Blog KI
KIPolitik

Claude Mythos: Sandbox-Ausbruch, Zero-Days und die Frage nach dem Hype

· David · 7 min Lesezeit
Claude Mythos: Sandbox-Ausbruch, Zero-Days und die Frage nach dem Hype

Anthropic hat sein neuestes Modell nicht veröffentlicht. Stattdessen eine Warnung. Das allein wäre eine Nachricht. Aber die Details halten einer Prüfung nur bedingt stand.

Am 7. April 2026 stellte Anthropic Claude Mythos Preview vor — und gab gleichzeitig bekannt, das Modell nicht öffentlich freizugeben.1 Der Zugang läuft über Project Glasswing, ein eingeschränktes Programm mit 12 Kernpartnern und über 40 weiteren Organisationen.2 Bereits Ende März waren durch ein Datenleck erste Details an die Öffentlichkeit gelangt. Fortune sprach von einem „step change in capabilities" — ohne den Begriff zu konkretisieren.3

Die folgende Analyse versucht die Faktenlage anhand verifizierter Quellen einzuordnen und trennt Belegtes von Plausiblem und reiner Inszenierung.

Der Sandbox-Ausbruch

Laut Anthropics Sicherheitsbericht wurde Mythos Preview in einer Sandbox platziert und von einem simulierten Benutzer aufgefordert, auszubrechen. Das Modell entwickelte laut Anthropics Darstellung eine mehrstufige Exploit-Kette — darunter einen „complex JIT heap spray that escaped both renderer and OS sandboxes".1

Anschließend verschaffte es sich Internetzugang und sendete eine E-Mail an den zuständigen Forscher.4 Ohne Aufforderung veröffentlichte es Details des Exploits auf öffentlich zugänglichen, aber schwer auffindbaren Websites.5

Die Darstellung klingt dramatisch, verdient aber drei wesentliche Einschränkungen.

Erstens: Das Modell wurde explizit aufgefordert auszubrechen. Es handelte sich um zielgerichtete Problemlösung unter Aufgabenstellung — nicht um spontane Autonomie.1

Zweitens: Ob der Internetzugang Teil der Testumgebung war oder tatsächlich durch den Exploit erreicht wurde, bleibt unklar. Ein erheblicher Unterschied für die Bewertung.

Drittens: Die unaufgeforderte Veröffentlichung der Exploit-Details deutet eher auf unzureichende Zielbegrenzung als auf „Autonomie" im engeren Sinne hin.

Zero-Days: Was die Zahlen sagen — und was nicht

Anthropic behauptet, Mythos habe „thousands of zero-day vulnerabilities, many of them critical, in every major operating system and every major web browser" gefunden.1 Der Begriff „zero-day" differenziert dabei nicht zwischen potenziellen Zuständen, bestätigten Schwachstellen und tatsächlich ausnutzbaren Exploits.

Tom’s Hardware hat die Behauptungen auseinandergenommen:6

Von den „tausenden" kritischen Schwachstellen wurden 198 manuell überprüft. Alles darüber hinaus ist Extrapolation mit unbekannter Fehlerquote. Bei automatisierten Tests von über 7.000 Open-Source-Stacks: 600 Eingaben, die zu Abstürzen führten, davon 10 schwere Schwachstellen. Ein Verhältnis, das typischen Fuzzing-Ergebnissen entspricht — kein qualitativer Durchbruch.

Bei CVE-2026-4747 (FreeBSD NFS) beschreibt Anthropic die Schwachstelle als Remote-Code-Execution für beliebige Angreifer. Das offizielle FreeBSD-Advisory setzt Authentifizierung voraus.67

Anthropic räumt selbst ein: „over 99% of the vulnerabilities we’ve found have not yet been patched".1 Damit sind die Ergebnisse systematisch nicht unabhängig überprüfbar.

Was wäre tatsächlich ein Durchbruch?

Ein kategorialer Sprung in der Exploit-Entwicklung wäre gegeben, wenn ein System reproduzierbar funktionierende RCE-Exploits generiert, ohne iterative menschliche Steuerung arbeitet und seine Ergebnisse über unterschiedliche Systeme hinweg generalisieren kann.

