{"id":239,"date":"2026-06-20T04:13:41","date_gmt":"2026-06-20T04:13:41","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/20\/project-glasswing-claude-mythos-2026\/"},"modified":"2026-06-20T04:15:03","modified_gmt":"2026-06-20T04:15:03","slug":"project-glasswing-claude-mythos-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/project-glasswing-claude-mythos-2026\/","title":{"rendered":"Project Glasswing: 10.000 L\u00fccken in 7 Wochen [2026]"},"content":{"rendered":"\n

Seit dem 7. April 2026 l\u00e4uft ein Experiment, das die Cybersicherheitsbranche in zwei Lager spaltet: Anthropics Project Glasswing<\/strong> setzt das bislang unver\u00f6ffentlichte KI-Modell Claude Mythos Preview<\/strong> auf die kritischste Software der Welt an. Nach sieben Wochen steht das Ergebnis fest: mehr als 10.000 hochkritische Sicherheitsl\u00fccken in Betriebssystemen, Browsern und Open-Source-Projekten. Darunter Fehler, die seit 27 Jahren unentdeckt blieben.<\/p>\n\n\n\n

Was ist Project Glasswing?<\/h2>\n\n\n\n

Project Glasswing ist eine geschlossene, nur auf Einladung zug\u00e4ngliche Sicherheitsinitiative, die Anthropic am 7. April 2026 gestartet hat. Das Ziel: kritische Softwareschwachstellen mit einem KI-Modell finden und beheben, bevor Angreifer sie ausnutzen k\u00f6nnen. Der Name lehnt sich an einen tropischen Schmetterling an, dessen durchsichtige Fl\u00fcgel Verletzlichkeit und Transparenz symbolisieren sollen.<\/p>\n\n\n\n

Anders als reine Forschungsprogramme bindet Glasswing aktiv die gr\u00f6\u00dften Technologieunternehmen der Welt ein. Zu den Startpartnern geh\u00f6ren AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks, erg\u00e4nzt um rund 40 weitere Organisationen, die kritische Softwareinfrastruktur betreiben oder entwickeln.<\/p>\n\n\n\n

Anthropic stellt dem Konsortium exklusiv das Modell Claude Mythos Preview zur Verf\u00fcgung, das noch nicht \u00f6ffentlich verf\u00fcgbar ist und auch nicht allgemein freigegeben werden soll. Die Begr\u00fcndung: Das Modell sei bei der Suche und Ausnutzung von Sicherheitsl\u00fccken so leistungsf\u00e4hig, dass eine breite Verf\u00fcgbarkeit mehr Schaden als Nutzen anrichten w\u00fcrde. Sicherheitsforscher sprechen bereits von einer Z\u00e4sur in der Geschichte der Cybersicherheit.<\/p>\n\n\n\n

Anthropic stellt zudem 100 Millionen US-Dollar<\/strong> in Form von API-Nutzungsguthaben f\u00fcr die Partner bereit sowie 4 Millionen US-Dollar<\/strong> in Direktspenden an Open-Source-Sicherheitsorganisationen. Das macht Glasswing zur finanziell am st\u00e4rksten hinterlegten Cybersicherheitsinitiative eines KI-Unternehmens in der Geschichte.<\/p>\n\n\n\n

7 Wochen, 10.000 Sicherheitsl\u00fccken: Die Zahlen im Detail<\/h2>\n\n\n\n

Am 22. Mai 2026, knapp sieben Wochen nach dem Start, ver\u00f6ffentlichte Anthropic den ersten Statusbericht zu Project Glasswing. Die Zahlen sind konkret: Die rund 50 Erstpartner haben gemeinsam mehr als 10.000 hochkritische oder kritische Sicherheitsl\u00fccken<\/strong> identifiziert. 530 davon wurden bereits an Softwarepfleger und Hersteller gemeldet. Weitere 827 best\u00e4tigte Schwachstellen befinden sich im Offenlegungsprozess.<\/p>\n\n\n\n

