Claude Mythos: Auswirkungen auf modernes Penetration Testing
Claude Mythos automatisiert das Finden und Ausnutzen von Schwachstellen. Welche Folgen hat das für Pentests, Angriffsgeschwindigkeit und Security-Prozesse?
Was ist „Claude Mythos“?
„Claude Mythos Preview“ ist ein nicht öffentlich zugängliches Frontier-KI Modell von Anthropic mit Fokus auf IT-Sicherheit, das bisherige Systeme in einem Punkt deutlich übertrifft: Es kann Schwachstellen nicht nur finden, sondern diese auch praktisch ausnutzen.
In internen Tests identifizierte das Modell tausende bislang unbekannte Sicherheitslücken, unter anderem in allen gängigen Browsern und Betriebssystemen und erzeugte daraus funktionierende Exploits – also Skripte oder Programme, die gezielt Schwachstellen in Software o. ä. ausnutzen.
Entscheidend ist hier vor allem die Fähigkeit, mehrere Schwachstellen zu einer funktionierenden Angriffskette zu verknüpfen. Gleichzeitig entwickelt das Modell Exploits iterativ weiter und testet sie, bis ein Angriff zuverlässig funktioniert. Neben Open-Source-Code analysiert Mythos auch geschlossene Software und leitet daraus Angriffsansätze ab. Im Unterschied zu klassischen Tools arbeitet das Modell dabei nicht signaturbasiert, sondern hypothesengetrieben, generiert aktiv neue Testszenarien und kann mehrstufige Angriffsschritte teilweise selbstständig verketten.
Aufgrund dieser Fähigkeiten ist Mythos bislang nicht frei verfügbar, sondern wird im Rahmen von Project Glasswing eingesetzt, einer Kooperation mit ausgewählten Unternehmen, die damit gezielt kritische Software prüfen und absichern.
Was sich im Penetration Testing konkret verschiebt
Der größte Aufwand im Penetration Testing liegt selten im reinen Auffinden von Schwachstellen, sondern in deren praktischer Ausnutzung. Genau dieser Schritt wird durch Modelle wie Mythos stark beschleunigt. Anstatt Schwachstellen manuell zu prüfen und Exploits schrittweise zu entwickeln, liefert das Modell oft direkt nutzbare Ergebnisse, inklusive funktionierenden Exploits.
Damit verschiebt sich die Rollenverteilung im Pentesting: weniger technische Detailarbeit, mehr Bewertung und Einordnung. Zugleich verändert sich die Tiefe der Analyse. Angriffspfade, die bisher Erfahrung und Zeit erforderten, lassen sich zunehmend automatisiert ableiten und testen.
Auswirkungen auf Praxis und Bedrohungslage
Pentests in der Praxis werden schneller und effizienter, denn große Codebasen lassen sich in kurzer Zeit prüfen und Ergebnisse sind oft direkt nutzbar, weil bereits ein funktionierender Exploit vorliegt.
Der größere Effekt zeigt sich jedoch auf der Angreiferseite: Wenn Exploit-Entwicklung nicht mehr der limitierende Faktor ist, können deutlich mehr Angriffsvarianten parallel entwickelt und getestet werden. Eine einzelne Person kann damit eine Skalierung erreichen, die bisher nur in Teams möglich war.
Der eigentliche Game-Changer ist damit die Geschwindigkeit – die Zeit zwischen dem Auffinden einer Schwachstelle und ihrer praktischen Ausnutzung schrumpft enorm.
Klassische Sicherheitsprozesse, die auf längere Analyse- und Patchzyklen ausgelegt sind, kommen hier schnell an ihre Grenzen.
Mythos ist nicht grenzenlos – was weiterhin „menschlich“ bleibt
Trotz dieser Fähigkeiten ersetzt Mythos kein vollständiges Penetration Testing. Seine Stärken zeigt das Modell vor allem bei der technischen Analyse von Code und isolierten Systemen.
Gerade reale Umgebungen mit unklaren Abhängigkeiten und geschäftsspezifischer Logik lassen sich teils nicht vollständig abbilden. Auch klassische Black Box Tests, bei denen wenig über das Zielsystem bekannt ist, bleiben anspruchsvoll. Zudem fehlt Modellen wie Mythos die Fähigkeit, längere Angriffskampagnen konsistent zu planen und durchzuführen. Sie arbeiten punktuell sehr effektiv, aber nicht als vollständig orchestrierte Angreifer.
Ein weiterer Faktor ist die kontrollierte Nutzung solcher Systeme. Modelle wie Mythos reagieren sensibel auf Kontext und Formulierung von Anfragen. Wie auch in praktischen Tests (z. B. bei Cloudflare) zu sehen ist, können Antworten je nach Framing variieren oder eingeschränkt werden. Diese Mechanismen sind gewollt und einer der Gründe, warum das Modell aktuell nicht frei verfügbar ist. Gleichzeitig begrenzen sie in bestimmten Situationen die direkte Anwendbarkeit beim Penetration Testing.
Fazit: Der Engpass verschiebt sich
Claude Mythos verändert Penetration Testing vor allem dadurch, dass ein zentraler Engpass wegfällt – die Überführung von Schwachstellen in echte Angriffe. Für Unternehmen bedeutet das vor allem eins: Die Herausforderung liegt künftig weniger im Finden von Lücken als in deren Bewertung und schneller Reaktion.
Ansprechperson
Haben Sie Fragen oder Kommentare zum Thema Claude Mythos oder Penetration Testing? Wenden Sie sich gerne an Luis Klein.