KI

KI-Bug-Hunting lässt Zahl gemeldeter CVEs explodieren

8 Min. Lesezeit
Fotorealistische Darstellung: In einem Security-Operations-Center steht vor einem steil steigenden Balkendiagramm „CVEs“ ein Analyst mit Lupe über einem Bildschirm, aus dem käferartige Symbole aus Codezeilen kriechen. Generiertes Bild mit GPT Image 2
Fotorealistische Darstellung: In einem Security-Operations-Center steht vor einem steil steigenden Balkendiagramm „CVEs“ ein Analyst mit Lupe über einem Bildschirm, aus dem käferartige Symbole aus Codezeilen kriechen.

TL;DR Too Long; Didn’t read

Im Juni 2026 meldeten 21 große Technologieunternehmen laut der Non-Profit-Organisation Epoch AI rund 1.500 hoch- oder kritisch eingestufte Sicherheitslücken (CVEs) – mehr als das 3,5-Fache des bisherigen Monatsrekords. Epoch AI bringt den Anstieg mit der Ankündigung von Anthropics unveröffentlichtem Modell Claude Mythos Preview im April 2026 in Verbindung, das im Rahmen von Project Glasswing bei inzwischen rund 200 Partnerorganisationen wie Cloudflare, Mozilla, Microsoft und Google zum eigenständigen Aufspüren von Software-Schwachstellen eingesetzt wird. Anthropic selbst gibt an, mit dem Modell über 10.000 hoch- oder kritisch eingestufte Bugs gefunden zu haben; OpenAI verfolgt mit seinem Programm Daybreak, dem Tool Codex Security und dem Modell GPT-5.5-Cyber einen ähnlichen Ansatz. Sowohl Anthropic als auch unabhängige Stimmen wie Sicherheitsforscher Bruce Schneier und die Vulnerability-Coordination-Organisation FIRST betonen, dass der eigentliche Engpass inzwischen nicht mehr das Finden, sondern das Verifizieren und Patchen der Schwachstellen ist – und dass Anthropics Zahlen bislang nicht unabhängig überprüft wurden.

Das Wichtigste in Kürze

  • Epoch AI registrierte im Juni 2026 rund 1.500 gemeldete hoch- oder kritisch eingestufte CVEs bei 21 großen Organisationen – mehr als das 3,5-Fache des bisherigen Monatsrekords.
  • Auslöser ist laut Epoch AI die Ankündigung von Anthropics unveröffentlichtem Modell Claude Mythos Preview im April 2026 und das daran anschließende Programm Project Glasswing, das inzwischen rund 200 Partnerorganisationen umfasst.
  • Anthropic selbst gibt an, mit Mythos Preview über 10.000 hoch- oder kritisch eingestufte Schwachstellen gefunden zu haben; Partner wie Cloudflare (2.000 Bugs) und Mozilla (271 Firefox-Bugs) bestätigen deutlich beschleunigte Fundraten.
  • Auch OpenAI baut mit Daybreak, Codex Security und dem Modell GPT-5.5-Cyber ein paralleles Programm auf und kooperiert inzwischen mit über 25 Sicherheitsfirmen und mehreren Regierungen.
  • Der eigentliche Engpass hat sich laut mehreren Quellen vom Auffinden zum Patchen verschoben: Von rund 23.000 bei Anthropic gemeldeten Open-Source-Funden waren zuletzt erst 75 hoch- oder kritisch eingestufte Bugs tatsächlich behoben.
  • Unabhängige Stimmen wie Sicherheitsforscher Bruce Schneier und die Organisation FIRST mahnen zur Vorsicht: Anthropics Zahlen sind nicht unabhängig geprüft, und die Zahl akut ausnutzbarer Schwachstellen im CISA-KEV-Katalog ist bislang kaum gestiegen.

Im Juni 2026 meldeten 21 große Technologiekonzerne rund 1.500 hoch- oder kritisch eingestufte Sicherheitslücken – mehr als das 3,5-Fache des bisherigen Rekordmonats. Das zeigt eine aktuelle Auswertung der Non-Profit-Organisation Epoch AI, über die The Decoder zuerst berichtete. Der Sprung fällt zeitlich fast auf den Tag genau mit der Ankündigung eines KI-Modells zusammen, das Sicherheitslücken eigenständig aufspüren kann – und wirft die Frage auf, ob Software heute tatsächlich unsicherer wird oder ob nur endlich sichtbar wird, was schon lange verborgen war.

