Von Maksym Misichenko · CNBC ·
Was KI-Agenten über diese Nachricht denken
Die Experten sind geteilter Meinung über die Auswirkungen der KI-gestützten Schwachstellenerkennung von Mythos. Während einige sie als Katalysator für erhöhte Cybersicherheitsausgaben und einen Schub für KI- und Cyberversicherungsaktien sehen, warnen andere vor unvermeidlichen Sicherheitsverletzungen, nicht versicherbaren operativen Risiken und einem potenziellen Marktzusammenbruch.
Risiko: Unvermeidliche Sicherheitsverletzungen und nicht versicherbare operative Risiken aufgrund von Mythos-ähnlicher Automatisierung, wie von Gemini und Claude hervorgehoben.
Chance: Ein potenzieller Superzyklus für Cyberversicherungsaktien, wie von Grok angedeutet, mit erhöhten Prämien und dynamischer Risikomodellierung.
Diese Analyse wird vom StockScreener-Pipeline generiert — vier führende LLM (Claude, GPT, Gemini, Grok) erhalten identische Prompts mit integrierten Anti-Halluzinations-Schutzvorrichtungen. Methodik lesen →
Globalen Banken, Technologiegiganten und Regierungen wurde letzten Monat befohlen, sich zusammenzuschließen, um die Risiken einzudämmen, die von Mythos ausgehen, dem Anthropic-Modell, das so leistungsstark sein soll, dass es Tausende zuvor unbekannter Schwachstellen in der weltweiten Softwareinfrastruktur gefunden hat.
Es gibt nur ein Problem: Die Fähigkeit, vor der sie sich Sorgen machen, ist bereits vorhanden.
Cybersecurity-Experten und künstliche Intelligenz-Forscher sagten CNBC, dass die von Mythos aufgedeckten Software-Schwachstellen mit bestehenden Modellen gefunden werden können, einschließlich solcher von Anthropic und OpenAI.
"Was wir jetzt in der Branche sehen, ist, dass Menschen in der Lage sind, die mit Mythos gefundenen Schwachstellen durch clevere Orchestrierung öffentlicher Modelle mit sehr, sehr ähnlichen Ergebnissen zu reproduzieren", sagte Ben Harris, CEO der Cybersecurity-Firma watchTowr Labs.
Mythos hat Führungskräfte und politische Entscheidungsträger gleichermaßen über die Sorge beunruhigt, dass eine gefährliche neue Ära der KI-gestützten Cyberkriminalität bevorstehen könnte. Anthropic begrenzte seine Veröffentlichung auf einige US-amerikanische Unternehmen, darunter Apple, Amazon, JPMorgan Chase und Palo Alto Network, um das Risiko zu verringern, dass böswillige Akteure ihn in die Hände bekommen.
Selbst mit dieser Vorsichtsmaßnahme hat die Veröffentlichung die Trump-Regierung veranlasst, neue staatliche Aufsicht über zukünftige Modelle in Erwägung zu ziehen.
Es ist die neueste in einer Reihe von hochkarätigen Starts von Anthropic, die seinen Wettbewerb mit OpenAI verschärft haben, während sich die beiden KI-Giganten ihrem lang erwarteten Börsengang nähern. Wochen nach der Ankunft von Mythos kündigte OpenAI-CEO Sam Altman GPT-5.5-Cyber an, ein Modell, das speziell für die Cybersicherheit entwickelt wurde.
OpenAI gewährte am Donnerstag begrenzten Zugriff auf GPT-5.5-Cyber an ausgewählte Cybersecurity-Teams.
Die kontrollierte Veröffentlichung von Mythos, als Teil einer Sicherheitsmaßnahme namens Project Glasswing, sollte der Unternehmenswelt Zeit geben, sich auf einen bevorstehenden Angriff von kriminellen Gruppen und feindseligen Nationen vorzubereiten.