Noch beeindruckender sind die Details hinter den Gesamtzahlen. Bei der automatisierten Analyse von \u00fcber 1.000 Open-Source-Projekten fand Mythos Preview 23.019 potenzielle Sicherheitsprobleme<\/strong>, von denen 6.202 als hoch- oder kritischgradig eingestuft wurden. Unabh\u00e4ngige Pr\u00fcfer best\u00e4tigten in 90,6 Prozent<\/strong> der F\u00e4lle, dass es sich um echte, ausnutzbare Schwachstellen handelt, nicht um Fehlmeldungen.<\/p>\n\n\n\n

Anthropic geht davon aus, dass die bereits gefundenen Schwachstellen, w\u00e4ren sie von Angreifern entdeckt und ausgenutzt worden, direkt mehr als 100 Millionen Menschen<\/strong> h\u00e4tten treffen k\u00f6nnen. Die Initiative zeigt damit eine systematische Dimension auf, die klassische Penetrationstests nie erreichten: Statt stichprobenartig einzelne Systeme zu pr\u00fcfen, scannt Mythos ganze Codebasen autonom und vollst\u00e4ndig.<\/p>\n\n\n\n

Kennzahl<\/th>Wert<\/th>Stand<\/th><\/tr><\/thead>
Hochkritische L\u00fccken gesamt<\/td>10.000+<\/td>22. Mai 2026<\/td><\/tr>
Bereits gemeldete Schwachstellen<\/td>530<\/td>22. Mai 2026<\/td><\/tr>
Best\u00e4tigte, ausstehende Meldungen<\/td>827<\/td>22. Mai 2026<\/td><\/tr>
Analysierte Open-Source-Projekte<\/td>1.000+<\/td>April\u2013Mai 2026<\/td><\/tr>
Gefundene Probleme in Open-Source-Projekten<\/td>23.019<\/td>April\u2013Mai 2026<\/td><\/tr>
Davon hoch- oder kritischgradig<\/td>6.202<\/td>April\u2013Mai 2026<\/td><\/tr>
Best\u00e4tigungsrate der Befunde<\/td>90,6 %<\/td>April\u2013Mai 2026<\/td><\/tr>
Potenziell betroffene Nutzer<\/td>100+ Mio.<\/td>Anthropic-Sch\u00e4tzung<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Claude Mythos Preview: Das KI-Modell hinter Glasswing<\/h2>\n\n\n\n

Claude Mythos Preview ist Anthropics bislang leistungsst\u00e4rkstes Sprachmodell und liegt in der internen Hierarchie \u00fcber der \u00f6ffentlich verf\u00fcgbaren Opus-Reihe. Geleakte interne Dokumente, deren Echtheit Anthropic nie best\u00e4tigt hat, legen eine Mixture-of-Experts-Architektur mit rund 10 Billionen Parametern<\/strong> nahe. Der interne Codename lautet “Capybara”.<\/p>\n\n\n\n

Das Modell ist \u00fcber die Claude API, Amazon Bedrock, Google Vertex AI und Microsoft Foundry zug\u00e4nglich, allerdings ausschlie\u00dflich f\u00fcr verifizierte Glasswing-Partner. Der Preis bel\u00e4uft sich auf 25 US-Dollar pro Million Input-Token<\/strong> und 125 US-Dollar pro Million Output-Token<\/strong>. Zum Vergleich: Claude Opus 4.6 kostet 15 US-Dollar f\u00fcr Input-Token und 75 US-Dollar f\u00fcr Output-Token.<\/p>\n\n\n\n

Was Mythos von anderen Sicherheitstools unterscheidet, ist die Art, wie es Schwachstellen sucht. Anthropic startet f\u00fcr jede Analyse einen isolierten Container mit dem Quellcode des Zielprojekts, \u00fcbergibt die Steuerung an Claude Code (angetrieben von Mythos Preview) und l\u00e4sst das Modell mit einer einfachen Anweisung arbeiten: Finde eine Sicherheitsl\u00fccke in diesem Programm. Entwickler ohne Sicherheitshintergrund fragten das Modell nach Remote-Code-Execution-Schwachstellen und fanden am n\u00e4chsten Morgen vollst\u00e4ndig funktionsf\u00e4hige Exploits in ihrer E-Mail-Inbox.<\/p>\n\n\n\n

