Die Anthropic Glasswing-Initiative bringt Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks als Launch-Partner zusammen. Man findet viele Beiträge und Reaktionen in den sozialen Medien, da es definitiv eine große Sache ist, dass Anthropic sein Mythos Preview-Modell nicht allgemein zugänglich macht. Angeblich geschieht dies, um großen Software- und Sicherheitsunternehmen den ersten Zugang zu ermöglichen, um Tausende von entdeckten und verifizierten Schwachstellen in Webbrowsern, Betriebssystemen und ähnlich “schwierigen” Risikobereichen zu bearbeiten. Ob man nun glaubt, dass Anthropic einen großen Fortschritt in den Modellfähigkeiten erzielt hat oder dass es sich um eine brillante Marketingtaktik handelte, man kann dem Druck, etwas Relevantes und Sinnvolles zu diesem Thema zu sagen, einfach nicht entgehen.
Ich für meinen Teil habe die Ehre, den Begriff “Mythos-ready” geprägt zu haben, als ich den von der CSA und Freunden veröffentlichten Bericht (über 250 CISOs und Autoren, was an sich schon eine erstaunliche Zusammenarbeit und Demonstration der Widerstandsfähigkeit der Gemeinschaft ist) am 12. April überprüfte und dazu beitrug. Ich wollte einen Begriff, der ermächtigend war, aber gleichzeitig klar aufzeigen konnte, dass derzeit keine Organisation Mythos-ready ist. Nicht einmal Anthropic selbst.
Dieser Blogbeitrag verfolgt jedoch einen anderen Ansatz als der CSA-Bericht und versucht, das Gerüst eines umfassenden Sicherheitsframeworks für Organisationen zu skizzieren, die sich auf “Mythos” vorbereiten, da wir in eine neue Ära autonomer KI-Bedrohungen eintreten, die in der Lage sind, Schwachstellen mit Maschinengeschwindigkeit zu entdecken und auszunutzen.
Die Absicht beim Entwurf und der Weitergabe einer Sicherheitsframework-Abbildung betont die Verlagerung von einfacher prompt-basierter Sicherheit hin zu robusten Architekturkontrollen und plädiert für strikte Segmentierung, Least-Privilege-Zugriff und isolierte Ausführungsumgebungen, um den potenziellen “Blast Radius” eines agentenbasierten Angriffs zu begrenzen. So gestalten wir Architekturen gegen autonome Bedrohungen.
Um einen Vorteil für Verteidiger zu wahren, werden Unternehmen ermutigt, Pre-Release-Adversarial-Tests zu implementieren und sich selbst zuerst anzugreifen, und zwar durch automatisierte Red-Teaming-Pipelines. Anthropics eigene Anleitung zu den Auswirkungen auf Sicherheitsteams unterstreicht die Bedeutung von Urteilsvermögen und Priorisierung von Schwachstellen (EPSS v4.1), nicht nur deren Einreihung zur Behebung. Man benötigt nicht einmal Zugang zu Mythos Preview, um heute damit zu beginnen. Man kann jedes seiner bevorzugten Frontier-Modelle verwenden und, ehrlich gesagt, auch Open-Weights-Modelle.
Letztendlich wollen wir den ersten Entwurf eines Reifegradmodells und eine praktische Checkliste vorstellen, um sicherzustellen, dass interne Systeme widerstandsfähig gegenüber fortschrittlichen KI-Modellen sind, die nun mehrstufige Angriffe verketten und Schwachstellen sowohl in über 20 Jahre altem Code als auch in 20 Minuten altem Code finden können.
Bevor wir eine überwältigende Liste von Dingen präsentieren, die man tun sollte, um die eigene Organisation auf Mythos und Mythos-ähnliche Scans und Angriffe vorzubereiten, sollten wir Folgendes implementieren:
- Human-in-the-Loop-Freigaben für sensible Aktionen
- Aufrechterhaltung einer hochpräzisen Protokollierung aller autonomen Tool-Interaktionen
- Blast-Radius-Grenzen (Least Privilege, Scoped Tokens)
- Kill Switches und Anomalieerkennung
- Bessere Segmentierung zwischen Systemen und Daten
- Input-/Output-Validierungsschichten (insbesondere agentische)
- Trennung zwischen Denk- und Ausführungsumgebungen
Wenn also der Konsens ist, dass wir von der Frage „Sollten wir agentische Verteidigungsfähigkeiten haben?“ zu „Wie implementieren wir agentische Verteidigungsfähigkeiten am besten?“ übergegangen sind, gibt es einige axiomatische Prinzipien und Annahmen, die hervorgehoben werden sollten.
