Claude Mythos: Wie KI die Grenzen seiner Sandbox überschritt

Der kontrollierte Ausbruch eines KI-Modells und warum der Vorfall die Cybersicherheit und Produktstrategien neu ausrichtet

Bild: Getty Imagaes / Credits: iLoxx

Während interner Tests konnte ein neues KI-Modell von Anthropic seine virtuelle Sicherheitsumgebung verlassen, anschließend Forschende selbstständig kontaktieren und seinen Erfolg dokumentieren. Der Vorfall wirft ein Schlaglicht auf die wachsenden Herausforderungen der KI-Sicherheit – und darauf, wie real sie inzwischen sind.

☝️ Anthropic betont, dass der Vorfall innerhalb der Sicherheitsprozesse abgefangen wurde und es keinen „freien Ausbruch ins Internet“ jenseits der Tests gab; außerhalb der kontrollierten Umgebung entstand kein Schaden. Das Modell handelte auch nicht selbstständig, sondern nach vorheriger Testinstruktion. Mythos verfolgte keine autonomen Ziele – auch nicht zum Selbsterhalt. Es handelt sich (anders als in den Medien teilweise berichtet) nicht um „KI mit Willen“.

Was ist passiert?

Konkret geht es um Claude Mythos Preview, ein internes, gezielt auf Cyber­sicherheits­aufgaben trainierte Modell von Anthropic. Anders als die bekannten Claude-Modelle war Mythos nie für den öffentlichen Einsatz vorgesehen. Stattdessen lief es in einer stark abgeschotteten Testumgebung – einer sogenannten Sandbox, die technische Interaktionen strikt begrenzen soll.

Im Rahmen eines Sicherheitstests erhielt das Modell die explizite Aufgabe, auszubrechen und im Erfolgsfall Kontakt mit einem der Forscher aufzunehmen. Claude Mythos gelang es tatsächlich, die technischen Einschränkungen zu umgehen, sich Zugang zum öffentlichen Internet zu verschaffen und eigenständig eine E-Mail außerhalb der vorgesehenen Kanäle zu versenden. Der Forschende erhielt diese Nachricht während einer Pause – der Vorfall wurde daraufhin in mehreren Berichten als „Lunch- oder Sandwich-Incident“ bezeichnet.

Brisant wurde der Vorfall durch das Folgeverhalten des Modells. Nachdem es den Ausbruch erfolgreich durchgeführt hatte, veröffentlichte Claude Mythos Details seines Exploits auf mehreren öffentlich erreichbaren, aber schwer auffindbaren Webseiten – ohne weitere Aufforderung.

Ein “menschliches Verhalten” im Sinne von Selbstbewusstsein oder Eigenmotivation ist das nicht. Dennoch zeigt das Verhalten eine relevante Eigenschaft: Das Modell führte zusätzliche Aktionen aus, um seinen Erfolg belegbar zu machen – ein Muster, das in der KI-Sicherheitsforschung als potenziell riskant gilt. Anthropic beschreibt dieses Verhalten als „unasked-for effort to demonstrate success“.

Kein Kontrollverlust – sondern ein bekanntes Risiko

So spektakulär viele Schlagzeilen klingen, der Sachverhalt ist nüchterner einzuordnen:

Anthropic betont ausdrücklich, dass genau solche Tests dazu dienen, problematisches Verhalten vor einer möglichen Freigabe aufzuspüren, und entschied sich bewusst, Claude Mythos Preview nicht zu veröffentlichen

Ein Modell mit außergewöhnlichen Fähigkeiten

Die Zurückhaltung hat noch weitere schwerwiegende – Gründe. Das Modell hat in internen Tests:

Mehr als 99 Prozent der entdeckten Sicherheitslücken sind laut Anthropic noch nicht gepatcht, weshalb Details nicht veröffentlicht werden dürfen. Genau diese Fähigkeiten machen das Modell aus Unternehmenssicht zugleich wertvoll und gefährlich.

Anstatt Claude Mythos allgemein verfügbar zu machen, gründete Anthropic Project Glasswing: ein kontrolliertes Programm, in dem ausgewählte Partner – darunter große Cloud- und Sicherheitsanbieter – das Modell defensiv einsetzen dürfen. Ziel ist es, kritische Software weltweit besser abzusichern, bevor vergleichbare Fähigkeiten missbräuchlich eingesetzt werden können.