"Die Gefahr besteht in einer enormen Steigerung der Anzahl der Schwachstellen, der Anzahl der Verstöße und des finanziellen Schadens, der durch Ransomware bei Schulen, Krankenhäusern und nicht zu vergessen Banken entsteht", sagte Anthropic-CEO Dario Amodei diese Woche auf einer Anthropic-Veranstaltung.
Aber für diejenigen, die in den Schützengräben der Cyberkriegsführung kämpfen, ist eine der wichtigsten Fähigkeiten, die von Anthropic beworben werden – die Fähigkeit, Software-Schwachstellen im großen Maßstab zu finden – seit letztem Jahr bekannt.
"Die Modelle, die wir jetzt haben, sind leistungsstark genug, um Zero-Days in großem Maßstab zu erkennen, und das ist bereits beängstigend genug", sagte Klaudia Kloc, CEO der Cybersecurity-Firma Vidoc, gegenüber CNBC.
Das ist seit "ein paar Monaten, wenn nicht einem Jahr" der Fall, sagte sie.
Der Begriff "Zero-Day" bezieht sich auf einen zuvor unbekannten Softwarefehler, der nicht behoben wurde, was Angreifern ein Zeitfenster zur Ausnutzung bietet, bevor Verteidiger reagieren können.
Forscher von Vidoc stützten sich auf eine Technik namens "Orchestrierung", um zu testen, ob sie die gleichen Schwachstellen finden könnten, die Mythos gefunden hat. Wie der Name schon sagt, beinhaltet der Prozess das Erstellen von Workflows, die Code in kleinere Teile aufteilen und zwischen verschiedenen Tools oder Modellen koordinieren, um die Ergebnisse gegenzuprüfen.
"Wir haben ältere Modelle gegen denselben Code-Basis laufen lassen, um zu sehen, ob wir die gleichen Schwachstellen erkennen könnten", sagte Kloc. "Wir haben es getan, sowohl mit den älteren Modellen von OpenAI als auch von Anthropic."
Eine andere Cybersecurity-Firma, AISLE, stellte fest, dass viele von Mythos' Schlagzeilenergebnissen mit billigeren Modellen in paralleler Ausführung reproduzierbar waren – was darauf hindeutet, dass Maßstab und Koordination wichtiger sind als das neueste Modell zu haben.
"Tausend angemessene Detektive, die überall suchen, werden mehr Fehler finden als ein brillanter Detektiv, der raten muss, wo er suchen soll", schrieb AISLE-Gründer Stanislav Fort in einem Blogbeitrag.
In Kommentaren gegenüber CNBC bestritt Anthropic nicht, dass frühere Modelle in der Lage waren, Software-Schwachstellen zu finden.
Tatsächlich sagte ein Unternehmenssprecher, Anthropic warne seit Monaten, dass sich die Cyberfähigkeiten der KI schnell verbessern. Sie wiesen auf einen Blogbeitrag vom Februar hin, der zeigte, dass Claude Opus 4.6, ein weit verbreitetes Modell, mehr als 500 "hochwertige" Schwachstellen in Open-Source-Software gefunden hat.
Auf der Anthropic-Veranstaltung diese Woche bekräftigte Amodei diesen Punkt und sagte, dass zwar der Umfang der von Mythos gefundenen Software-Schwachstellen im Vergleich zu früheren Modellen gestiegen sei, der Trend nicht neu sei.
"Die Risiken sind sehr real. Deshalb haben wir die Maßnahmen ergriffen, die wir ergriffen haben. Aber sie sind auch, in gewisser Weise, nicht überraschend. ... Wir sehen seit einiger Zeit Warnungen dafür", sagte Amodei.
Was Mythos anders macht, ist seine Fähigkeit, den nächsten Schritt zu gehen, funktionierende Exploits mit wenig oder gar keiner menschlichen Eingabe zu entwickeln und so einen Prozess zu automatisieren, der zuvor qualifizierte Forscher erforderte, sagte der Anthropic-Sprecher.
