschränkten Einsatzes — bei dem Partnerorganisationen über eine kontrollierte Infrastruktur auf Mythos Preview zugreifen, anstatt Modellgewichte herunterzuladen — ist darauf ausgelegt, dieses Risiko zu minimieren.
Das Fazit
Project Glasswing stellt einen Wendepunkt in der Art und Weise dar, wie Frontier-KI-Fähigkeiten eingesetzt werden. Anstatt des Standardansatzes — breit veröffentlichen und sich später mit den Konsequenzen befassen — wählte Anthropic den gezielten Einsatz für eine spezifische defensive Mission.
Ob man dies als verantwortungsvolle KI-Governance oder als gefährlichen Präzedenzfall betrachtet, bei dem ein privates Unternehmen als Gatekeeper für leistungsstarke Technologie fungiert, die Ergebnisse sind schwer zu bestreiten: Tausende kritische Schwachstellen in der wichtigsten Software der Welt wurden entdeckt und in die Patch-Pipeline geleitet, bevor Angreifer sie fanden.
Die Auswirkungen auf die Cybersecurity sind unmittelbar. Die Auswirkungen auf die Governance werden Jahre brauchen, um sich vollständig zu entfalten.
Bei Y Build verfolgen wir die Grenzen der KI-Fähigkeiten und wie sie die Softwareentwicklung und Sicherheit neu gestalten. Während sich Project Glasswing auf Cybersecurity konzentriert, wird der zugrunde liegende Trend — KI-Modelle, die leistungsfähig genug sind, um einen eingeschränkten Einsatz zu erfordern — die Art und Weise prägen, wie jeder Entwickler in den kommenden Jahren mit KI arbeitet.
Quellen:
- Project Glasswing: Securing critical software for the AI era — Anthropic
- Claude Mythos Preview System Card — red.anthropic.com
- Anthropic debuts preview of powerful new AI model Mythos — TechCrunch
- Anthropic says its most powerful AI cyber model is too dangerous to release — VentureBeat
- Simon Willison on Project Glasswing
- Powell, Bessent discussed Anthropic's Mythos AI cyber threat with major U.S. banks — CNBC
- AISI evaluation of Claude Mythos Preview's cyber capabilities
- Anthropic caused panic that Mythos will expose cybersecurity weak spots — Fortune
- Introducing Project Glasswing — Linux Foundation
- The Vulnpocalypse: Why experts fear AI could tip the scales toward hackers — NBC News