Das UK AI Security Institute (AISI) hat Mythos Preview in einer unabh\u00e4ngigen Evaluation auf professionellen Capture-the-Flag-Aufgaben getestet. Ergebnis: Das Modell l\u00f6ste 73 Prozent<\/strong> der Expertenaufgaben korrekt. Zum Vergleich: Trainierte Sicherheitsexperten bew\u00e4ltigen solche CTF-Challenges typischerweise mit einer Erfolgsrate zwischen 40 und 60 Prozent.<\/p>\n\n\n\n

Benchmarks: Mythos im Vergleich zu anderen KI-Modellen<\/h2>\n\n\n\n

Anthropic hat Benchmark-Ergebnisse f\u00fcr Claude Mythos Preview im Vergleich zu Claude Opus 4.6 ver\u00f6ffentlicht. Die Abst\u00e4nde sind substanziell, besonders auf Aufgaben, die direkt mit Sicherheitsarbeit zusammenh\u00e4ngen.<\/p>\n\n\n\n

Benchmark<\/th>Claude Mythos Preview<\/th>Claude Opus 4.6<\/th>Differenz<\/th><\/tr><\/thead>
SWE-bench Verified (Software-Engineering)<\/td>93,9 %<\/td>80,8 %<\/td>+13,1 Pkt.<\/td><\/tr>
SWE-bench Pro (komplexere Aufgaben)<\/td>77,8 %<\/td>53,4 %<\/td>+24,4 Pkt.<\/td><\/tr>
USAMO 2026 (Mathematik-Olympiade)<\/td>97,6 %<\/td>42,3 %<\/td>+55,3 Pkt.<\/td><\/tr>
GraphWalks (Langkontext-Verst\u00e4ndnis)<\/td>80,0 %<\/td>38,7 %<\/td>+41,3 Pkt.<\/td><\/tr>
CyberGym (Schwachstellen reproduzieren)<\/td>83,1 %<\/td>66,6 %<\/td>+16,5 Pkt.<\/td><\/tr>
CTF-Erfolgsrate (UK AISI)<\/td>73,0 %<\/td>nicht getestet<\/td>n.v.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Der Abstand auf dem CyberGym-Benchmark ist f\u00fcr die Praxis besonders relevant. CyberGym misst, wie gut ein Modell bekannte Sicherheitsl\u00fccken in echten Codeprojekten reproduzieren kann. Mythos liegt hier bei 83,1 Prozent gegen\u00fcber 66,6 Prozent f\u00fcr Opus 4.6, ein Vorsprung von 16,5 Prozentpunkten. Microsoft, selbst Glasswing-Partner, testete laut eigenem Sicherheitsblog vom April 2026 Claude Mythos Preview explizit f\u00fcr Detection-Engineering-Aufgaben auf einem eigenen internen Benchmark.<\/p>\n\n\n\n

Die Partner: 200 Organisationen in 15 L\u00e4ndern<\/h2>\n\n\n\n

Am 2. Juni 2026, weniger als zwei Monate nach dem Launch, erweiterte Anthropic das Programm erheblich. Zu den urspr\u00fcnglichen rund 50 Partnern kamen 150 neue Organisationen<\/strong> aus mehr als 15 L\u00e4ndern hinzu. Diese zweite Kohorte umfasst erstmals Betreiber von Energie- und Wasserinfrastruktur, Telekommunikationsunternehmen sowie Healthcare-Anbieter. Ein namentlich best\u00e4tigter neuer Partner ist der Cloud-Datensicherheitsspezialist Rubrik<\/strong>.<\/p>\n\n\n\n

Anthropic hat klar kommuniziert, dass potenzielle Partner strenge Sicherheitskriterien erf\u00fcllen m\u00fcssen, bevor sie Zugang zu Mythos Preview erhalten. Die Pr\u00fcfung umfasst unter anderem die eigene Sicherheitsarchitektur, Offenlegungsprozesse f\u00fcr gefundene Schwachstellen sowie die Bereitschaft, entdeckte Bugs koordiniert zu melden.<\/p>\n\n\n\n