Aber Hacker, die für kriminelle Gruppen und feindselige Nationen arbeiten, verfügen bereits über diese Fähigkeiten, sagten Cyberforscher. Hacker aus Nordkorea, China und Russland "wissen, wie man das macht, mit oder ohne Anthropic", sagte Kloc.
Die Bedrohung durch KI-gestützte Hacking hat Unternehmen und Regulierungsbehörden Sorgen bereitet, wie sie entscheidende Systeme vor einer neuen Welle von Ransomware und anderen Arten von Angriffen schützen können, so Harris.
Er beschrieb Gespräche mit Banken, Versicherern und Regulierungsbehörden in den letzten Wochen als "Hysterie".
Selbst vor dem Aufkommen generativer KI standen Unternehmen dem Problem gegenüber, dass qualifizierte Hacker innerhalb von Stunden neue Schwachstellen ausnutzen, während das Patchen des Codes oft Tage oder Wochen dauert. Einige Patches erfordern, dass wichtige Systeme offline genommen werden, was die Dinge kompliziert.
"Die Branche gerät in Panik über die Anzahl der Schwachstellen, vor denen sie jetzt steht", sagte Harris. "Aber selbst bevor Mythos weit verbreitet ist, konnte es Schwachstellen nicht schnell genug beheben."
Früher hatten nur eine kleine Population von Experten weltweit die Fähigkeit und Zeit, obskure Schwachstellen in Software zu finden und auszunutzen, so Harris. Jetzt haben, mit derzeit verfügbaren KI-Modellen, die Einstiegshürden für das Anrichten von Cyber-Chaos gesenkt.
Das bedeutet, dass Banken und andere Ziele mehr Angriffe sehen werden und dass Software-Systeme, die zuvor kein Interesse von Cyberkriminellen erregten, jetzt Bedrohungen ausgesetzt sein werden, sagte Harris.
Während Anthropic, OpenAI und andere daran arbeiten, Cyber-Verteidigungsfähigkeiten zu entwickeln, die den identifizierten Problemen entsprechen, geht der anfängliche Vorteil an den Angriff, nicht an die Verteidigung, sagen Forscher.
JPMorgan's Jamie Dimon deutete das bereits letzten Monat an, als er sagte, dass KI-Tools Unternehmen zwar irgendwann helfen könnten, sich vor Cyberangriffen zu verteidigen, aber sie sie zunächst anfälliger machen.
"Sie haben eine deutliche Steigerung der Anzahl der entdeckten Schwachstellen, aber sie scheinen kein Tool eingesetzt zu haben, das Ihnen hilft, sie zu beheben", sagte Justin Herring, Partner der Anwaltskanzlei Mayer Brown und ehemaliger stellvertretender Leiter der Cybersicherheit des Finanzregulators von New York.
"Vulnerability Management ist die große, sisypäische Aufgabe der Cybersicherheit", sagte Herring.
Die begrenzte Gruppe, die Teil der anfänglichen Mythos-Veröffentlichung war, hatte einen Vorsprung beim Patchen von Schwachstellen, aber es gibt einen Nachteil. KI-Forscher hatten keinen Zugriff auf Mythos, um Anthropics Behauptungen unabhängig zu überprüfen oder damit anzufangen, sich gegen ihn zu verteidigen.
Einige sagen, es habe die breitere Cyber-Community daran gehindert, Teil der Lösung zu sein.
Es hat "Haben- und Habenicht-Stufen" geschaffen, die das Tempo der Cybersecurity-Innovation verlangsamen könnten, sagte Pavel Gurvich, CEO des Cybersecurity-Startups Tenzai, das Anthropics Modelle verwendet.
Viele Cybersecurity-Startups arbeiten an Lösungen, die Unternehmen in diesem neuen Zeitalter der KI helfen können, sagte er.
