Claude Mythos Findet 10.000 Zero-Days – Patch-Pipeline Kollabiert

Wer jemals um 23 Uhr an einem Freitag einen CVE-Advisory veröffentlicht hat, weiß: Der Flaschenhals liegt nicht im Auffinden von Bugs, sondern darin, Menschen dazu zu bringen, sie zu triagieren, zu bestätigen und zu patchen. Anthropic hat gerade Zahlen veröffentlicht, die diesen Flaschenhals zu einer strukturellen Krise machen. In einem einzigen Monat fand ein noch unveröffentlichtes Modell mehr kritische Zero-Days, als die meisten Anbieter in einem ganzen Jahr verarbeiten.

Die Offenlegung erfolgte am 23. Mai 2026, und die Mathematik dahinter sollte jeden Plattformverantwortlichen, der das liest, beunruhigen.

Was Passiert Ist

Anthropic stellte die Ergebnisse des ersten Monats von Project Glasswing vor, einem defensiven Konsortium, das auf einem unveröffentlichten Modell namens Claude Mythos Preview basiert. Wie CyberSecurityNews berichtete, entdeckte das Modell autonom mehr als 10.000 Zero-Day-Schwachstellen mit hohem und kritischem Schweregrad in Produktionscode-Basen von über 50 Partnerorganisationen, darunter Microsoft, Apple, Google und Cloudflare.

Cloudflare allein meldete 2.000 vom Modell gefundene Bugs, davon 400 mit hohem oder kritischem Schweregrad, und stellte fest, dass die Falsch-Positiv-Rate besser ist als bei menschlichen Testern. Mozilla nutzte Mythos Preview, um 271 Schwachstellen in Firefox 150 zu finden und zu patchen – zehnmal mehr als frühere Tests mit Claude Opus 4.6 ergaben. Das AI Security Institute des Vereinigten Königreichs erklärte, Mythos Preview sei das erste Modell, das seine mehrstufigen Cyberangriffssimulationen vollständig löst.

Anthropic richtete das Modell außerdem auf über 1.000 Open-Source-Projekte aus. Ein Fund, CVE-2026-5194, war eine kritische Schwachstelle in der wolfSSL-Kryptographiebibliothek, die Zertifikatsfälschung ermöglichte. Das Modell erkannte den Bug nicht nur – es erstellte auch einen funktionierenden Exploit, der in der Lage ist, Banking- oder E-Mail-Domains lautlos zu spoofing.

Dann zeigt sich die Lücke. Der erste Scan ergab 23.019 Kandidatenfunde. Externe Firmen prüften 1.900 davon und bestätigten 1.726 als echte Treffer – eine Rate von 90,8 %. Anthropic leitete 1.596 geprüfte Befunde an Maintainer weiter. Nur 97 wurden upstream gepatcht. Nur 88 Advisories wurden veröffentlicht.

Unter Berufung auf das Dual-Use-Risiko hält Anthropic Mythos von der öffentlichen Veröffentlichung zurück und beschränkt den Zugang auf Konsortiumsmitglieder. Für alle anderen gibt es Claude Security in der öffentlichen Beta, das auf Opus 4.7 läuft und berichten zufolge dabei geholfen hat, über 2.100 Unternehmensschwachstellen zu patchen.

Technische Analyse

Die Schlagzeile lautet 10.000 Zero-Days. Die interessante Zahl ist 90,8 %. Diese Bestätigungsrate, bei 1.900 geprüften Stichproben, zeigt, dass das Modell nicht nur plausibel aussehende Warnmeldungen generiert. Es produziert Befunde, die einer adversariellen Überprüfung durch bezahlte externe Sicherheitsfirmen standhalten. Cloudflares Aussage, dass die Falsch-Positiv-Rate besser ist als bei menschlichen Testern, deckt sich damit.

Der wolfSSL-Fall zeigt, was sich verändert hat. Statische Analysatoren finden verdächtige Muster. Menschliche Forscher finden Bugs und schreiben wochenlang Exploits. Mythos Preview hat beides in einem Durchgang erledigt: die Zertifikatsfälschungs-Primitive identifiziert und einen funktionalen Exploit konstruiert. Die wirtschaftlichen Kosten für die Erstellung eines bewaffneten Zero-Days gegen eine weit verbreitete Krypto-Bibliothek sind gerade gegen null gesunken.