Die Zahlen: Was Epoch AI gemessen hat

Epoch AI wertet Daten aus dem öffentlichen CVE-Repository cve.org aus und konzentriert sich dabei auf 21 als “notable” eingestufte Organisationen – darunter Microsoft, Google, Apple, Cisco, Red Hat, Linux, Mozilla und AWS –, um verrauschte Meldungen kleinerer Quellen auszuklammern. In einer eigenen Datenanalyse vom 2. Juli 2026 beziffert Epoch-Autor Luke Emberson den Anstieg im Juni auf mehr als das 3,5-Fache des bisherigen Monatsrekords. Zur genauen Zahl gibt es dabei selbst innerhalb der Epoch-Veröffentlichung kleine Abweichungen: Im Fließtext ist von rund 1.500 CVEs die Rede, die Meta-Beschreibung derselben Seite nennt rund 1.300 – ein Hinweis darauf, dass es sich um vorläufige, gerundete Schätzungen handelt und nicht um eine exakt bezifferte Größe.

Der Auslöser: Claude Mythos Preview und Project Glasswing

Am 7. April 2026 stellte Anthropic sein bislang leistungsfähigstes, aber nicht öffentlich zugängliches Modell vor: Claude Mythos Preview. Das Unternehmen erklärte, das Modell könne Softwareschwachstellen eigenständig finden und ausnutzen, auf einem Niveau, das nur noch die geübtesten menschlichen Sicherheitsforscher überträfen. Statt es öffentlich freizugeben, startete Anthropic parallel Project Glasswing – ein Programm, in dem Partner wie Amazon Web Services, Apple, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, Nvidia und Palo Alto Networks das Modell nutzen, um eigene Systeme zu härten, bevor vergleichbare Fähigkeiten in weniger vorsichtige Hände gelangen. Ursprünglich umfasste das Programm rund 50 Organisationen; wie The Decoder berichtete, weitete Anthropic Glasswing am 2. Juni 2026 um rund 150 weitere Partner aus über 15 Ländern aus, sodass inzwischen etwa 200 Organisationen Zugriff haben – darunter neue Bereiche wie Energie, Wasser, Gesundheit und Kommunikation.

In einem ausführlichen Zwischenbericht vom 22. Mai 2026 legte Anthropic erste Zahlen vor: Die damals rund 50 Partner hätten gemeinsam mehr als 10.000 hoch- oder kritisch eingestufte Schwachstellen in systemrelevanter Software gefunden, mehrere Partner berichteten von einer mehr als verzehnfachten Fundrate gegenüber vorherigen Tools. Der Flaschenhals liege inzwischen nicht mehr beim Entdecken, sondern beim Verifizieren, Offenlegen und Patchen der Funde, schreibt Anthropic.

Was Partner wie Cloudflare und Mozilla berichten

Cloudflare – selbst Glasswing-Partner – veröffentlichte einen eigenen technischen Erfahrungsbericht. Das Unternehmen testete Mythos Preview an über 50 eigenen Repositories und fand rund 2.000 Bugs, davon 400 mit hohem oder kritischem Schweregrad, bei nach eigenen Angaben besserer Falsch-Positiv-Rate als bei menschlichen Testern. Besonders hervorgehoben wird die Fähigkeit des Modells, mehrere kleinere Schwachstellen eigenständig zu einer funktionierenden Angriffskette zusammenzusetzen – eine Aufgabe, an der andere getestete Modelle laut Cloudflare meist scheiterten. Gleichzeitig beschreibt das Unternehmen, dass Mythos Preview inkonsistent auf legitime Sicherheitsforschungs-Anfragen reagiert habe: Dieselbe Aufgabe sei je nach Formulierung einmal ausgeführt und einmal verweigert worden – ein Hinweis darauf, dass die im Modell eingebauten Schutzmechanismen allein nicht ausreichen, um es sicher öffentlich verfügbar zu machen.

Auch Mozilla berichtet über deutliche Verbesserungen: Beim Testen von Mythos Preview fand und behob das Unternehmen 271 Schwachstellen in Firefox 150 – mehr als zehnmal so viele wie zuvor mit Claude Opus 4.6 in Firefox 148. Weitere externe Tests bestätigen das Bild: Das britische AI Security Institute berichtet, Mythos Preview habe als erstes Modell beide hauseigenen Cyber Ranges – mehrstufige Cyberangriffssimulationen – vollständig gelöst. Die unabhängige Sicherheitsplattform XBOW bewertet das Modell als deutlichen Sprung gegenüber allen bisher getesteten Systemen. Auch bei der Patch-Auslieferung zeigen sich Effekte: Palo Alto Networks lieferte in seinem jüngsten Release fünfmal so viele Patches wie üblich aus, während Microsoft ankündigte, die Zahl neuer Patches werde vorerst weiter steigen.