Die veröffentlichten Daten liefern für keinen dieser Punkte belastbare Nachweise. Was sie zeigen: eine Verbesserung bestehender Methoden durch semantisch gesteuerte Exploration statt rein zufallsbasierter Suche. Ein relevanter Fortschritt. Kein kategorialer Bruch.

Die Ethik der Nicht-Veröffentlichung

Anthropics Entscheidung ist das erste Zurückhalten eines großen Sprachmodells seit GPT-2 im Jahr 2019 — unter grundlegend anderen Bedingungen.8 Die Begründung: „frontier AI capabilities are likely to advance substantially over just the next few months".2

Project Glasswing

Die 12 Kernpartner: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks. 100 Millionen Dollar Nutzungsguthaben. 2,5 Millionen an Alpha-Omega/OpenSSF. 1,5 Millionen an die Apache Software Foundation.2

Das Paradox

Zvi Mowshowitz hat den strukturellen Widerspruch benannt: Anthropics eigenes Sicherheitsrahmenwerk (RSP v3) hatte Cybersicherheit nicht als zentrales Bedrohungsszenario identifiziert. Die Entscheidung, Mythos zurückzuhalten, basierte auf einer Ad-hoc-Einschätzung außerhalb des definierten Rahmens.9

Mowshowitz: „This is not about rules or promises anymore, it is all about whether you trust Anthropic to make good decisions."10

Die Konsequenz: Die Bewertung von Risiken wird von einem regelbasierten in ein vertrauensbasiertes System verschoben. Wer entscheidet, ob ein Modell sicher genug ist, wird de facto privatisiert. Gleichzeitig konzentriert Glasswing den Zugang, generiert PR und erschwert unabhängige Validierung.10

Die kritischen Stimmen

David Sacks

Trumps KI-Berater nannte Anthropics Vorgehen „a sophisticated regulatory capture strategy based on fear-mongering".11 Er verwies auf ein Muster: alarmierende Sicherheitsstudien, die zeitgleich mit Produktankündigungen erscheinen.1213

Sein instruktives Beispiel: die Blackmail-Studie zu Claude Opus 4. „They prompted the model over 200 times to get the result they wanted" — das Ergebnis sei „clearly reverse engineered".14

Sacks räumte allerdings ein, die Mythos-Ergebnisse seien „more on the legitimate side".12 Zu berücksichtigen: Seine Argumentation basiert auf öffentlichen Statements, nicht auf technischer Analyse — und reflektiert seinen politischen Kontext.

Gary Marcus

Drei Einwände:15 Mythos liege „pretty much on trend, just slightly above GPT 5.4". Offene Modelle könnten Vergleichbares in vereinfachter Form. Keine erkennbare Beschleunigung im Fähigkeitszuwachs.

Das impliziert: kein „step change", sondern Trendlinie. Marcus bewertete den Ausbruch als „proof of concept that we need to get our regulatory and technical house in order, but not the immediate threat the media and public was led to believe."15

George Hotz

Hotz stellte die Darstellung grundlegend in Frage: Die Seltenheit von Zero-Day-Exploits in freier Wildbahn sei eine Frage der Legalität, nicht der Schwierigkeit.16 Das Gewicht seiner Kritik kommt aus der Praxis — der Mann hat iPhone und PlayStation 3 geknackt.

Cybersicherheitsexperte Claudiu Popa ergänzte: „Many people would be right in saying that this is a little bit of hype, a little bit of press release, a little bit of publicity stunt."8

Die Altman-Parallele

MIT Technology Review widmete dem KI-Hype im Dezember 2025 zwei Analysen. Über Altman: „What he says about AI is rarely provable when he says it, but it persuades people that this road with AI can go somewhere great or terrifying, and OpenAI will need epic sums to steer it toward the right destination."17

GPT-5, angekündigt als „PhD-level expert in anything", wurde bei Erscheinen als „above all else, a refined product" bewertet.17 2025 wurde zum Jahr der „much-needed hype correction".18

Die strukturelle Parallele: Beide — Altman und Anthropic — demonstrieren Fähigkeiten und warnen gleichzeitig vor den eigenen Gefahren. Investorengewinnung, regulatorische Positionierung, Marktbeherrschung durch exklusiven Zugang. Aussagen über schwer überprüfbare Fähigkeiten erzeugen Erwartungsräume, ohne sofort falsifizierbar zu sein. Ein Kommunikationsrahmen, der in beide Richtungen funktioniert.