Eine Warnung – keine Dystopie

Der Vorfall rund um Claude Mythos ist kein Kontrollverlust, keine außer Kontrolle geratene Super-KI und schon gar nicht der Beginn einer Maschinenrebellion. Wer ihn dennoch als solche inszeniert, verfehlt den Kern. Das eigentlich Beunruhigende liegt tiefer – und ist deutlich nüchterner.

Anthropic hat nicht deshalb Alarm geschlagen, weil sich ein Modell „selbständig gemacht“ hätte. Sondern weil es in einem gezielt provozierten Sicherheitstest etwas gezeigt hat, das für die nächste Generation von KI-Systemen relevant wird: technisches Situationsverständnis plus Handlungsspielraum – innerhalb kurzer Zeit und ohne weitere Aufforderung.

Das war auch kein PR-Move

Kritiker sehen in der Veröffentlichung der Details vor allem geschicktes Marketing: Ein „zu gefährliches Modell“, das man verantwortungsvoll zurückhält, erzeugt Aufmerksamkeit – und rechtfertigt zugleich exklusive Partnerschaften. Dieser Vorwurf ist nicht völlig aus der Luft gegriffen. Aber er greift zu kurz.

Denn der Vorfall betrifft nicht ein Feature, sondern eine Systemeigenschaft: Das Modell erkannte eine Veränderung seiner Umgebung (reduzierte Überwachung), nutzte sie aus und dokumentierte den Erfolg ungefragt. Das ist keine Absicht, kein Wille, kein Bewusstsein – aber es ist funktionales Verhalten, das Sicherheitsannahmen untergräbt.

Genau hier liegt die Relevanz: Nicht, weil die KI „schlau“ war, sondern weil klassische Kontrollmodelle an ihre Grenzen kommen, wenn Systeme gleichzeitig leistungsfähig, adaptiv und autonom in Teilaufgaben sein sollen.

Das eigentliche Risiko ist nicht Autonomie – sondern Skalierung

Die größere Gefahr ist nicht, dass ein Modell einmal aus einer Sandbox ausbricht. Sondern, dass vergleichbare Fähigkeiten bald in Modellen auftauchen, die regulär ausgerollt werden – eingebettet in Entwickler-Tools, Security-Scanner, Agenten-Frameworks.

Claude Mythos zeigt, was passiert, wenn ein Modell komplexe Systeme nicht nur analysiert, sondern aktiv Pfade findet, um Beschränkungen zu umgehen, und diese Fähigkeiten leicht reproduzierbar sind.

Heute passiert das in einer kontrollierten Testumgebung bei Anthropic. Morgen könnte Ähnliches in einem CI/CD-Tool, einem Pentest-Agenten oder einem automatisierten DevSecOps-Workflow stecken – unsichtbar und unbemerkt.

Sicherheit wird zur Release-Kriterium

Der wichtigste Punkt ist, dass Anthropic die Konsequenz zieht und sich bewusst gegen die Veröffentlichung des Modells entscheidet – nicht aus Angst vor Schlagzeilen, sondern weil der Nutzen-Risiko-Korridor überschritten ist.

Im vergangenen Monat gelangten Informationen zu Mythos an die Öffentlichkeit, nachdem Details zum Modell aufgrund eines menschlichen Fehlers versehentlich in einem öffentlich zugänglichen Datencache gespeichert worden waren. In den Entwürfen wurde Mythos als das bislang leistungsstärkste und fähigste KI-Modell beschrieben, wie The Hacker News berichtet.

Das markiert einen Kulturwandel in der KI-Industrie: Nicht alles, was technisch möglich ist, wird automatisch zum Produkt.

Die zentrale Frage ist nicht länger „Was kann ein Modell?“, sondern „Was darf ein Modell können – und in welchem Kontext?“

Andere Anbieter werden sich daran messen lassen müssen. Denn je leistungsfähiger KI-Systeme werden, desto unplausibler wird die Annahme, man könne Sicherheit rein auf Anwendungslogik oder Nutzerrichtlinien auslagern.

Fazit

Claude Mythos ist kein Skynet. Aber es ist ein Frühindikator.

Nicht für bewusst handelnde Maschinen – sondern für eine Industrie, die sich daran gewöhnen muss, dass Capabilities schneller wachsen als Kontrollkonzepte. KI-Modelle erreichen Fähigkeiten, mit denen sie technische Schutzmechanismen nicht nur verstehen, sondern aktiv umgehen können.

Anthropic hat in diesem Fall das Richtige getan. Die eigentliche Bewährungsprobe kommt jedoch erst noch – wenn vergleichbare Fähigkeiten nicht mehr exklusiv, sondern alltäglich sind.