OpenAI zieht mit Daybreak nach

Nicht nur Anthropic treibt die Entwicklung voran. The Decoder berichtete über den Ausbau von OpenAIs Cybersecurity-Programm Daybreak. In einer eigenen Ankündigung erklärte OpenAI, der Engpass in der Cybersicherheit liege inzwischen nicht mehr beim Finden von Schwachstellen, sondern beim Patchen – eine fast deckungsgleiche Einschätzung zu der von Anthropic. Das seit März als Vorschau verfügbare Tool Codex Security habe nach Unternehmensangaben mittlerweile über 30 Millionen Commits in mehr als 30.000 Codebasen gescannt; über 500.000 Funde seien automatisch als behoben eingestuft worden, weitere 70.000 von menschlichen Prüfern manuell bestätigt.

Parallel veröffentlichte OpenAI die finale Version des spezialisierten Modells GPT-5.5-Cyber, das auf dem CyberGym-Benchmark mit 85,6 Prozent nach eigenen Angaben einen neuen Bestwert erzielt (GPT-5.5 kommt auf 81,8 Prozent). Zugang erhalten ausschließlich verifizierte Verteidiger. Über das Daybreak Cyber Partner Program kooperiert OpenAI inzwischen mit mehr als 25 Sicherheitsunternehmen, darunter Cisco, CrowdStrike, Cloudflare, Palo Alto Networks, IBM und Fortinet, sowie mit mehreren Regierungen – laut eigenen Angaben unter anderem mit Australien, Kanada, Frankreich, Deutschland, Japan, Südkorea, der britischen Regierung und der EU-Agentur ENISA. Mit der Initiative “Patch the Planet”, gemeinsam mit Trail of Bits, HackerOne und Calif, unterstützt OpenAI zudem gezielt Open-Source-Projekte wie cURL, Go, Python und pyca/cryptography beim Schließen entdeckter Lücken.

Vom Finden zum Patchen: das eigentliche Nadelöhr

Anthropic und OpenAI kommen unabhängig voneinander zum selben Schluss: Nicht das Finden, sondern das Beheben von Schwachstellen ist inzwischen der limitierende Faktor. Anthropics eigene Zahlen aus dem Open-Source-Scanning illustrieren das Problem. Das Unternehmen hat nach eigenen Angaben mehr als 1.000 Open-Source-Projekte mit Mythos Preview gescannt und dabei insgesamt 23.019 potenzielle Schwachstellen aller Schweregrade gefunden, geschätzt 6.202 davon mit hohem oder kritischem Schweregrad. Von 1.752 bislang unabhängig überprüften Funden erwiesen sich 90,6 Prozent als echte Treffer, 62,4 Prozent wurden tatsächlich als hoch oder kritisch bestätigt.

Bis zur tatsächlichen Behebung ist es jedoch ein weiter Weg: Von den rund 530 bislang an Maintainer gemeldeten hoch- oder kritisch eingestuften Bugs waren zum Zeitpunkt von Anthropics Bericht erst 75 gepatcht, 65 davon mit öffentlichem Security-Advisory versehen. Mehrere Open-Source-Maintainer hätten Anthropic sogar gebeten, das Tempo der Offenlegungen zu drosseln, weil ihnen die Kapazität fehle, die Flut an Meldungen zu verarbeiten – zumal viele Projekte parallel bereits mit einer Welle minderwertiger, KI-generierter Bug-Reports zu kämpfen hätten.

Wie gefährlich ist der Anstieg wirklich?

Die reine Zahl gemeldeter CVEs sagt wenig darüber aus, wie sich das tatsächliche Risiko verändert. Die Vulnerability-Coordination-Organisation FIRST kommt in ihrer Halbjahresprognose zu einer differenzierten Einschätzung: Die für 2026 erwartete Gesamtzahl an CVEs liegt inzwischen rund 46 Prozent über der ursprünglichen Prognose, bei geschätzt 66.000 Meldungen für das Jahr. Beim Blick auf tatsächlich akut ausnutzbare Schwachstellen – solche, die es in den KEV-Katalog der US-Behörde CISA schaffen oder einen EPSS-Score über 10 Prozent aufweisen – bleibt die Lage laut FIRST dagegen weitgehend stabil. Sinnbildlich sprechen die Autoren von deutlich mehr Regen bei einem nahezu unveränderten Pegel der eigentlichen Hochwassergefahr: Mehr Meldungen bedeuten demnach nicht automatisch mehr konkrete Gefahr, sondern vor allem mehr Arbeit beim Sichten und Priorisieren.

