Anfang April ging ein Raunen durch die IT-Branche:
Anthropic, Anbieter der Claude-KI-Modelle, verzögerte den Release seines neuesten Models Claude Mythos, weil es laut eigenen Angaben eine zu grosse Gefahr darstellte. KI-Modelle hätten die Coding-Kapazität von Menschen erreicht und seien damit nun auch mindestens gleich gut in der Lage, Sicherheitslücken zu finden. Das wiederum ist ein massives Problem, denn wenn eine offen verfügbare KI bisher unentdeckte Lücken finden könnte, würde das Cyberkriminellen selbstverständlich stark in die Hände spielen. Erste Erkenntnisse der
Mozilla Foundation, Entwickler von Firefox und Thunderbird, deuten nun darauf hin, dass Anthropic damit nicht übertrieben hatte – Claude Mythos wäre in den falschen Händen wohl wirklich fatal gewesen.
Denn zweifelhaft war durchaus, ob die vollmundige Ankündigung von Anthropic eher als Marketing-Massnahme zu deuten war, oder ob wirklich eine derartige Gefahr von Claude Mythos ausgeht. Teil der Massnahmen war wie erwähnt die Verzögerung des Launchs, stattdessen schloss sich Anthropic unter dem Namen Project Glasswing mit einer Reihe von Tech-Riesen (darunter Microsoft, Google, Cisco, AWS und viele mehr) zusammen. Die Hersteller sollten erst Lücken von Claude suchen lassen, um sie zu schliessen, bevor das neue Modell der Öffentlichkeit zugänglich gemacht wird.
Der
Blogbeitrag der Mozilla Foundation gewährt nun etwas Einblick in den Prozess, den die Hersteller im Rahmen von Project Glasswing machen konnten. Bereits mit Claude Opus 4.6 habe man 22 Sicherheitslücken gefunden, die in Firefox 148 gepatcht wurden. Unlängst wurde Firefox 150
veröffentlicht, mit an Bord waren auch 271 Security Fixes. Diese seien im Rahmen des Tests mit Claude Mythos entdeckt worden, wie Mozilla nun schreibt.
Das Modell in die Finger zu bekommen und die Ergebnisse zu sehen, hätte bei den Security-Spezialisten eine Art "Schwindel" ausgelöst, wie es weiter heisst. Weiter heisst es: "Unsere Erfahrung gibt Teams Hoffnung, die den Schwindel überwinden und sich an die Arbeit machen. Möglicherweise müssen Sie alle anderen Dinge zurücksetzen, um sich unermüdlich und zielstrebig auf die Aufgabe zu konzentrieren, aber am Ende des Tunnels winkt das Licht."
Denn, so die optimistische Sicht von
Mozilla: "Die Verteidiger haben endlich die Chance, einen klaren Sieg zu erringen." Denn mit den so viel besseren KI-Helfern sei man nicht mehr ausschliesslich auf menschliche Expertise angewiesen, wenn Code nicht nur automatisiert getestet, sondern manuell nach Lücken durchsucht werden muss.
Mythos Preview stehe der jahrelangen Expertise dieser Sicherheitsspezialisten "in nichts nach", so Mozilla weiter. "Bislang haben wir keine Kategorie oder Komplexität von Sicherheitslücken gefunden, die Menschen aufdecken können, die dieses Modell nicht ebenfalls aufdecken könnte."
Das sei aber auch andersrum der Fall – so habe die KI keine Lücke gefunden, die ein menschlicher Spezialist nicht auch hätte finden können. Die KI ist also (noch nicht) über den Menschen hinausgewachsen, hat aber offenbar ein vergleichbares Niveau erreicht, wenn es um das Finden von Sicherheitslücken geht.
(win)
