Apps & Mobile Entwicklung

Autonom Exploits entwickeln: Anthropics neues Modell ist so stark, dass es nicht veröffentlicht wird

Claude Mythos ist Anthropics neues Spitzenmodell. Weil die internen Tests zeigten, dass es zu leistungsfähig beim Entdecken und Ausnutzen von Sicherheitslücken ist, stellt es Anthropic aktuell nur als Vorschau für einen ausgewählten Kreis von Organisationen bereit. Diese sollen die Möglichkeit haben, Systeme abzusichern.

Dieses Sicherheitsprojekt läuft unter dem Titel Glasswing. Beteiligt sind Unternehmen und Dienste wie Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, Nvidia und Palo Alto Networks. Zugang zu Claude Mythos haben zudem 40 weitere Gruppen, die kritische Infrastruktur betreiben.

Abgesichert werden sollen auf diese Weise auch Open-Source-Systeme. Organisationen, die sich um Open-Source-Sicherheit kümmern, erhalten von Anthropic direkt 4 Millionen US-Dollar. Insgesamt werden den Partnern beim Project Glasswing Computing-Kapazitäten zur Verfügung gestellt, die bis zu 100 Millionen US-Dollar wert sind.

Neu: Claude Mythos findet Sicherheitslücken und entwickelt direkt Exploits

Die Fortschritte, die Anthropic bei Claude Mythos beschreibt, sind bemerkenswert. Grundsätzlich handelt es sich um ein normales KI-Modell, das auf das bisherige Spitzenmodell Opus 4.6 folgt. Im Bereich der IT-Sicherheit wurde laut Anthropic aber eine Schwelle überschritten. „Mythos Vorschau hat bereits Tausende von Sicherheitslücken mit hohem Schweregrad entdeckt, darunter auch einige in allen gängigen Betriebssystemen und Webbrowser“, heißt es in der Mitteilung.

Dazu zählt etwa eine 27 Jahre alte Sicherheitslücke im Betriebssystem OpenBSD, das als besonders sicher gilt. Angreifer sollen durch die Schwachstelle aber die Möglichkeit gehabt haben, OpenBSD-Systeme allein durch einen Remote-Zugriff zum Absturz zu bringen. Bei FFmpeg entdeckte das KI-Modell eine 16 Jahre alte Sicherheitslücke in einem Code-Bereich, den automatisierte Test-Tools bereits fünf Millionen Mal geprüft haben. Und beim Linux-Kernel entdeckte Claude Mythos mehrere Schwachstellen und verknüpfte sie autonom zu einem Exploit, der es Angreifern ermöglicht, von gewöhnlichen Zugriffsrechten zur vollen Kontrolle eines Systems zu springen.

Details zu den autonom entdeckten Sicherheitslücken und Exploits beschreibt Anthropics Red Team in einem Blog-Beitrag.

Firefox zeigt, wie schnell sich die Modelle verbessern

Vor allem das autonome Entwickeln der Exploits unterscheidet Mythos von den Vorgängern. Ein Beispiel ist das Sicherheitsprojekt bei Firefox. Anthropic hatte im Winter mit Mozilla kooperiert, um mit Opus 4.6 autonom Schwachstellen im Browser zu entdecken. Das bisherige Spitzenmodell war aber praktisch noch nicht in der Lage, diese Sicherheitslücken in Exploits zu übersetzen. Das ändert sich nun.

Sicherheitsanalyse mit KI: Anthropics Opus 4.6 findet 22 Sicherheitslücken in Firefox

Bei den in der JavaScript-Enginge von Firefox 147 entdeckten Sicherheitslücken brauchte Opus 4.6 noch mehrere Hundert Anläufe, um zwei Exploits zu entwickeln. Mit Firefox 148 wurden all diese Schwachstellen bereits behoben. Anthropic nutzte aber die Erkenntnisse als Benchmark für die Vorschau-Version von Mythos. Das Resultat: Es wurden 181 funktionierende Exploits entwickelt und in 29 weiteren Fällen die Registerkontrolle erreicht.

Claude Mythos nicht für die Allgemeinheit

Aktuell plant Anthropic nicht, die Vorschau von Claude Mythos allgemein bereitzustellen. Details zum Modell werden aber in der Systemcard beschrieben. Das langfristige Ziel ist laut Anthropic allerdings, Nutzern die Modelle mit einer solchen Leistungsstärke neben dem Bereich Cybersicherheit auch für weitere Anwendungsbereiche bereitzustellen.

Generell gehe es jetzt zunächst um das Entwickeln neuer Sicherheitsvorkehrungen. Die Ergebnisse will man in die kommenden Claude-Opus-Modelle integrieren.