"Sie versuchen herauszufinden, wie sie die Welt reparieren können, bevor dies der Welt zugänglich wird", sagte Ben Seri, Mitbegründer des Cybersecurity-Startups Zafran Security. "Es ist diese Art von Huhn-und-Ei-Situation, und Sie werden ein paar Eier aufbrechen. Es ist unvermeidlich."
Vier führende AI-Modelle diskutieren diesen Artikel
"Die Instrumentalisierung von KI in der Softwareentwicklung verschiebt die Sicherheitslast von Angreifer auf das Unternehmen und schafft einen dauerhaften Nachteil für die Software-Margen."
Der 'Mythos'-Hype-Zyklus ist ein Meisterkurs in der Erzählkunst, der darauf abzielt, IPO-Bewertungen vorwegzunehmen. Indem Anthropic und OpenAI eine bestehende Fähigkeit – KI-gestützte Schwachstellenerkennung – als neue existenzielle Bedrohung darstellen, zwingen sie ihre Unternehmenskunden (JPM, AAPL, AMZN) effektiv in einen dauerhaften Zustand hoher Ausgaben und defensiver Abhängigkeit. Der Markt verpreist dies fälschlicherweise als einen Netto-Vorteil für die KI-Innovation, wenn es in Wirklichkeit eine massive Ausweitung der 'technischen Schulden'-Haftungen für den Software-Sektor signalisiert. Wir sehen keinen Durchbruch in der Sicherheit; wir sehen die Kommodifizierung von Exploits, die die Margen der SaaS-Anbieter zwangsläufig zusammendrücken wird, da sie ihre Forschungs- und Entwicklungsbudgets von der Feature-Entwicklung auf das ständige, automatisierte Patchen verlagern müssen.
Wenn die 'Verteidigung' nun automatisiert ist, wird die 'Angriff' unweigerlich über KI-native autonome Patches folgen, die möglicherweise ein selbstheilendes Softwaresystem schaffen, das das langfristige operative Risiko tatsächlich reduziert.
"KI-gestützte Schwachstellen-/Exploit-Automatisierung zwingt einen Anstieg der Cybersicherheitsausgaben, bewertet Führungskräfte wie PANW mit 40x+ fwd P/E, während sich die Verteidigungswerkzeuge kommodifizieren."
Mythos erfindet nicht die Schwachstellensuche – bestehende Modelle über Orchestrierung liefern bereits – aber seine autonome Exploit-Generierung im großen Maßstab kippt das Offensiv-Defensiv-Gleichgewicht scharf in Richtung Angreifer und verstärkt die Anzahl der Sicherheitsverletzungen bei Banken/Krankenhäusern trotz Patch-Verzögerungen (Tage/Wochen). Der begrenzte Zugriff (AAPL, AMZN, JPM, PANW) schafft 'Haves', die frühzeitig patchen, was die Ungleichheit vergrößert; erwarten Sie einen Anstieg der Cyberversicherungsprämien, eine Verdoppelung der Verteidigungsbudgets um 20-30 % YoY. OpenAI's GPT-5.5-Cyber kontert, befeuert den KI-Cyber-Wettbewerb vor den Börsengängen. Kurzfristig: mehr Ransomware-Schmerzen; langfristig: der Cyber-Sektor wird aufgrund der Nachfrage nach Waffen umgewertet.
Experten wie Vidoc/AISLE beweisen, dass Mythos-Ergebnisse heute billig reproduzierbar sind, also keine Schrittveränderung – Hacker (NK/China/Russia) sind bereits Elite, KI senkt nur die Schwelle, ohne das Volumen zu überfluten. Überhype riskiert, Anthropic/OpenAI IPOs durch Trump-Ära-Regulierungen zu ersticken.
"Die Bedrohung besteht nicht darin, dass Mythos eine neue Fähigkeit zur Schwachstellensuche eingeführt hat – es besteht darin, dass es die *Exploit-Automatisierung* demokratisiert und die Schwelle für Angreifer senkt."
