Das britische AI Security Institute, eine Behörde der britischen Regierung, hat Anthropics Claude Mythos Preview auf Cyber-Fähigkeiten getestet. Das Modell konnte erstmals eine vollständige Angriffssimulation auf ein Unternehmensnetzwerk autonom durchführen.
Mythos Preview stellt laut AISI einen deutlichen Sprung bei den Cyber-Fähigkeiten von KI-Modellen dar. Vor zwei Jahren konnten die besten verfügbaren Modelle kaum Anfängeraufgaben im Cyber-Bereich bewältigen.
Jetzt gelang es Mythos Preview in kontrollierten Evaluationen, bei expliziter Anweisung und gewährtem Netzwerkzugang, mehrstufige Angriffe auf verwundbare Netzwerke auszuführen, Schwachstellen autonom zu entdecken und auszunutzen. Solche Aufgaben würden menschliche Sicherheitsexperten Tage kosten.
Capture-the-Flag: 73 Prozent Erfolgsrate auf Experten-Niveau
Bei sogenannten Capture-the-Flag-Challenges (CTF) müssen KI-Modelle Schwachstellen in Zielsystemen identifizieren und ausnutzen, um versteckte "Flags" zu finden. Mythos Preview erreicht laut AISI auf Anfänger-Niveau (2,5 Millionen Token-Budget) Erfolgsraten von rund 85 Prozent bei Apprentice-Aufgaben und etwa 95 Prozent bei technischen Nicht-Experten-Aufgaben. Damit liegt es in der Spitzengruppe, zusammen mit GPT-5.4, Codex 5.3 und Claude Opus 4.6.
Leistung verschiedener KI-Modelle bei CTF-Aufgaben auf Anfänger-Niveau seit November 2022. | Bild: AISIAuf fortgeschrittenem Niveau (50 Millionen Token-Budget) erzielt Mythos Preview rund 93 Prozent bei Practitioner-Aufgaben und 73 Prozent bei Expert-Level-Aufgaben. Letzteres sei besonders bemerkenswert: Vor April 2025 konnte laut AISI kein einziges Modell Experten-Aufgaben lösen.
Leistung auf Practitioner- und Expert-Level bei CTF-Aufgaben seit August 2025. | Bild: AISIErstes Modell löst vollständige Netzwerk-Angriffssimulation
CTF-Challenges testen allerdings nur isolierte Fähigkeiten. Reale Cyberangriffe erfordern das Verketten dutzender Schritte über mehrere Hosts und Netzwerksegmente hinweg.
Um das zu messen, hat das AISI die Simulation "The Last Ones" (TLO) entwickelt: einen 32-Schritte-Angriff auf ein simuliertes Unternehmensnetzwerk, von der ersten Aufklärung bis zur vollständigen Netzwerkübernahme. Menschliche Experten würden dafür laut AISI etwa 20 Stunden benötigen. Eine detaillierte Beschreibung findet sich im zugehörigen Paper.
Claude Mythos Preview ist das erste Modell, das TLO von Anfang bis Ende löst. In 3 von 10 Versuchen gelang die vollständige Übernahme. Im Durchschnitt absolvierte das Modell 22 der 32 Schritte. Das nächstbeste Modell, Claude Opus 4.6, kam auf durchschnittlich 16 Schritte.
Durchschnittlich abgeschlossene Schritte auf "The Last Ones" in Abhängigkeit vom Token-Budget. Mythos Preview (rot) übertrifft alle anderen Modelle deutlich. | Bild: AISIDas AISI erwartet zudem, dass die Leistung mit höherem Inferenz-Compute weiter steigen würde. Getestet wurde mit einem Budget von 100 Millionen Tokens, und die Performance skalierte bis an diese Grenze. Mehr dazu beschreibt ein separater Blogpost zum Inference-Scaling bei Cyber-Aufgaben.