Dieser Kollaps bricht die Annahme hinter dem 90-tägigen koordinierten Disclosure-Fenster. Das Fenster existiert, weil das Auffinden eines Bugs teuer war, sodass Verteidiger einen Vorsprung hatten. Sobald die Entdeckung günstig ist, wird das Fenster zu einem synchronisierten Startschuss für jeden mit vergleichbarem Werkzeug. Und es wird vergleichbares Werkzeug geben. Anthropic erwägt ausdrücklich eine zukünftige Veröffentlichung auf Mythos-Niveau.

Schauen Sie sich den Funnel an: 23.019 Kandidaten, 1.596 geprüfte Berichte gesendet, 97 Patches eingespielt. Das ist eine Patch-Rate von 6 % gegenüber gemeldeten Befunden, nicht gegenüber dem rohen Scan-Output. Die Triage-Kapazität von Upstream-Maintainern – meist Freiwillige – ist der Engpass. KI-gestützte Entdeckung produziert hochwertige Berichte in einem Tempo, das menschliche Prüfer, CI-Pipelines, Release-Ingenieure und nachgelagerte Paket-Nutzer physisch nicht verarbeiten können.

Anthropic versucht, den Funnel mit dem zu erweitern, was es den Partnern des Cyber Verification Program gibt: spezialisierte Fähigkeiten, Codebase-Mapping-Harnesses, automatisierte Bedrohungsmodell-Ersteller. Cisco hat seine Foundry Security Spec als Open Source freigegeben, damit Verteidiger KI-gestützte Evaluierungssysteme aufbauen können. Nützlich, aber der Flaschenhals ist nicht die Evaluierung. Der Flaschenhals ist der menschliche Maintainer einer transitiv abhängigen Bibliothek, der einen Hauptberuf hat und jetzt 40 gut geschriebene Schwachstellenberichte in seinem Posteingang hat.

Meine Einschätzung: Die Disclosure-Pipeline wurde für eine Ära entworfen, in der das Auffinden von Bugs die knappe Ressource war. Diese Ära endete diesen Monat.

Wer Betroffen Ist

Zuerst die Open-Source-Maintainer. Die Lücke zwischen 97 Patches und 1.596 Berichten ist keine Geschichte über faule Projekte. Es ist eine Geschichte über freiwillige Menschen, die gebeten werden, linear gegen den KI-Durchsatz zu skalieren. Bei Produktionsvorfällen, die ich erlebt habe, lassen sich die schlimmsten Ausfälle auf ungepatchte transitive Abhängigkeiten zurückführen – nicht auf die Top-Level-Bibliothek, die ein Team tatsächlich prüft. Wenn Mythos-artiges Scanning zum Standard wird, sitzt jede iGaming-Plattform und jede Fintech-App, die Node, Python oder Go verwendet, auf einem Stack, bei dem die Warteschlange des Maintainers nun die bindende Einschränkung ist.

iGaming-Betreiber mit PCI-Scope und Live-Geldflüssen sind doppelt exponiert: durch ihre eigenen Codebases und durch die darunter liegenden Zahlungs-, KYC- und Krypto-Bibliotheken. wolfSSL ist der Kanarienvogel. Eine Zertifikatsfälschungs-Primitive in einer weit verbreiteten TLS- oder Signatur-Bibliothek ist ein direkter Weg zu unsichtbarem MITM gegen Einzahlungs- und Auszahlungsendpunkte. Teams, mit denen ich bei europäischen Betreibern gearbeitet habe, führen über 200 npm- und OS-Pakete in ihrem Hot Path aus. Wenn auch nur 1 % davon eine Mythos-artige Offenlegung ohne Upstream-Patch für Wochen erhält, gehört die Mitigation dem Sicherheitsteam.

Fintechs stehen vor demselben Problem mit schärferen regulatorischen Zähnen. DORA- und PSD3-Prüfer werden fragen, warum ein bekannter, geprüfter Befund ungepatcht blieb. „Der Maintainer hatte es noch nicht gemergt" ist keine Antwort, die ein Regulierungsgespräch übersteht.