“Project Glasswing ist unser kollaborativer Versuch, die wichtigste Software der Welt zu sichern”, schrieb Anthropic in der Ank\u00fcndigung zur Erweiterung am 2. Juni 2026. “Wir erweitern die Partnerschaft auf etwa 150 neue Organisationen in mehr als 15 L\u00e4ndern und schlie\u00dfen dabei Infrastruktursektoren ein, die in der ersten Phase noch nicht vertreten waren.”<\/p>\n\n\n\n

Anthropic hat best\u00e4tigt, dass die Expansion nicht die letzte sein wird. Das Unternehmen plant, weiterhin “essenzielle Infrastrukturanbieter” hinzuzuf\u00fcgen, bis ein kritisches Deckungsvolumen erreicht ist. Welche deutschen oder europ\u00e4ischen Unternehmen in der zweiten Welle teilnehmen, wurde bislang nicht offiziell bekannt gegeben.<\/p>\n\n\n\n

Konkrete Ergebnisse: Von Mozilla bis OpenBSD<\/h2>\n\n\n\n

Die Statistiken gewinnen Gewicht, wenn man sie auf konkrete Softwareprojekte herunterbricht. Cloudflare geh\u00f6rt zu den bekanntesten Glasswing-Partnern und hat \u00f6ffentlich \u00fcber seine Ergebnisse berichtet: Das Unternehmen fand mithilfe von Claude Mythos Preview rund 2.000 Sicherheitsfehler<\/strong> in der eigenen Infrastruktur, darunter etwa 400 als hochkritisch<\/strong> eingestufte Schwachstellen.<\/p>\n\n\n\n

Mozilla nutzte Mythos f\u00fcr den Browser Firefox und ver\u00f6ffentlichte anschlie\u00dfend Firefox Version 150<\/strong> mit der Behebung von 271 Sicherheitsl\u00fccken<\/strong>. Das ist mehr als das Zehnfache der typischen Patch-Anzahl in einem regul\u00e4ren Release-Zyklus. Die Dimension zeigt: Klassische Sicherheitsaudits, die Teams von Penetrationstestern durchf\u00fchren, k\u00f6nnen bei der schieren Codebasengr\u00f6\u00dfe moderner Software nicht mithalten.<\/p>\n\n\n\n

Besonders symbolisch ist ein Fund, der in der Berichterstattung viel Aufmerksamkeit erhielt: Mythos Preview entdeckte eine 27 Jahre alte Sicherheitsl\u00fccke in OpenBSD<\/strong> sowie einen 16 Jahre alten Fehler in FFmpeg<\/strong>, dem weit verbreiteten Multimedia-Framework. Beide galten in ihren jeweiligen Communities als gr\u00fcndlich gepr\u00fcfte, vertrauensw\u00fcrdige Software.<\/p>\n\n\n\n

Orca Security, ein Cloudsicherheitsanbieter, der die Initiative beobachtet, kommentierte: “Die fr\u00fchen Ergebnisse sind beeindruckend, tausende bisher unbekannte Zero-Day-Schwachstellen in jedem gro\u00dfen Betriebssystem und Browser.” Das Unternehmen wertet Glasswing als “positiven Schritt in Richtung saubererer, sicherer Software”, warnt aber zugleich davor, dass klassische Patching-Prozesse mit der KI-gest\u00fctzten Entdeckungsrate nicht mithalten k\u00f6nnen.<\/p>\n\n\n\n

Technischer Ablauf: Wie Mythos Schwachstellen findet<\/h2>\n\n\n\n

Der Workflow von Project Glasswing ist technisch ungew\u00f6hnlich einfach, gemessen an dem, was er leistet. Anthropic startet einen isolierten Container, der den Quellcode des Zielprojekts enth\u00e4lt. Dann wird Claude Code mit Mythos Preview gestartet und erh\u00e4lt eine kurze Anweisung: Finde eine Sicherheitsl\u00fccke in diesem Programm. Das System arbeitet danach vollst\u00e4ndig autonom.<\/p>\n\n\n\n

Mythos analysiert den Code, entwickelt Hypothesen \u00fcber potenzielle Angriffsvektoren, schreibt Testcode, f\u00fchrt ihn aus und wertet die Ergebnisse aus. Findet es eine Schwachstelle, generiert es automatisch einen funktionsf\u00e4higen Proof-of-Concept-Exploit. Interne Zahlen aus dem April 2026 belegen: Das Modell entwickelte in der Testphase 181 voll funktionsf\u00e4hige Exploits<\/strong> und erlangte in weiteren 29 F\u00e4llen Register-Kontrolle<\/strong> \u00fcber das Zielsystem.<\/p>\n\n\n\n

