Anthropic findet mit KI über 10.000 schwere Softwarelücken

Worum es geht

Anthropic hat am 22. Mai 2026 ein erstes Update zu Project Glasswing veröffentlicht. Das Projekt nutzt das noch nicht öffentlich verfügbare Modell Claude Mythos Preview, um kritische Software defensiv nach Schwachstellen zu durchsuchen.

Die Zahl ist hart: Anthropic spricht von mehr als 10.000 hoch- oder kritisch eingestuften Schwachstellen, die rund 50 Partner in einem Monat gefunden haben. Das ist keine normale Produktmeldung. Es zeigt, dass die Engstelle in der Cybersicherheit gerade von „finden wir die Bugs?“ zu „können wir sie schnell genug prüfen, melden und patchen?“ wandert.

Was Project Glasswing tatsächlich macht

Project Glasswing ist ein kontrolliertes Verteidigungsprogramm. Partner aus Cloud, Browsern, Betriebssystemen, Security und kritischer Infrastruktur setzen Mythos Preview auf ausgewählte Codebasen an. Das Modell sucht nicht nur verdächtige Stellen, sondern kann laut Anthropic auch Exploit-Wege rekonstruieren.

Anthropic nennt mehrere konkrete Befunde: Cloudflare fand 2.000 Bugs, davon 400 hoch oder kritisch. Mozilla fand und behob 271 Schwachstellen in Firefox 150. Bei Open-Source-Scans über mehr als 1.000 Projekte meldet Anthropic 23.019 Kandidaten, darunter 6.202 mit hoher oder kritischer Einstufung. Externe Prüfer bestätigten bei einer Stichprobe rund 90 Prozent als echte Schwachstellen.

Warum das wichtig ist

Für normale Nutzer klingt das zuerst nach guter Nachricht: Mehr Bugs werden gefunden, bevor Angreifer sie ausnutzen. Für Unternehmen ist es aber auch eine Warnung. Wenn Verteidiger mit KI schneller werden, werden Angreifer es ebenfalls.

Die eigentliche Verschiebung liegt im Arbeitsprozess. Security-Teams müssen mehr Funde triagieren, Maintainer brauchen mehr Zeit für Patches, und Betreiber müssen schneller entscheiden, welche Updates wirklich dringend sind. Anthropic schreibt selbst, dass einige Open-Source-Maintainer darum gebeten haben, das Tempo der Meldungen zu drosseln.

Einfach erklärt

Stell dir ein altes Mietshaus vor. Früher kam einmal im Jahr ein Gutachter und fand zehn kaputte Leitungen. Jetzt kommt ein Roboter mit Wärmebildkamera und findet an einem Nachmittag hunderte potenzielle Lecks. Das Haus wird dadurch nicht automatisch sicherer. Es wird erst sicherer, wenn Handwerker die wichtigsten Schäden wirklich reparieren.

Praktisches Beispiel

Ein mittelgroßer SaaS-Anbieter betreibt 80 interne Dienste und nutzt 600 Open-Source-Abhängigkeiten. Ein KI-Scanner meldet in einer Woche 120 mögliche Schwachstellen, davon 18 kritisch. Das Security-Team prüft zuerst die 18 kritischen Funde, bestätigt 11, patcht 7 direkt und setzt für 4 Dienste eine temporäre Netzwerkregel. Ohne klare Priorisierung würde die Firma in Tickets ertrinken.

Einordnung und Grenzen

• Die genannten Zahlen stammen überwiegend von Anthropic und Partnern; viele konkrete Details bleiben aus Sicherheitsgründen noch unveröffentlicht.
• Mehr gefundene Bugs bedeuten nicht automatisch mehr gepatchte Bugs. Die knappe Ressource ist jetzt Verifikation und Wartung.
• Mythos Preview ist nicht öffentlich verfügbar. Unternehmen können die Ergebnisse nicht einfach eins zu eins nachbauen.

SEO- und GEO-Schlüsselbegriffe

Anthropic, Project Glasswing, Claude Mythos Preview, AI Security, Zero-Day, Cloudflare, Mozilla Firefox, Open Source Security, Vulnerability Disclosure, Cybersecurity 2026