// COMPUTERBASE — INTELLIGENZA ARTIFICIALE
NSA und weitere US-Behörden: Claude Mythos knackt vertrauliche Systeme binnen Stunden
Unruhe in der US-Administration. Testläufe mit Claude Mythos im Rahmen des Project Glasswing zeigten, dass Anthropics Modelle in der Lage sind, innerhalb von Stunden Schwachstellen in hochsensiblen Regierungssystemen zu entdecken. Betroffen ist auch die NSA.
Von den Vorgängen berichtet aktuell die Associated Press und beruft sich auf interne Quellen. Dem Bericht zufolge gehen die Tests über einzelne Behörden hinaus.
Dass Mythos NSA-Systeme binnen Stunden knacken konnte, wird schon seit einigen Tagen gemeldet. Grundlage für die Berichte war der Demokratische US-Senator Mark Warner, der im Economist mit der Aussage zitiert wurde: „Dieses Tool brach in fast alle unsere klassifizierten Systeme ein. Nicht in Wochen, sondern Stunden.“ Er berief sich dabei auf die Führungsriege der NSA sowie auf das Cyber Command der US-Streitkräfte.
In dem Kontext wurde diskutiert, dass diese Testläufe einer der Gründe sein könnten, warum Anthropic den Zugang zu Mythos 5 und Fable 5 sperren musste. Der Economist-Journalist Shashank Joshi stellte mittlerweile aber klar, dass das Zitat korrekt ist, es aber nicht wörtlich gelesen werden dürfe. Mythos wurde demnach gemeinsam mit anderen Tools unter bestimmten Umständen getestet. Es war also ein Red-Team-Prozess, den reguläre Angreifer so nicht einfach wiederholen könnten.
Nur weil jemand Zugang zu Mythos hat, kann dieser also nicht binnen Stunden die Systeme der NSA hacken.
Die Sicherheitsdebatte bleibt dennoch angespannt. Die Five Eyes – also der Geheimdienstverbund der USA sowie von Kanada, Großbritannien, Australien und Neuseeland – fordern Regierungen zum Handeln auf. „Während KI uns helfen wird, die Cyber-Sicherheit im Laufe der Zeit zu verbessern, beschleunigt sie auch die Geschwindigkeit, das Ausmaß und die Raffinesse von Cyber-Angriffen“, heißt es in einer gemeinsamen Stellungnahme, die am Wochenende veröffentlicht worden ist.
Daher wären Anpassungen nötig und Risiken müssten verstanden werden. Ebenso sei es nötig, Secure-by-Design und Secure-by-Default zum Standard zu machen und die Resilienz zu stärken – diese dürfe nicht von einer einzelnen Lösung oder Technologie abhängen.
Zu den praktischen Vorschlägen der Geheimdienste zählen Maßnahmen wie ein beschleunigter Patching-Prozess und ein sensiblerer Umgang mit Legacy-Systemen. Wenn solche Systeme nicht mehr unterstützt werden, seien das nicht nur „technische Schulden“, sondern ein strategisches Problem.
Inwieweit die Testläufe zur Sperranordnung von Fable 5 und Mythos 5 beigetragen haben, lässt sich von außen kaum einschätzen. Öffentlich drehte sich die Diskussion vor allem um Jailbreaks, nach wie vor fehlt aber eine klare Antwort.
Bemerkenswert bleibt zudem, dass die Anordnung als Exportkontrolle erfolgte: Grundsätzlich muss Anthropic die Modelle nur für ausländische Staatsbürger sperren, US-Nutzer könnten theoretisch weiter zugreifen. Weil Anthropic aber nicht zwischen US-Bürgern und ausländischen Nutzern unterscheiden kann, wurde der Zugang für alle blockiert.