Die jüngste Berichterstattung über das neueste Modell von Anthropic, „Mythos“, hat sich fast ausschließlich darauf konzentriert, welche Möglichkeiten es Angreifern bieten könnte. Ein durchgesickerter Entwurf eines Blogbeitrags, den Fortune, beschreibt das Modell als fähig, „Schwachstellen auf eine Weise auszunutzen, die die Bemühungen der Verteidiger bei weitem übertrifft“. Dies geht so weit, dass Anthropic angibt, vorsichtig vorgehen zu wollen und die potenziellen „kurzfristigen Risiken im Bereich der Cybersicherheit“ des Modells erst gründlich verstehen zu wollen, bevor man weitermacht.
Was folgte, war vorhersehbar: Schlagzeilen überden „drohenden Cyber-Albtraum der KI“, Warnungen von Cybersicherheitsanbietern vor der Demokratisierung von Cyberangriffen und die allgemeine Erkenntnis, dass sich das Gleichgewicht gewendet hat.
Unheilvoll, oder?
Nun, auf den ersten Blick mag das stimmen. Aber das Zünglein an der Waage hat sich noch nicht verschoben. Die Weltuntergangsstimmung beruht auf der Annahme, dass sich die Leistungsfähigkeit von Modellen direkt in einen Vorteil für Angreifer umsetzt. Unsere Daten deuten jedoch auf etwas anderes hin.
Die Annahme, die der Mythos-Erzählung zugrunde liegt
Wir wissen zwar, dass KI-Modelle Angriffsabläufe beschleunigen werden. Doch wie effektiv dies ist, hängt stark vom tieferen Systemkontext ab – etwas, das Angreifern meist fehlt.
Die Cybersicherheitsfähigkeiten, die Modellen wie Mythos zugeschrieben werden, decken sich weitgehend mit dem, was KI-Systeme bereits in kontrollierten Sicherheitstestumgebungen leisten: Aufdeckung von Schwachstellen, Analyse von Code, mehrstufige Angriffe. Unsere eigenen Erfahrungen aus 1.000 realen KI-Penetrationstests geben uns einen Einblick darin, wie sich die Leistung unter verschiedenen Bedingungen verändert.
Das Muster ist eindeutig. Bei Whitebox-Tests, bei denen der Quellcode der Zielanwendung verfügbar ist, wurden siebenmal mehr kritische und schwerwiegende Probleme aufgedeckt, und sie liefen etwa doppelt so effizient wie Greybox-Tests mit eingeschränktem Zugriff auf den Quellcode. Dies deutet darauf hin, dass die Wirksamkeit von KI in hohem Maße vom Kontext abhängt und nicht nur von der reinen Leistungsfähigkeit.
In der Praxis ergibt sich dieser Kontext aus der Kombination von statischer und dynamischer Analyse. Betrachtet man Code oder Verhalten isoliert, erhält man nur einen unvollständigen Überblick. Wenn beide Ansätze zur Verfügung stehen, können Systeme den geschriebenen Code mit seinem tatsächlichen Verhalten bei der Ausführung verknüpfen, wodurch sich die Tiefe der Erkenntnisse verändert. Dies wirkt sich auch auf die Wirtschaftlichkeit aus. Es sind weniger Versuche (und damit weniger Ressourcen) erforderlich, um aussagekräftige Probleme aufzudecken.
Die aktuellen Überlegungen rund um Mythos gehen davon aus, dass Angreifer von den neuesten Pioniermodellen stärker profitieren werden. In der Praxis wird dabei jedoch außer Acht gelassen, dass gerade die Angreifer nur über begrenzte Kontextinformationen verfügen. Sie leiten Systemdetails von außen ab, während die Verteidiger bereits wissen, wie diese Systeme tatsächlich funktionieren.
Der Kontext ist eher eine Einschränkung als eine Möglichkeit
Tatsächlich wird großer Wert darauf gelegt, wie die Modellentwickler selbst die Leistungsfähigkeit beschreiben; dasselbe geschah, als Anthropic behauptete, Claude Opus 4.6 habe mehr als 500 Schwachstellen mit hohem Schweregrad in Open-Source-Bibliotheken aufgedeckt. Diese Behauptungen zeigen, wozu die Modelle unter idealen Bedingungen fähig sind. Es wird jedoch kaum darüber gesprochen, wie sich die Leistung verändert, wenn sie ohne vollständige Systemtransparenz eingesetzt werden.
