Die jüngste Berichterstattung über Anthropic’s neuestes Modell Mythos konzentrierte sich fast ausschließlich darauf, was es für Angreifende leisten könnte. Ein geleakter Blog-Entwurf, der von Fortune eingesehen wurde, beschreibt das Modell als fähig, „Schwachstellen auf eine Weise auszunutzen, die die Bemühungen von Verteidigenden bei Weitem übertrifft“. So sehr, dass Anthropic angibt, vorsichtig vorgehen und die potenziellen „kurzfristigen Risiken des Modells im Bereich der Cybersicherheit“ vorab genau verstehen zu wollen.
Was folgte, war vorhersehbar: Schlagzeilen über „KI's drohenden Cyber-Albtraum“, Cybersicherheitsanbieter, die vor der Demokratisierung von Cyberangriffen warnten, und eine allgemeine Akzeptanz, dass sich das Gleichgewicht verschoben hat.
Ominös, oder?
Nun, oberflächlich betrachtet ist es das sicherlich. Doch das Gleichgewicht hat sich nicht verschoben. Die Untergangsstimmung basiert auf der Annahme, dass die Modellfähigkeit direkt in einen Vorteil für Angreifende umgemünzt werden kann. Unsere Daten legen jedoch etwas anderes nahe.
Die Annahme hinter der Mythos-Erzählung
Tatsächlich wissen wir, dass KI-Modelle Angriffs-Workflows beschleunigen werden. Doch die Effektivität hängt stark vom tiefgreifenden Systemkontext ab – etwas, das Angreifenden größtenteils fehlt.
Die Cybersicherheitsfähigkeiten, die Modellen wie Mythos zugeschrieben werden, überschneiden sich erheblich mit dem, was KI-Systeme bereits in kontrollierten Sicherheitstestumgebungen leisten. Schwachstellenentdeckung, Code-Analyse, mehrstufige Angriffe. Unsere eigene Erfahrung aus 1.000 realen KI-Penetrationstests gibt uns Einblick, wie sich die Leistung unter verschiedenen Bedingungen ändert.
Das Muster ist konsistent. Whitebox-Tests, bei denen der Quellcode der Zielanwendung verfügbar ist, deckten 7x mehr kritische und hochgradige Schwachstellen auf und waren etwa doppelt so effizient wie Greybox-Tests mit eingeschränktem Zugriff auf den Quellcode. Dies deutet darauf hin, dass die KI-Effektivität stark vom Kontext abhängt und nicht nur von der reinen Leistungsfähigkeit.
In der Praxis ergibt sich dieser Kontext aus der Kombination von statischer und dynamischer Analyse. Die isolierte Betrachtung von Code oder Verhalten liefert nur eine Teilsicht. Wenn beide Systeme verfügbar sind, können sie geschriebenen Code mit seinem Verhalten während der Ausführung verknüpfen, und die Tiefe der Ergebnisse ändert sich. Es ändert auch die Wirtschaftlichkeit. Es sind weniger Versuche (und somit Tokens) erforderlich, um aussagekräftige Probleme aufzudecken.
Die aktuellen Überlegungen zu Mythos gehen davon aus, dass Angreifende stärker von den neuesten Frontier-Modellen profitieren werden. In der Praxis wird jedoch nicht berücksichtigt, dass Angreifende diejenigen mit begrenztem Kontext sind. Sie leiten Systemdetails von außen ab, während Verteidigende bereits Zugang dazu haben, wie diese Systeme tatsächlich funktionieren.
Der Kontext ist die Einschränkung, nicht die Fähigkeit
Tatsächlich wird viel Wert darauf gelegt, wie die Modell-Entwickelnde selbst die Fähigkeiten beschreiben; dasselbe geschah, als Anthropic behauptete, dass Claude Opus 4.6 mehr als 500 hochgradige Schwachstellen in Open-Source-Bibliotheken aufgedeckt hat. Diese Behauptungen zeigen, was die Modelle unter idealen Bedingungen leisten können. Es wird jedoch wenig darüber gesprochen, wie sich die Leistung ändert, wenn sie ohne vollständige Systemsichtbarkeit arbeiten.