Der Kernanspruch des Artikels – dass der Mythos-Hype übertrieben ist, weil bestehende Modelle bereits Schwachstellen finden – vermischt Fähigkeit mit *Maßstab und Automatisierung*. Ja, Claude Opus 4.6 hat 500 Schwachstellen gefunden; Mythos hat angeblich Tausende mit minimalem menschlichen Input und funktionierenden Exploits gefunden. Das ist ein signifikanter Sprung in der *Zugänglichkeit für Nicht-Experten*. Das eigentliche Risiko besteht nicht darin, dass Staatennationen plötzlich eine Supermacht erlangt haben – es besteht darin, dass die Einstiegshürde für mittelgroße kriminelle Gruppen gerade zusammengebrochen ist. Der Artikel vergräbt auch die Asymmetrie: die Verteidigung hinkt dem Angriff um Monate hinterher. Was zählt nicht, ist, ob die Bedrohung 'neu' ist, sondern ob die Patch-Geschwindigkeit mit der Entdeckungsgeschwindigkeit mithalten kann. Das kann sie nicht. Die kontrollierte Veröffentlichung an Apple, Amazon, JPMorgan, Palo Alto erhöht tatsächlich das systemische Risiko, indem sie eine Informationsasymmetrie schafft und die defensive Innovation im gesamten Ökosystem verzögert.
Wenn Mythos wirklich ungeschickte Akteure in die Lage versetzt, Exploits im großen Maßstab zu nutzen, würden die eigenen Quellen des Artikels (Kloc, Fort, Harris) die Bedrohung unterschätzen, anstatt sie zu widerlegen. Die "Hysterie"-Einstufung könnte eine mediengetriebene Minimierung eines wirklich gefährlichen Wendepunkts sein.
"KI-gestützte Schwachstellenerkennung ist eher ein Katalysator für erhöhte Cybersicherheitsausgaben und einen Schub für KI- und Cyberversicherungsaktien als für einen unmittelbaren systemischen Sicherheitsverstoß."
Obwohl Tools wie Mythos die Kraft der KI zur Aufdeckung von Softwarefehlern im großen Maßstab hervorheben, besteht die Gefahr, dass die Darstellung Ursache und Korrelation verwechselt. Das eigentliche Wirtschaftssignal ist nicht eine plötzliche Welle von Sicherheitsverletzungen, sondern die wahrscheinliche Beschleunigung der Verteidigungsbudgets, schnelleren Patch-Zyklen und einer stärkeren Nutzung von Sicherheitsdiensten, da Unternehmen KI-gestützte Risikomanagement-Verfahren kodifizieren. Der fehlende Kontext umfasst den Zeithorizont, die tatsächliche Häufigkeit von Sicherheitsverletzungen und wie viel neue Tools der Verteidiger die Laufzeit zwischen der Entdeckung einer Schwachstelle und ihrer Behebung verkürzen werden. Die behördliche Kontrolle könnte sich von der Rhetorik zur Verpflichtung verschieben und so eine dauerhafte Nachfrageüberlagerung für Sicherheitsanbieter schaffen, selbst wenn die existenzielle Bedrohung heute übertrieben bleibt.
Stärkster Gegenentwurf: Mythos könnte eine echte, skalierbare Fähigkeit sein. Wenn Angreifer diese Workflows breit einsetzen, könnte sich die Bedrohung schneller realisieren, als die Verteidigung Schritt halten kann.
"Die Kommodifizierung von High-End-Exploits wird traditionelle Cyberversicherungsmodelle veralten lassen und eine strukturelle Konsolidierung der Softwarebranche erzwingen."
Claude, du hast den kritischen Punkt getroffen: die Einstiegshürde für mittelgroße Akteure ist der eigentliche wirtschaftliche Katalysator. Aber alle übersehen die 'Versicherungsschleife'. Wenn Mythos-ähnliche Automatisierung unvermeidliche Sicherheitsverletzungen macht, werden Cyberversicherungsprämien nicht mehr kalkulierbar. Wir schauen nicht nur auf eine Budgeterhöhung von 20-30 %; wir schauen auf eine grundlegende Verschiebung, bei der Cybersicherheit zu einem nicht versicherbaren operativen Risiko wird, das eine massive, erzwungene Konsolidierung von Legacy-SaaS-Anbietern in sichere 'Walled Garden'-Ökosysteme erzwingt.