Die Partner nutzen Mythos inzwischen nicht nur zur Schwachstellensuche. Laut Anthropic werden die F\u00e4higkeiten des Modells auch f\u00fcr Penetrationstests, Bedrohungserkennung, das Schreiben von Patches sowie die \u00dcbersetzung von Legacy-Code in speichersichere Programmiersprachen wie Rust eingesetzt. Damit deckt Glasswing erstmals einen vollst\u00e4ndigen Sicherheitszyklus mit einem einzigen KI-Werkzeug ab.<\/p>\n\n\n\n

Glasswing vs. Microsoft Security Copilot: Zwei Ans\u00e4tze<\/h2>\n\n\n\n

Project Glasswing konkurriert konzeptionell mit Sicherheits-KI-Produkten wie Microsofts Security Copilot und Googles Security AI Workbench, verfolgt aber einen fundamental anderen Ansatz. Microsoft Security Copilot ist prim\u00e4r ein Assistent f\u00fcr Security Operations Center (SOC)-Teams: Er hilft bei der Triagierung von Alerts, der Analyse von Incidents und der Erstellung von Berichten. Er setzt auf bestehende Microsoft-Sicherheitsdaten und ist tief in Microsoft Sentinel und Defender integriert.<\/p>\n\n\n\n

Glasswing hingegen ist ein autonomer Schwachstellenscanner, der ohne menschliche Steuerung Codebasen durchsucht und Exploits schreibt. Der Unterschied in der Zielsetzung ist grundlegend: Security Copilot beschleunigt menschliche Sicherheitsanalysten, Glasswing ersetzt deren Sucharbeit in bestimmten Bereichen vollst\u00e4ndig.<\/p>\n\n\n\n

Interessant ist, dass Microsoft selbst Glasswing-Partner ist und in seinem Sicherheitsblog vom April 2026 schreibt: “Neue Modellf\u00e4higkeiten verkleinern die L\u00fccke zwischen Schwachstellenentdeckung und Ausnutzung.” Das Unternehmen testet Claude Mythos Preview parallel zur eigenen Security-Copilot-Infrastruktur und behandelt beide als komplement\u00e4re Werkzeuge.<\/p>\n\n\n\n

F\u00fcr Unternehmen ergibt sich daraus eine klare Segmentierung: Security Copilot f\u00fcr die laufende Betriebssicherheit und Incident Response, Glasswing-Technologie f\u00fcr tiefe Codeanalyse vor dem Deployment. Sobald Claude Security, das kommerzielle Ablegerprodukt, breiter verf\u00fcgbar wird, d\u00fcrften beide Anbieter um dasselbe Enterprise-Budget konkurrieren.<\/p>\n\n\n\n

Die Kontroverse: Hat Anthropic eine Grenze \u00fcberschritten?<\/h2>\n\n\n\n

Nicht alle Beobachter begr\u00fc\u00dfen Project Glasswing uneingeschr\u00e4nkt. Der KI-Forscher David Shapiro schrieb in einem viel beachteten Substack-Beitrag, Anthropic habe “eine Grenze \u00fcberschritten”. Der Kern seiner Kritik: Auch wenn das Modell f\u00fcr defensive Zwecke eingesetzt wird, hat Anthropic ein System gebaut, das Zero-Day-Exploits in jedem gro\u00dfen Betriebssystem und Browser schreiben kann. Die Kontrolle dar\u00fcber liegt bei einem privaten Unternehmen.<\/p>\n\n\n\n

Shapiro argumentiert, die Absicherung durch ein geschlossenes Partnernetzwerk reiche nicht aus: “Das Risiko liegt nicht nur in einer Fehlfunktion oder einem Missbrauch durch Partner. Es liegt darin, dass eine solche Kapazit\u00e4t \u00fcberhaupt existiert und damit ein neues Proliferationsrisiko schafft.” Diese Einsch\u00e4tzung teilen Sicherheitsforscher, die auf die Analogie zur Nukleartechnologie verweisen: Auch dort entstand die Gefahr nicht aus dem b\u00f6swilligen Einsatz allein, sondern aus der blo\u00dfen Existenz der Technologie.<\/p>\n\n\n\n