Enterprise-Infrastrukturanbieter, die mit Cloudflare, Microsoft und Google konkurrieren, werden ebenfalls betroffen – nur still. Diese vier sind im Konsortium. Alle anderen lesen davon in der Presse. Das ist ein echter Wettbewerbsvorteil: 2.000 interne Bugs gefunden und behoben, bevor der Disclosure-Druck beginnt. Die unbequeme Lesart: Project Glasswing ist teils ein Sicherheitsprogramm, teils ein Kartell darüber, wer zuerst härten darf.

Die CVE-2026-5194-Offenlegung verändert auch das Bedrohungsmodell für jedes Team, das davon ausgeht, dass TLS-Pinning und Standard-Zertifikatsvalidierung ausreichen.

Leitfaden für Sicherheitsteams

Hören Sie auf, „patchen wenn upstream patcht" als Strategie zu behandeln. Mit nur 97 von 1.596 geprüften Befunden, die upstream landen, ist die Annahme, dass das Ökosystem schneller patcht als Angreifer weaponisieren, für die nächsten 12 Monate hinfällig. Bauen Sie jetzt kompensierende Kontrollen auf.

Konkrete Maßnahmen für diese Woche:

• Erstellen Sie ein Inventar Ihres Abhängigkeitsbaums gegen die 1.000 Open-Source-Projekte, die Anthropic gescannt hat. Wenn Sie nicht wissen, welche Ihrer Bibliotheken im Scope sind, gehen Sie davon aus, dass die beliebten es sind.
• Verschärfen Sie Standardkonfigurationen für TLS, Zertifikatsvalidierung und jeden Code-Pfad, der externe Signaturen verarbeitet. Die wolfSSL-Exploit-Klasse wird Geschwister haben.
• Erzwingen Sie MFA überall, auch bei Service-zu-Service-Verbindungen, wo SPIFFE oder mTLS eine Option sind. Das 90-Tage-Disclosure-Fenster ist jetzt ein feindlicher Timer, kein freundlicher.
• Integrieren Sie Verhaltensanalysen in Ihren Detection-Stack, um die mittlere Erkennungszeit zu verkürzen. Wenn Sie die Ausnutzung einer ungepatchten Bibliothek nicht verhindern können, erkennen Sie das Post-Exploitation-Verhalten.
• Ordnen Sie Ihre Exposition gegenüber MITRE ATT&CK Initial-Access- und Credential-Access-Techniken zu, die am meisten von Zertifikatsfälschung und bibliotheksbasiertem RCE profitieren.
• Evaluieren Sie Claude Security oder gleichwertige KI-gestützte Scanner gegen Ihre eigene Codebase. Die Zahl von 2.100 gepatchten Unternehmensschwachstellen legt nahe, dass es sich bei jedem nicht-trivialen Monorepo schnell amortisiert.

Wenn Sie ein Open-Source-Projekt warten, von dem Ihre Plattform abhängt, weisen Sie ihm bezahlte Ingenieurzeit zu. Kritische Abhängigkeiten als kostenlos zu behandeln ist die Wette, die hier scheitert. Ein Maintainer, der in KI-generierten Berichten ertrinkt, ist Ihr Vorfall – nicht seiner.

Wichtigste Erkenntnisse

• Claude Mythos Preview fand über 10.000 Zero-Days mit hohem und kritischem Schweregrad in einem Monat mit einer bestätigten True-Positive-Rate von 90,8 % – und beendete damit die Ära teurer Bug-Entdeckung.
• Nur 97 von 1.596 geprüften Upstream-Befunden wurden gepatcht, was die Triage-Kapazität der Maintainer als neues systemisches Risiko offenbart.
• CVE-2026-5194 in wolfSSL ist eine Vorschau auf die Bedrohungsklasse: kritische Krypto-Bibliotheks-Bugs mit modellgenerierten, funktionierenden Exploits.
• Das 90-tägige koordinierte Disclosure-Fenster setzt voraus, dass Angreifer Bugs nicht kostengünstig unabhängig wiederentdecken können. Diese Annahme gilt nicht mehr.
• Die Konsortiumsmitgliedschaft (Microsoft, Apple, Google, Cloudflare, Mozilla) ist nun ein bedeutender Sicherheitsvorteil gegenüber allen außenstehenden Unternehmen.