In agentischen Systemen entspricht Ihre Angriffsfläche allem, was der Agent erreichen kann.
Sie sind nicht Mythos-ready, wenn eine der folgenden Aussagen zutrifft:
- Agenten können mit weitreichenden dauerhaften Berechtigungen auf die Produktion zugreifen.
- Eine einzelne Anmeldeinformation kompromittiert mehrere Umgebungen.
- Die Tool-Nutzung wird schlecht oder gar nicht protokolliert.
- Externe Veröffentlichung oder ausgehender Netzwerkzugriff ist standardmäßig offen.
- Sicherheitstests konzentrieren sich auf Prompts statt auf Architektur und Ausführungspfade.
- Ihr Incident-Plan geht nur von Angreifern mit menschlicher Geschwindigkeit aus.
Die Anthropic Mythos Preview System Card stützt die Annahme, dass Frontier-Agenten autonom Schwachstellen entdecken, Exploits entwickeln und gelegentlich seltene, aber folgenschwere rücksichtslose Aktionen durchführen können, was Kontrollen auf Architekturebene extrem wichtig macht.
Hier ist eine praktische Checkliste für Sicherheitsarchitektur für das Zeitalter von Mythos. Es ist ein erster Entwurf, der wahrscheinlich basierend auf Feedback und weiterer Diskussion überarbeitet werden muss, aber er konzentriert sich auf agentische Angriffe, eine höhere Häufigkeit von Sicherheitsverletzungen und die Bewahrung des Verteidiger-Vorteils, der daraus entsteht, die eigene Architektur, Integrationen und Release-Zeitpunkte besser zu kennen als jeder Angreifer. Sie können sie am Ende dieses Blogs herunterladen.
„...wir glauben, dass leistungsstarke Sprachmodelle
Verteidigern mehr nützen werden als Angreifern, wodurch
die Gesamtsicherheit des Software-Ökosystems erhöht wird.“
Project Glasswing ist nicht nur ein weiteres Kapitel in der Evolution der KI-Verteidigung. Es fühlt sich eher wie ein Impuls für ein System an, das unter der Last von Komplexität, Rauschen und reaktivem Denken still zum Erliegen gekommen war. Seit Jahren ist die Anwendungssicherheit angesichts der von der modernen Softwareentwicklung geforderten Beschleunigung und Skalierung ins Stocken geraten. Was Glasswing darstellt, ist ein Wandel von passivem Monitoring zu aktiver Wiederbelebung: ein Cyber-Defibrillator, der Bedrohungen nicht nur erkennt, sondern auch Rhythmus, Klarheit und Absicht in unsere Softwareverteidigung zurückbringt.
Mit einiger Besorgnis kann sicher angenommen werden, dass an einem nicht allzu fernen Patch Tuesday die Ergebnisse der Anwendung von Mythos Preview auf die Microsoft Windows Code-Repositories uns eine neue Höchstmarke bei Schwachstellen bescheren werden. Soweit ich mich erinnere, waren eine der schlimmsten bisher 400 Schwachstellen und 10 Zero-Days. Ich wette, wir können das auf 4.000 Schwachstellen und 400 Zero-Days erhöhen, angesichts der Tatsache, dass Firefox am 21. April 271 Schwachstellen in Release 150 enthielt.
Indem Intelligenz direkt in den Blutkreislauf von AppSec injiziert wird, hört KI auf, ein aufgesetztes Feature zu sein, und wird selbst zum Puls – kontinuierlich, adaptiv und reaktionsschnell. Es ist eine wiederbelebte Disziplin, die endlich mit der gleichen Geschwindigkeit arbeiten kann wie die Systeme, die sie schützt. Wenn es im letzten Jahrzehnt der Sicherheit ums Überleben ging, geht es in dieser nächsten Ära, angestoßen durch Bemühungen wie Project Glasswing, darum, wieder zum Leben zu erwachen, stärker, schärfer und bereit für das, was als Nächstes kommt.
Wenn Sie noch mehr Ressourcen zur Vorbereitung auf Bedrohungen durch agentische KI wünschen, hat Aikido auch eine Mythos-ready Sicherheits-Checkliste für CTOs veröffentlicht. Schauen Sie sie sich an.