Die entscheidende Variable ist hier der Kontext. Der Zugriff auf den Quellcode und die interne Anwendungslogik bestimmt, was die Testagenten sinnvoll auswerten können. Die Leistungsfähigkeit allein führt nicht automatisch zu Ergebnissen. Ohne ausreichenden statischen und dynamischen Code-Kontext können selbst die fortschrittlichsten Modelle die einfachen Open-Source-Modelle nicht übertreffen, da sie das System, das sie untersuchen, nur unvollständig verstehen.
Man denke nur an den jüngsten Angriff auf Axios, eines der am häufigsten verwendeten Pakete im NPM-Register. Der Angreifer hat den Quellcode nicht verändert. Er hat sich Zugang zu einem Konto eines Betreuers verschafft, eine neue Abhängigkeit hinzugefügt und ein Update veröffentlicht. Der Angriff funktionierte, weil es keine bekannte CVE-Kennung gab, mit der man ihn abgleichen konnte, kein Muster für bösartigen Code, das einen Alarm ausgelöst hätte, und keine Signatur, die ein Scanner hätte erkennen können. Der Angriff war erfolgreich, weil keinem der Tools in der Kette der Kontext fehlte, um zu erkennen, was sich tatsächlich geändert hatte.
Ein Unternehmen, das einen umfassenden Einblick in seinen Abhängigkeitsbaum hat – das also nicht nur weiß, welche Pakete es verwendet, sondern auch, was diese Pakete tun, wie sie sich verhalten und wie ein legitimes Update aussieht –, hätte eine Grundlage gehabt, diese Änderung zu hinterfragen. Ohne diese Grundlage nützen weder Geschwindigkeit noch Leistungsfähigkeit etwas. Deshalb geht die derzeitige Darstellung, dass „KI Angreifern in die Hände spielt“, am eigentlichen Kern der Sache vorbei. An dieser Stelle beginnt sich der Ansatz für KI-gestütztes Testen zu unterscheiden. Angesichts des vollständigen Kontexts über Code und Laufzeitverhalten hinweg identifizieren diese privilegierten, agentenbasierten Tools Probleme, die oberflächliche Tests einfach übersehen.
Und doch bedeutet all dies nicht, dass der Kontextvorteil der Verteidiger hinsichtlich Code- und Laufzeit-Transparenz von Dauer ist. Natürlich wird auch die KI die Kosten für die Erfassung von Kontext senken; doch die derzeitige Darstellung suggeriert, dass sich das Gleichgewicht über Nacht verschoben hat. Der Aufbau eines echten Systemverständnisses ist eine langsame, komplexe Arbeit, und obwohl KI-Modelle zunehmend in der Lage sein werden, bestimmte Aspekte des Kontexts abzuleiten, werden sie niemals die Klarheit erreichen können, die sich aus dem Zugriff auf den tatsächlichen Quellcode, APIs und Anwendungszugangsdaten/-tokens sowie der Fähigkeit ergibt, interne Geschäftslogik über Anwendungskomponenten, Microservices und Integrationen hinweg, die ein Unternehmen intern nutzt, schnell zu analysieren.
Im Nachhinein mag das alles selbstverständlich klingen, vor allem angesichts der Neigung, in Sachen Sicherheit vor allem Untergangsszenarien zu verbreiten. Doch manchmal muss man das, was uns präsentiert wird, genauer unter die Lupe nehmen, um die tatsächlichen Auswirkungen wirklich zu erfassen. Das allgemeine Mantra lautete bisher, dass neue KI-Modelle das Gleichgewicht drastisch verschieben werden, was bis zu einem gewissen Grad auch stimmt; KI wird Angreifern Geschwindigkeit, Reichweite und Fähigkeiten verschaffen, und diejenigen, die Anwendungen, Systeme und Infrastruktur verteidigen, werden negative Auswirkungen spüren.
Der feine Unterschied besteht jedoch darin, dass die Wirksamkeit weitgehend vom Kontext abhängt und dieser Kontext ungleich verteilt ist. Zu unserem Glück spricht das Gewicht zugunsten der Verteidiger. Während Angreifer also zunächst von neuen, bahnbrechenden KI-Modellen wie Mythos und Capybara profitieren mögen, haben die Verteidiger bereits einen Vorsprung durch ihr tiefgreifendes, strukturelles Wissen darüber, wie ihr Code tatsächlich funktioniert. Durch KI gewinnt der Kontext der Anwendungssicherheit mehr denn je an Bedeutung. Die Frage ist, ob die Verteidiger den Vorteil nutzen werden, den sie bereits besitzen.
