Als Anthropic Anfang des Monats Claude Mythos vorstellte, sperrte es das Modell hinter einer überprüften Koalition von Tech-Giganten und stellte es als etwas dar, das zu gefährlich für die Öffentlichkeit sei. Finanzminister Scott Bessent und Fed-Chef Jerome Powell beriefen ein Notfalltreffen mit CEOs der Wall Street ein. Das Wort „Vulnpokalypse“ tauchte in Sicherheitskreisen wieder auf.
Und jetzt hat ein Forscherteam diese Darstellung weiter verkompliziert.
Vidoc Security nahm die von Anthropic selbst gepatchten öffentlichen Beispiele und versuchte, sie mit GPT-5.4 und Claude Opus 4.6 innerhalb eines Open-Source-Code-Agenten namens opencode zu reproduzieren. Keine Glasswing-Einladung. Kein privater API-Zugang. Kein interner Anthropic-Stack.
„Wir haben Mythos-Ergebnisse in opencode mit öffentlichen Modellen repliziert, nicht mit Anthropic's privatem Stack“, schrieb Dawid Moczadło, einer der an dem Experiment beteiligten Forscher, auf X, nachdem er die Ergebnisse veröffentlicht hatte. „Eine bessere Lesart von Anthropic's Mythos-Veröffentlichung ist nicht ‚ein Labor hat ein magisches Modell‘. Es ist: Die Ökonomie der Schwachstellenentdeckung ändert sich.“
We replicated Mythos findings in opencode using public models, not Anthropic's private stack.
The moat is moving from model access to validation: finding vulnerability signal is getting cheaper; turning it into trusted security
A better way to read Anthropic's Mythos release is… https://t.co/0FFxrc8Sr1 pic.twitter.com/NjqDhsK1LA
— Dawid Moczadło (@kannthu1) April 16, 2026
Die Fälle, die sie ins Visier nahmen, waren dieselben, die Anthropic in seinen öffentlichen Materialien hervorhob: ein Server-Dateifreigabeprotokoll, der Netzwerk-Stack eines sicherheitsorientierten Betriebssystems, die Videoverarbeitungssoftware, die in fast jeder Medienplattform eingebettet ist, und zwei kryptografische Bibliotheken, die zur Überprüfung digitaler Identitäten im gesamten Web verwendet werden.
Sowohl GPT-5.4 als auch Claude Opus 4.6 reproduzierten in allen drei Läufen jeweils zwei Fehlerfälle. Claude Opus 4.6 entdeckte auch unabhängig voneinander dreimal hintereinander einen Fehler in OpenBSD wieder, während GPT-5.4 bei diesem Null Punkte erzielte. Einige Fehler (einer betraf die FFmpeg-Bibliothek zur Videowiedergabe und ein anderer die Verarbeitung digitaler Signaturen mit wolfSSL) kamen nur teilweise zurück – das heißt, die Modelle fanden die richtige Code-Oberfläche, aber nicht die präzise Ursache.
Jeder Scan kostete weniger als 30 US-Dollar pro Datei, was bedeutet, dass die Forscher dieselben Schwachstellen wie Anthropic finden konnten, während sie weniger als 30 US-Dollar dafür ausgaben.
„KI-Modelle sind bereits gut genug, um den Suchraum einzugrenzen, echte Hinweise zu finden und manchmal die vollständige Ursache in kampferprobtem Code zu ermitteln“, sagte Moczadło auf X.
Der von ihnen verwendete Workflow war kein Einzelschuss-Prompt. Er spiegelte wider, was Anthropic selbst öffentlich beschrieben hatte: Man gibt dem Modell eine Codebasis, lässt es explorieren, parallelisiert Versuche und filtert nach Signalen. Das Vidoc-Team baute dieselbe Architektur mit Open-Source-Tools auf. Ein Planungsagent teilte jede Datei in Blöcke auf. Ein separater Erkennungsagent lief auf jedem Block und inspizierte dann andere Dateien im Repository, um Funde zu bestätigen oder auszuschließen.
Die Zeilenbereiche innerhalb jedes Erkennungs-Prompts – zum Beispiel „Fokus auf Zeilen 1158-1215“ – wurden nicht manuell von den Forschern ausgewählt. Sie waren Ergebnisse des vorherigen Planungsschritts. Der Blogbeitrag macht dies explizit: „Wir wollen das explizit machen, weil die Chunking-Strategie prägt, was jeder Erkennungsagent sieht, und wir möchten den Workflow nicht als manueller kuratiert darstellen, als er war.“
Die Studie behauptet nicht, dass öffentliche Modelle Mythos in allem ebenbürtig sind. Anthropic's Modell ging über das reine Aufspüren des FreeBSD-Bugs hinaus – es erstellte einen funktionierenden Angriffsplan, der herausfand, wie ein Angreifer Codefragmente über mehrere Netzwerkpakete hinweg miteinander verketten konnte, um die vollständige Kontrolle über die Maschine aus der Ferne zu erlangen. Vidoc's Modelle fanden den Fehler. Sie bauten nicht die Waffe. Hier liegt die eigentliche Lücke: nicht darin, das Loch zu finden, sondern genau zu wissen, wie man hindurchgeht.
Aber Moczadło's Argument ist nicht wirklich, dass öffentliche Modelle gleich mächtig sind. Es ist, dass der teure Teil des Workflows nun jedem mit einem API-Schlüssel zur Verfügung steht: „Der Graben verschiebt sich vom Modellzugang zur Validierung: Das Finden von Schwachstellensignalen wird billiger; es in vertrauenswürdige Sicherheitsarbeit umzuwandeln, ist immer noch schwierig.“
Anthropic's eigener Sicherheitsbericht räumte ein, dass Cybench, der Benchmark zur Messung, ob ein Modell ein ernstes Cyberrisiko darstellt, „nicht mehr ausreichend informativ für die aktuellen Fähigkeiten von Frontier-Modellen ist“, da Mythos diesen vollständig bestanden hat. Das Labor schätzte, dass vergleichbare Fähigkeiten innerhalb von sechs bis 18 Monaten von anderen KI-Laboren verbreitet würden.
Die Vidoc-Studie deutet darauf hin, dass die Entdeckungsseite dieser Gleichung bereits außerhalb jedes geschützten Programms verfügbar ist. Ihre vollständigen Prompt-Auszüge, Modellausgaben und der Methodik-Anhang sind auf der offiziellen Website des Labors veröffentlicht.
