ANTHROPIC-HAMMER! Mythos verlaesst JETZT das Labor — Glasswing-Partner kriegen den Bug-Killer als ERSTE in die Hand

SCHOCK fuer die Software-Welt: Anthropics Spitzenmodell Mythos ist nicht mehr nur Labor-Spielzeug. Am 25. Mai 2026 hat das Anthropic-Team auf der hauseigenen Red-Page bestaetigt, dass Mythos-Klasse-Modelle JETZT ueber das Partnerprogramm Glasswing an ausgewaehlte Open-Source-Maintainer, Sicherheitsfirmen und Regierungsstellen ausgeliefert werden. DEIN Lieblingsprojekt koennte als naechstes einen automatisierten Bug-Report von einer KI bekommen, die mehr Luecken findet als jedes Pen-Test-Team der Welt.

BRUTAL: 23.000 Schwachstellen in WOCHEN gefunden

Anthropic hat Mythos in den vergangenen Monaten auf ueber 1.000 Open-Source-Projekte losgelassen. Die Zahlen sind hart: 23.000 potenzielle Schwachstellen, davon ueber 6.200 als High oder Critical eingestuft, plus eine 27 Jahre alte Luecke in OpenBSD und ein 16-Jahre-Bug in FFmpeg. Der Knaller: Mythos fand auch mehrere Privilege-Escalation-Luecken im Linux-Kernel, die jeden Shell-User zum Root machten.

Anthropic-CEO Dario Amodei schreibt dazu: „Software-Sicherheit war lange durch das Tempo der Schwachstellen-Suche limitiert. Jetzt ist sie limitiert durch das Tempo, in dem wir verifizieren, melden und patchen koennen.“ Heisst auf Deutsch: Die KI ist schneller als die Maintainer.

So funktioniert Glasswing fuer DEIN Projekt

Das Project Glasswing ist Anthropics Verteilkanal fuer Mythos-Ergebnisse. Statt das Modell frei verfuegbar zu machen — was Anthropic offen als zu gefaehrlich einstuft — geht der Zugang gezielt an:

• OSS-Maintainer kritischer Projekte (Kernel, Crypto-Libraries, Reverse-Proxies, Container-Runtimes).
• CERTs und nationale Cyber-Behoerden in den USA, Grossbritannien, Australien und der EU.
• Anthropic-zertifizierte Sicherheitsfirmen wie CrowdStrike, Wiz, Snyk und Tenable.
• Regulatoren bekommen ab sofort regelmaessige Updates zu Mythos-Findings — Anthropic hat das bei der US-FTC und im Senate Intelligence Committee zugesagt.

Bewerbung laeuft ueber red.anthropic.com. Maintainer mit aktiven CVE-Findings haben Vorrang.

WAS heisst das fuer dein Homelab?

Kurz: JETZT wird’s frisch. Wenn Mythos durch Jellyfin, Nextcloud, Immich, Forgejo, Paperless-ngx und Co. laeuft, koennen in den naechsten Wochen reihenweise CVE-Drops kommen. Halte deine Update-Pipeline frisch und abonniere die Mailinglisten deiner Self-Hosted-Apps.

EXTRA-TIPP: Anthropic stellt das Mythos-Modell nicht als API bereit — Findings kommen in standardisierten CVE-Reports und ueber das offizielle CVE-Programm. Wer also auf eine „GPT-4 fuer Pentest“ hofft, wird enttaeuscht.

FAZIT: Der defensive Vorsprung

Anthropic spielt hier eine Karte, die OpenAI bisher gemieden hat: Statt das mit Abstand staerkste Cyber-KI-Modell als Produkt zu verkaufen, geht es ausgewaehlt und kontrolliert an die Verteidiger. Damit will Anthropic erreichen, dass die Guten einen Vorsprung haben, bevor irgendwann Open-Weight-Konkurrenz auf das gleiche Level kommt. Ob das langfristig haelt? Offen. Aber kurzfristig kriegt dein Lieblings-OSS-Projekt vielleicht zum ersten Mal in 20 Jahren ernsthafte Security-Hilfe.