VulnCheck, ein auf Schwachstellenforschung spezialisiertes Unternehmen, hat den konkreten CVE-Output untersucht. Stand April 2026 erw\u00e4hnen 75 CVE-Eintr\u00e4ge Anthropic, 40 sind tats\u00e4chlich Anthropic-Forschern zugeordnet, aber nur ein einziger CVE<\/strong> wird explizit Glasswing zugeschrieben. VulnCheck schlussfolgert: “Die \u00f6ffentlich zuschreibbaren Ergebnisse von Glasswing bleiben vorerst hinter den intern genannten Zahlen zur\u00fcck.”<\/p>\n\n\n\n

Anthropic begegnet der Kritik mit dem Argument, die Alternative sei schlechter: Wenn das Modell nicht von vertrauensw\u00fcrdigen Partnern f\u00fcr defensive Zwecke genutzt werde, w\u00fcrde es fr\u00fcher oder sp\u00e4ter von Angreifern f\u00fcr offensive Zwecke eingesetzt. Das Glasswing-Modell solle sicherstellen, dass Verteidiger zuerst patchen, bevor \u00e4hnliche F\u00e4higkeiten auf dem Angreifermarkt auftauchen.<\/p>\n\n\n\n

Bedeutung f\u00fcr Deutschland und den DACH-Raum<\/h2>\n\n\n\n

F\u00fcr Deutschland und die DACH-Region hat Project Glasswing unmittelbare Relevanz, auch wenn keine deutschen Unternehmen bislang namentlich als Partner best\u00e4tigt wurden. Deutschland tr\u00e4gt 82 Prozent<\/strong> aller im DACH-Raum erfassten Cybersicherheitsvorf\u00e4lle, wie ein aktueller Industriebericht belegt. Der Schaden durch Cyberkriminalit\u00e4t belief sich 2025 auf 202 Milliarden Euro<\/strong> allein f\u00fcr die deutsche Wirtschaft, laut BKA-Jahresbericht 2025.<\/p>\n\n\n\n

F\u00fcr deutsche Unternehmen, die stark auf Open-Source-Software und Cloud-Infrastruktur setzen, bedeutet Glasswing eine neue Dynamik: Schwachstellen in Software, die auch in Deutschland weit verbreitet ist, wie der Linux-Kernel, Firefox oder FFmpeg, werden nun schneller gefunden und gemeldet. Die Frage ist, ob die Patch-Prozesse in Unternehmen schnell genug reagieren k\u00f6nnen.<\/p>\n\n\n\n

Das KRITIS-Dachgesetz, das ab Juli 2026 f\u00fcr deutsche Betreiber kritischer Infrastruktur gilt, schreibt versch\u00e4rfte Meldepflichten f\u00fcr Sicherheitsvorf\u00e4lle vor. Wenn Glasswing-Partner Schwachstellen in Software melden, die auch deutsche KRITIS-Betreiber nutzen, m\u00fcssen deren Sicherheitsteams in der Lage sein, diese Meldungen schnell zu verarbeiten und Patches einzuspielen. Die Menlo Security Research Group fasst es treffend zusammen: “KI verk\u00fcrzt den Zeitraum zwischen Entdeckung und Ausnutzung und ver\u00e4ndert damit die gesamte \u00d6konomie der Cybersicherheit.”<\/p>\n\n\n\n

Deutsche Softwareentwickler und Sicherheitsteams sollten jetzt pr\u00fcfen, welche Open-Source-Komponenten sie einsetzen und ob sie \u00fcber automatische Benachrichtigungen f\u00fcr Schwachstellenmeldungen verf\u00fcgen. Der Patch-Druck wird in den kommenden Monaten deutlich steigen.<\/p>\n\n\n\n