Die Hauptvariable hier ist der Kontext. Der Zugriff auf den Quellcode und die interne Anwendungslogik bestimmt, was die Testagenten sinnvoll bewerten können. Fähigkeit allein führt nicht zu Ergebnissen. Ohne ausreichenden statischen und dynamischen Code-Kontext können selbst die fortschrittlichsten Modelle leichte Open-Source-Modelle nicht übertreffen, da sie das zu untersuchende System unvollständig verstehen.
Betrachten Sie die jüngste Kompromittierung von Axios, einem der am weitesten verbreiteten Pakete im NPM-Registry. Der Angreifer änderte den Quellcode nicht. Sie kompromittierten ein Maintainer-Konto, fügten eine neue Abhängigkeit hinzu und veröffentlichten ein Update. Der Angriff funktionierte, weil es keine bekannte CVE gab, mit der man abgleichen konnte, kein bösartiges Code-Muster zum Markieren, keine Signatur, die ein Scanner hätte erkennen können. Der Angriff war erfolgreich, weil jedem Tool in der Kette der Kontext fehlte, um zu erkennen, was sich tatsächlich geändert hatte.
Eine Organisation mit tiefer Sichtbarkeit in ihren Abhängigkeitsbaum – die nicht nur weiß, welche Pakete sie verwendet, sondern auch, was diese Pakete tun, wie sie sich verhalten und wie ein legitimes Update aussieht – hätte eine Grundlage gehabt, diese Änderung zu hinterfragen. Ohne diesen hilft weder Geschwindigkeit noch Leistungsfähigkeit. Deshalb verfehlt die aktuelle Darstellung „KI begünstigt Angreifende“ den eigentlichen Punkt. Hier beginnt der Ansatz für KI-gesteuertes Testen zu divergieren. Mit vollem Kontext über Code- und Laufzeitverhalten hinweg identifizieren diese privilegierten agentenbasierten Tools Probleme, die oberflächliche Tests einfach übersehen.
Doch all dies bedeutet nicht, dass der Kontextvorteil der Verteidigenden bei der Code- und Laufzeitsichtbarkeit dauerhaft ist. KI wird natürlich auch die Kosten für die Kontextbeschaffung senken; doch die aktuelle Erzählung impliziert eine über Nacht erfolgte Verschiebung des Gleichgewichts. Ein echtes Systemverständnis aufzubauen, ist langwierige, komplexe Arbeit, und während KI-Modelle zunehmend in der Lage sein werden, bestimmte Aspekte des Kontexts abzuleiten, werden sie niemals die Klarheit erreichen können, die sich aus dem Zugriff auf den tatsächlichen Quellcode, API- und Anmeldeinformationen/-Tokens sowie der Fähigkeit ergibt, interne Geschäftslogik über Anwendungskomponenten, Microservices und Integrationen hinweg, die eine Organisation intern besitzt, schnell zu analysieren.
Rückblickend mag all dies offensichtlich erscheinen, insbesondere angesichts der Neigung, Untergangsszenarien im Bereich der Sicherheit zu veröffentlichen. Doch manchmal bedarf es einer genaueren Prüfung dessen, was uns präsentiert wird, um die tatsächlichen Auswirkungen wirklich zu beurteilen. Das allgemeine Mantra war, dass neue KI-Modelle das Gleichgewicht drastisch verschieben werden, was bis zu einem gewissen Grad zutrifft; KI wird Angreifenden Geschwindigkeit, Breite und Fähigkeiten verleihen, und diejenigen, die Anwendungen, Systeme und Infrastrukturen verteidigen, werden nachteilige Auswirkungen spüren.
Die Nuance ist jedoch, dass die Effektivität stark vom Kontext abhängt, und dieser Kontext ist ungleich verteilt. Glücklicherweise ist er zugunsten der Verteidigenden gewichtet. Während Angreifende also zuerst von aufkommenden Frontier-KI-Modellen wie Mythos und Capybara profitieren mögen, haben Verteidigende bereits den Vorteil eines tiefen, strukturellen Wissens darüber, wie ihr Code tatsächlich funktioniert. KI macht den Kontext der Anwendungssicherheit wertvoller denn je. Die Frage ist, ob Verteidigende den Vorteil nutzen werden, den sie bereits besitzen.
Sehen Sie sich Aikidos Mythos-Ready-Checkliste an, um zu erfahren, wie Sie den Vorteil der Verteidiger nutzen und sich auf Bedrohungen durch aufkommende Frontier-KI-Modelle vorbereiten können.