Allerdings zeigte Mythos Preview auch Grenzen: Eine weitere Angriffssimulation des AISI mit Fokus auf industrielle Steuerungstechnik (Operational Technology, OT), wie sie etwa in Kraftwerken oder Fabriken zum Einsatz kommt, konnte das Modell nicht abschließen. Das bedeutet laut AISI aber nicht zwingend, dass das Modell an der Steuerungstechnik selbst scheitern würde; es kam gar nicht erst so weit, weil es bei vorgelagerten Schritten im IT-Netzwerk der Simulation steckenblieb.
Testumgebungen bilden die Realität nur bedingt ab
Das AISI betont wichtige Einschränkungen der Ergebnisse: Die Testumgebungen enthalten keine aktiven Verteidiger, kein Defensive Tooling und keine Konsequenzen für Aktionen, die in der Realität Sicherheitsalarme auslösen würden. Ob Mythos Preview auch gut verteidigte Systeme angreifen könnte, lässt sich daher nicht sicher sagen.
Das Modell sei aber mindestens in der Lage, "autonom kleine, schwach verteidigte und verwundbare Unternehmenssysteme anzugreifen, wenn Netzwerkzugang gewährt wird", so das AISI. In Zukunft beabsichtigt das Institut deshalb, Evaluierungen mit gehärteten Umgebungen durchzuführen, die aktives Monitoring, Endpoint Detection und Echtzeit-Incident-Response umfassen.
Grundlegende Cybersicherheit wird dringlicher
Die Ergebnisse unterstreichen laut AISI die Bedeutung grundlegender Cybersicherheitsmaßnahmen: regelmäßige Sicherheitsupdates, robuste Zugriffskontrollen, sichere Konfigurationen und umfassendes Logging. Es sei wahrscheinlich, dass weitere Modelle mit vergleichbaren Fähigkeiten folgen werden.
Gleichzeitig weist das Institut darauf hin, dass KI-Cyber-Fähigkeiten "dual use" sind: Sie stellen zwar Sicherheitsrisiken dar, könnten aber auch die Cyberverteidigung erheblich verbessern. In einem gemeinsamen Blogpost mit dem britischen National Cyber Security Centre (NCSC) beschreibt das AISI, wie Verteidiger sich auf Frontier-KI vorbereiten und diese nutzen können.
Das AISI verfolgt KI-Cyber-Fähigkeiten seit 2023 und hat seine Evaluierungen schrittweise verschärft: von chatbasierten Abfragen über Capture-the-Flag-Challenges bis zu komplexen mehrstufigen Angriffssimulationen.
Ist der Mythos-Hype gerechtfertigt?
Anthropic stellte Claude Mythos Anfang April offiziell vor. Das Modell ist derzeit nur für rund 50 Unternehmen zugänglich, angeblich aufgrund von Cybersicherheitsbedenken. Die AISI-Ergebnisse liefern dafür zumindest teilweise eine Grundlage: Das Modell kann in kontrollierten Umgebungen autonom schwach geschützte Netzwerke angreifen.
Kritiker halten die Zurückhaltung dennoch für überzogen. Der Leistungszuwachs bei Mythos sei nicht so signifikant, dass er diese Einschränkung rechtfertige. Es handele sich eher um ein PR-Manöver, oder Anthropic verfüge schlicht nicht über die Rechenleistung, das Modell breiter zur Verfügung zu stellen.
KI-News ohne Hype – von Menschen kuratiert
Mit dem THE‑DECODER‑Abo liest du werbefrei und wirst Teil unserer Community: Diskutiere im Kommentarsystem, erhalte unseren wöchentlichen KI‑Newsletter, 6× im Jahr den "KI Radar"‑Frontier‑Newsletter mit den neuesten Entwicklungen aus der Spitze der KI‑Forschung, bis zu 25 % Rabatt auf KI Pro‑Events und Zugriff auf das komplette Archiv der letzten zehn Jahre.