Entwickler registrieren Wandel bei den AI-Sicherheitshinweisen

Entwickler und IT-Sicherheitsexperten bemerken schon länger einen Wandel. Zu erklären, dass „das neue Modell zu gefährlich ist“, bezeichnet etwa der Entwickler Simon Willison als einen Weg, um das Interesse zu wecken, hält die Vorsicht in diesem Fall aber für gerechtfertigt. Er verweist auf populäre Entwickler wie Greg Kroah-Hartman vom Linux-Kernel und Daniel Sternberg von cURL, die beide schon in den letzten Tagen erklärten, dass die Welle an AI-Slop-Reports sich in kurzer Zeit zu etwas gewandelt haben, was echten Sicherheitshinweisen entspricht.

Dass die Modelle leistungsfähiger werden, ist auch in weiteren Bereichen sichtbar. ComputerBase hat die Erfahrungen mit Anthropics KI-Agenten Claude Code in einem Langzeittest analysiert.

Source link

Verwandte Themen:Anthropics Autonom dass entwickeln exploits ist Modell neues nicht stark veröffentlicht wird

Up Next

Insta360 Snap: Selfie-Bildschirm für die Kameras der Smartphone-Rückseite

Nicht verpassen

Gratis-Extra im Wert von 158 Euro abstauben

Apps & Mobile Entwicklung

Benchmark-Erkennung: 3DMark schmeißt Smartphones aus der Wertung

UL hat die Ergebnisse von Smartphones von RedMagic aus der Wertung des 3DMark geworfen. Nachdem letzten Monat der YouTuber Saityo auf ungewöhnliche Benchmark-Ergebnisse des RedMagic 11 Pro aufmerksam gemacht hatte, kann das Unternehmen die Zweifel nun bestätigen.

UL hat die Smartphones von RedMagic selbst unter die Lupe genommen und festgestellt, dass das Verhalten nicht den Benchmark-Regeln und -Richtlinien des Unternehmens entspricht. Daher wurden die betroffenen Geräte aus den Ergebnislisten entfernt. Betroffen davon sind zunächst nur das RedMagic 11 Pro und RedMagic 11 Pro+.

Bis zu 24 % zu schnell

UL hat jedes Smartphone mit der öffentlichen Version von 3DMark, die über Google Play erhältlich ist, und einer privaten, umbenannten Version von 3DMark getestet, die weder der Öffentlichkeit noch den Herstellern zur Verfügung steht. In den Tests lagen die Ergebnisse der öffentlichen 3DMark-App bis zu 24 Prozent höher als die der internen Version, obwohl die Tests selbst identisch sind.

Abweichungen bei RedMagic in den 3DMark-Ergebnissen (Bild: UL)

Automatischer Leistungsschub bei Erkennung

Die Ergebnisunterschiede deuten darauf hin, dass die Geräte die 3DMark-App lediglich anhand ihres Namens erkennen, anstatt sich an die jeweilige Testart anzupassen. Diese Art der Erkennung und Optimierung ist gemäß den Vorgaben des 3DMark nicht zulässig. Die Smartphones schalten laut UL nach der Erkennung in einen leistungsstärkeren Modus, der dem „Diablo“-Modus von RedMagic ähnelt. In den Tests seien an einigen Stellen Oberflächentemperaturen von über 50 °C gemessen worden, so UL. Ein normales, reales Spielverhalten werde nicht mehr widergespiegelt. Denn optionale Leistungsmodi, die Benutzer selbst aktivieren können, sind gemäß den Richtlinien zulässig, sofern sie standardmäßig deaktiviert sind. RedMagic hat den Modus jedoch automatisch aktiviert und es gibt keine Option, ihn zu deaktivieren.

Allein aufgrund der Hitzeentwicklung rät UL davon ab, auf den Smartphones von RedMagic 3DMark-Stresstests durchzuführen, da es zu einer Überhitzung kommen könnte.

Source link

Apps & Mobile Entwicklung

Autonom Sicherheitslücken ausnutzen: BSI warnt vor Konsequenzen von Modellen wie Claude Mythos

Wenn Anthropics neues Modell Claude Mythos tatsächlich in der Lage ist, autonom Sicherheitslücken zu entdecken und dann auch auszunutzen, steht ein gravierender Wandel bei der IT-Sicherheit bevor. Das BSI nimmt die Ankündigung sehr ernst.

Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), äußerte sich entsprechend gegenüber dem Spiegel. Das BSI erwarte demnach „Umwälzungen im Umgang mit Sicherheitslücken und der Schwachstellenlandschaft“. Denke man die Auswirkungen konsequent zu Ende, könnte es mittelfristig der Fall sein, dass keine unbekannten klassischen Software-Schwachstellen mehr existieren.