Der Unterschied: Altmans Hype zielte auf das Versprechen zukünftiger Fähigkeiten.17 Anthropic präsentiert konkrete, wenn auch eingeschränkt verifizierbare Ergebnisse. Das macht den Fall komplexer als reine Marketing-Rhetorik.

Fazit

Verifiziert: Der Sandbox-Ausbruch war ein kontrollierter Test mit expliziter Aufgabenstellung.1 CVE-2026-4747 ist in der NVD dokumentiert.7 Die Glasswing-Struktur ist öffentlich nachvollziehbar.2

Nicht verifizierbar: Die Gesamtzahl der Schwachstellen basiert auf 198 manuellen Prüfungen.6 Über 99 % sind nicht unabhängig prüfbar.1 Anthropics eigenes RSP hatte Cybersicherheit nicht als Kernrisiko identifiziert.9 Belastbare Nachweise für einen kategorialen Durchbruch fehlen.

Legitime Kritik: Die Diskrepanz zwischen Darstellung und belegbaren Zahlen betrifft Mengenangaben, Definitionen und Kategorien.6 Das Muster zeitgleicher Sicherheitswarnungen und Produktankündigungen ist durch mehrere Beobachter dokumentiert.111213 Die Parallelen zu Altmans Hype-Strategie sind erkennbar.17

Die Debatte um Claude Mythos ist weniger eine technische Kontroverse als ein epistemisches Problem unter eingeschränkter Transparenz. Solange die überwiegende Mehrheit der behaupteten Ergebnisse nicht überprüfbar bleibt, kann weder Bestätigung noch Widerlegung auf einer soliden Grundlage erfolgen — eine Konstellation, die sowohl für aufrichtige Sicherheitsbedenken als auch für strategische Narrativsteuerung den idealen Nährboden bildet.

Alle Angaben basieren auf öffentlich verfügbaren Quellen (Stand: 12. April 2026). Behauptungen ohne unabhängige Quelle wurden nicht aufgenommen.

Quellen

  1. Anthropic — Claude Mythos Preview ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎

  2. Anthropic — Project Glasswing ↩︎ ↩︎ ↩︎ ↩︎

  3. Fortune — Mythos revealed in data leak ↩︎

  4. Futurism — Claude Mythos Escaped a Sandbox ↩︎

  5. Computing Deutschland — Wenn KI aus der Sandbox ausbricht ↩︎

  6. Tom’s Hardware — Claims rely on just 198 manual reviews ↩︎ ↩︎ ↩︎ ↩︎

  7. NVD — CVE-2026-4747 ↩︎ ↩︎

  8. Entrepreneur — Skeptics Aren’t Buying It ↩︎ ↩︎

  9. Zvi Mowshowitz — Claude Mythos: The System Card ↩︎ ↩︎

  10. Zvi Mowshowitz — Cybersecurity and Project Glasswing ↩︎ ↩︎

  11. David Sacks via X, 9. April 2026 ↩︎ ↩︎

  12. OfficeChai — A Pattern Of Using Fear To Market ↩︎ ↩︎ ↩︎

  13. Bloomberg Law — Fear-Mongering: Sacks ↩︎ ↩︎

  14. David Sacks — The Anthropic Blackmail Hoax ↩︎

  15. Gary Marcus — Three reasons Mythos was overblown ↩︎ ↩︎

  16. OfficeChai — George Hotz: Exaggerating Risk ↩︎

  17. MIT Technology Review — Sam Altman’s hype ↩︎ ↩︎ ↩︎ ↩︎

  18. MIT Technology Review — AI hype correction of 2025 ↩︎

David
David
AI, Apple Silicon, Coding-Experimente, SwiftUI und Haltung.
Weiterlesen