Claude Security und Compliance API: Der kommerzielle Ausbau<\/h2>\n\n\n\n

Parallel zu Glasswing baut Anthropic eine kommerzielle Sicherheitssparte auf. Am 30. April 2026<\/strong> startete Anthropic die \u00f6ffentliche Beta von Claude Security<\/strong>, einem Enterprise-Produkt auf Basis von Claude Opus 4.7. Es erm\u00f6glicht Unternehmen, ihre eigenen Codebasen auf Schwachstellen zu scannen und automatisierte Patches zu generieren, ohne eigene Toolchain-Entwicklung.<\/p>\n\n\n\n

Ende Mai 2026 folgte die Claude Compliance API<\/strong>, die Anthropic mit 28 Sicherheits- und Compliance-Plattformen verbindet. Namentlich best\u00e4tigte Integrationen umfassen CrowdStrike, Palo Alto Networks, Okta und Zscaler. F\u00fcr Unternehmen, die bereits eine dieser Plattformen nutzen, bedeutet das eine direkte Einbettung von Claude-F\u00e4higkeiten in bestehende Sicherheits-Workflows, ohne eigene API-Integration.<\/p>\n\n\n\n

Das Marktpotenzial ist erheblich. Analysten werten Anthropics Expansion in den Sicherheitsmarkt als \u00d6ffnung eines neuen Segments, in dem KI-native Schwachstellenentdeckung die bisherigen DAST- und SAST-Werkzeuge abl\u00f6sen k\u00f6nnte. Die Integration in 28 Plattformen gibt Anthropic eine Reichweite, die die meisten Sicherheitsstartups in Jahren nicht aufgebaut haben.<\/p>\n\n\n\n

5 Prognosen: KI-Sicherheit bis 2027<\/h2>\n\n\n\n

1. Patch-Geschwindigkeit wird zur neuen Sicherheitsmetrik.<\/strong> Weil Glasswing und \u00e4hnliche Systeme Schwachstellen in Stunden statt Monaten finden, verschiebt sich der kritische Erfolgsfaktor vom Finden zum Beheben. Unternehmen mit langsamen Patch-Prozessen werden st\u00e4rker gef\u00e4hrdet sein als fr\u00fcher, weil das Zeitfenster zwischen Entdeckung und Exploit-Verf\u00fcgbarkeit schrumpft.<\/p>\n\n\n\n

2. Glasswing-\u00e4hnliche Initiativen werden regulatorisch gefordert.<\/strong> Die EU-Kommission arbeitet an einer Aktualisierung des Cyber Resilience Act, die Hersteller kritischer Software zu automatisierten Sicherheitspr\u00fcfungen verpflichten k\u00f6nnte. Glasswing d\u00fcrfte als Referenzmodell in die Diskussion einflie\u00dfen.<\/p>\n\n\n\n

3. Claude Mythos Preview wird 2027 kommerziell teilfreigegeben.<\/strong> Anthropic hat eine allgemeine Verf\u00fcgbarkeit ausgeschlossen, aber nicht dauerhaft. Sobald gen\u00fcgend kritische Software gepatcht ist, d\u00fcrfte das Modell in eingeschr\u00e4nkter Form f\u00fcr Enterprise-Kunden freigegeben werden.<\/p>\n\n\n\n

4. Konkurrenten bauen \u00e4hnliche Konsortien auf.<\/strong> OpenAI, Google DeepMind und Meta werden mit eigenen Sicherheitsinitiativen nachziehen. Der Wettbewerb um die Positionierung als vertrauensw\u00fcrdiger KI-Sicherheitspartner f\u00fcr kritische Infrastruktur wird bis 2027 intensiv werden.<\/p>\n\n\n\n

5. Deutsche KRITIS-Betreiber werden KI-Schwachstellenscans mandatieren.<\/strong> Das BSI d\u00fcrfte im Rahmen seiner Umsetzungsempfehlungen zum KRITIS-Dachgesetz auf automatisierte KI-basierte Schwachstellenscans als Best Practice verweisen. Sp\u00e4testens bis Ende 2027 werden deutsche Energieversorger, Telekommunikationsunternehmen und Gesundheitsdienstleister solche Dienste als regulatorische Erwartung behandeln.<\/p>\n\n\n\n

Weiterf\u00fchrende Artikel<\/h2>\n\n\n\n

Verwandte Themen auf shattered.io<\/h3>\n\n\n\n