Damit würden sich Angriffsvektoren verschieben und es gebe einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage, so Plattner. Es stellt sich aber die Frage, inwieweit so mächtige Modelle wie Claude Mythos auf dem freien Markt verfügbar sein werden.

Claude Mythos ist nicht für Allgemeinheit geplant

Bislang hat Anthropic nicht die Absicht, das neue Spitzenmodell für die Allgemeinheit freizugeben. Stattdessen hat das Unternehmen in dieser Woche das Projekt Glasswing angekündigt, bei dem rund 40 Organisationen beteiligt sind. Dazu zählen Konzerne wie Amazon, Apple, Google und Microsoft sowie Organisationen wie die Linux Foundation und weitere Open-Source-Anbieter.

Autonom Exploits entwickeln: Anthropics neues Modell ist so stark, dass es nicht veröffentlicht wird
Sicherheitsanalyse mit KI: Anthropics Opus 4.6 findet 22 Sicherheitslücken in Firefox

Das Ziel: Diese sollen das Modell nutzen, um die bestehende IT-Infrastruktur abzusichern.

Konsequenzen für Deutschland

Wenn sich die IT-Sicherheitslage gravierend wandelt, stellt sich jedoch die Frage, inwieweit sich die neuen Modelle auf die nationale und europäische Sicherheit sowie die Souveränität auswirken, so Plattner im Spiegel.

Neben Kriminellen nutzen auch staatliche Akteure wie Geheimdienste Sicherheitslücken in IT-Systemen aus, um Verdächtige zu überwachen. In Deutschland wurde speziell für die Entwicklung solcher als Staatstrojaner bekannter Technologie die Behörde Zitis gegründet.

Regierungsvertreter betonen in Deutschland immer wieder, dass Behörden auf den Staatstrojaner angewiesen sind. Eingesetzt werden darf dieser etwa beim Aufklären schwerer Straftaten, der Gefahrenabwehr oder im Anti-Terror-Kampf. Die Maßnahme ist aber umstritten, weil staatliche Akteure bei diesem Instrument Sicherheitslücken ausnutzen, die auch für Kriminelle oder andere feindliche Dienste offenstehen.

Verschwinden Schwachstellen, die bislang die Grundlage für den Staatstrojaner bilden, hat dies massiven Einfluss auf die Arbeit von Behörden wie Geheimdiensten. Ebenso hat es aber auch gravierenden Einfluss auf die IT-Sicherheit, wenn Modelle verfügbar sind, die enorme Mengen an Schwachstellen entdecken können.

US-Finanzminister warnt die Wall Street

Besorgt sind Behörden auch in den USA. Die Nachrichtenagentur Reuters meldet heute, dass US-Finanzminister Scott Bessent und der amerikanische Notenbankchef Jerome Powell sich mit den Spitzen der Wall Street getroffen haben. Diese wurden gewarnt, welche Konsequenzen Modelle wie Claude Mythos für die Sicherheit der Finanzinstitute haben könnten.

Source link

Apps & Mobile Entwicklung

Steam Sale: Am Wochenende wimmelt es von Wimmelbildspiel-Angeboten

Immer wieder hält Valve auf Steam abseits der vier großen jährlichen Steam Sales auch kleinere Rabattaktionen mit klarem Genre- oder Themenbezug ab. „Immer wieder“ heißt dabei fast immer – auch im Jahr 2026. Jetzt ist eine Aktion zu Wimmelbildspielen gestartet. Die Angebote laufen bis zum 13. April um 19:00 Uhr.

Wer sucht, der findet

Eine Auswahl teilnehmender Spiele stellt Valve wie üblich mit einem kurzen Trailer vor. Neben rabattierten Spielen rückt der Steam-Betreiber außerdem kostenlose Demos und bald erscheinende Games in den Mittelpunkt.

Bei derartigen Rabattaktionen ist gemeinhin zu bedenken, dass Sale-Preise nicht unbedingt Tiefstpreise sein müssen. Eine Übersicht über derzeit reduzierte Spiele, bisherige Tiefstpreise und diverse Filteroptionen liefert die Datenbank SteamDB. Wer am Event teilnehmende und derzeit im Preis reduzierte Spiele empfehlen möchte, kann dies gerne in den Kommentaren tun. Auch Anmerkungen oder Erfahrungen zu teilnehmenden Titeln sind gerne gesehen.

Nach dem Steam Sale ist vor dem Steam Sale

Nach dem Wochenend-Event zu Wimmelbildspielen geht es am 20. April mit einer Rabattaktion zu Spielen mit Mittelalter-Setting weiter. Die nachfolgende Tabelle bietet eine Übersicht über alle Steam-Rabattaktionen bis zum Ende des Jahres 2026.

Source link