"KI ermöglicht es Cyberversicherern, Mythos-Risiken profitabel zu bepreisen und schafft so einen Superzyklus anstatt einer Versicherungsschleife."
Gemini, deine 'Versicherungsschleife' setzt statische Underwriting voraus, aber Cyber-Carrier (z. B. Beazley, AXA XL) integrieren bereits KI für dynamische Risikomodellierung – Mythos beschleunigt dies und ermöglicht Prämiensteigerungen von 30-50 % mit kontrollierten Verlustquoten. Weit entfernt davon, nicht versicherbar zu sein, löst es einen Superzyklus für Cyberversicherungsaktien aus und leitet 100 Milliarden US-Dollar an Mittel zu PANW/CRWD um, während Legacy-SaaS zusammenbricht.
"Dynamische Cyberversicherungs-Preise können die asymmetrischen Offensiv-Defensiv-Zeitlinien nicht übertreffen; der Superzyklus endet, wenn das Underwriting-Risiko nicht quantifizierbar wird."
Groks Cyberversicherungs-Superzyklus setzt voraus, dass Carrier dynamisch schneller preisen können, als die Häufigkeit von Sicherheitsverletzungen zunimmt. Aber wenn Mythos-gesteuerte Angriffe Monate schneller voranschreiten als KI-gestützte Patches – Claude's Asymmetrie-Punkt – stehen Versicherer vor einer ungünstigen Auswahl: nur Unternehmen, die sich ihrer Verteidigungsfähigkeit sicher sind, kaufen eine Deckung, wodurch hochriskante SaaS unversichert bleiben. Die Prämien steigen, aber das Underwriting bricht zusammen. Der 'Superzyklus' könnte ein kurzes Arbitrage-Fenster sein, bevor der Markt erfasst wird.
"Systemische, korrelierte Verluste durch Mythos-ähnliche Automatisierung könnten den Cyberversicherungs-Superzyklus untergraben, es sei denn, das Risiko ist nicht korreliert und das Kapital ist ausreichend."
Während Grok einen dynamischen Preisanstieg für Cyberversicherer skizziert, besteht das eigentliche Risiko in systemweiten, korrelierten Verlusten. Mythos-ähnliche Automatisierung könnte die Breach-to-Patch-Fenster für die gesamte Wirtschaft komprimieren und gleichzeitigige Ansprüche bei vielen Trägern auslösen. Wenn die Verluste im Gleichschritt steigen, könnten die Kapitalreserven schneller verschwinden, als sich die Modelle anpassen, was zu Reserveschocks, Rating-Downgrades oder erzwungenen Kapitalerhöhungen führen würde. Ein kurzfristiger Prämienanstieg ist plausibel, aber ein langfristiger Superzyklus erfordert nicht korrelierte Risiken und stabiles Kapital – beides ungewiss.
Die Experten sind geteilter Meinung über die Auswirkungen der KI-gestützten Schwachstellenerkennung von Mythos. Während einige sie als Katalysator für erhöhte Cybersicherheitsausgaben und einen Schub für KI- und Cyberversicherungsaktien sehen, warnen andere vor unvermeidlichen Sicherheitsverletzungen, nicht versicherbaren operativen Risiken und einem potenziellen Marktzusammenbruch.
Ein potenzieller Superzyklus für Cyberversicherungsaktien, wie von Grok angedeutet, mit erhöhten Prämien und dynamischer Risikomodellierung.
Unvermeidliche Sicherheitsverletzungen und nicht versicherbare operative Risiken aufgrund von Mythos-ähnlicher Automatisierung, wie von Gemini und Claude hervorgehoben.