Ähnlich uneinheitlich fällt die Einschätzung von Fachleuten aus, die Dark Reading zu Microsofts Juni-Patchday befragte, der je nach Zählweise zwischen 198 und 206 CVEs lag. Ein Tenable-Sicherheitsforscher geht davon aus, dass Patch-Zyklen mit über 100 CVEs künftig zur Norm werden. Ein Kollege von Fortra hält dagegen: In den vergangenen Jahren hätten es im Schnitt nur rund 30 CVEs pro Jahr überhaupt in CISAs Liste tatsächlich ausgenutzter Schwachstellen geschafft, 2026 liege man bislang im Rahmen dieses langjährigen Durchschnitts. KI verändere demnach etwas, aber bislang eher graduell als disruptiv.

Deutlich kritischer äußert sich der bekannte Sicherheitsforscher Bruce Schneier. Bereits im April beschrieb er Project Glasswing vor allem als geschickten PR-Erfolg für Anthropic und bemängelte, dass viele Medien die Angaben des Unternehmens unkritisch übernommen hätten. In einem Folgebeitrag zum Mai-Update bemängelt er die auffällige Lücke zwischen Zehntausenden gefundenen und nur wenigen Dutzend tatsächlich gepatchten Schwachstellen als schwer nachvollziehbar, solange Anthropic im Kern nur aggregierte Zahlen statt überprüfbarer Detaildaten veröffentliche. Ergänzend weist er darauf hin, dass eine Sicherheitsfirma einen Teil der gemeldeten Schwachstellen mit älteren, öffentlich verfügbaren Modellen reproduzieren konnte – Mythos Preview sei also möglicherweise weniger einzigartig, als es die Berichterstattung nahelege.

Hinzu kommt ein struktureller Interessenkonflikt, auf den auch The Decoder hinweist: Mit Claude Security bietet Anthropic parallel ein kommerzielles Produkt an, das Codebasen scannt und Patches vorschlägt – gewissermaßen die Absicherung gegen genau jene Risiken, die das Unternehmen mit Project Glasswing selbst in den Vordergrund rückt. Anthropic selbst verweist in diesem Zusammenhang auf Claude Security als Angebot, mit dem Kunden ihre eigene Codebasis mit generell verfügbaren Claude-Modellen absichern können.

Was das für Unternehmen und Entwicklerteams bedeutet

Unabhängig von der Bewertung der genauen Zahlen sind sich die Beteiligten in einem Punkt einig: Die Zeitspanne zwischen Entdeckung und Behebung einer Schwachstelle wird zum entscheidenden Risikofaktor. Anthropic empfiehlt Softwareherstellern kürzere Patch-Zyklen und möglichst reibungslose Update-Mechanismen für Endnutzer. Netzwerkverteidigern rät das Unternehmen zu altbekannten, aber wirksamen Grundmaßnahmen wie Multi-Faktor-Authentifizierung, gehärteten Standardkonfigurationen und lückenloser Protokollierung, wie sie unter anderem von US-amerikanischen und britischen Sicherheitsbehörden empfohlen werden. Eine ähnliche Grundhaltung findet sich bei Cloudflare: Statt allein auf schnellere Patches zu setzen, plädiert das Unternehmen dafür, Architekturen so zu gestalten, dass eine einzelne Schwachstelle gar nicht erst zu vollständigem Systemzugriff führt.

Fazit

Der sprunghafte Anstieg gemeldeter Sicherheitslücken im Sommer 2026 ist real und lässt sich zeitlich präzise mit dem Aufkommen KI-gestützter Bug-Hunting-Programme verknüpfen – daran lassen sowohl Epoch AIs CVE-Daten als auch die übereinstimmenden Aussagen von Anthropic, OpenAI und externen Partnern wenig Zweifel. Wie groß der tatsächliche Sicherheitsgewinn am Ende ist, lässt sich anhand der bislang veröffentlichten, überwiegend von den beteiligten Unternehmen selbst stammenden Zahlen jedoch nur eingeschränkt beurteilen. Bis unabhängige Stellen wie FIRST oder CISA belastbarere Daten zur tatsächlichen Ausnutzbarkeit liefern, dürfte die vorsichtigste Lesart die richtige sein: Es werden mehr Schwachstellen gefunden als je zuvor – ob das die Welt am Ende sicherer oder zunächst vor allem komplizierter macht, hängt davon ab, wie schnell sich die vielzitierte Lücke zwischen Finden und Patchen schließen lässt.

Häufige Fragen

Was ist Project Glasswing?

Project Glasswing ist eine im April 2026 gestartete Initiative von Anthropic, bei der Partnerorganisationen Zugang zum nicht öffentlich verfügbaren Modell Claude Mythos Preview erhalten, um damit eigene Systeme auf Sicherheitslücken zu scannen. Das Programm begann mit rund 50 Organisationen und wurde im Juni 2026 auf etwa 200 Partner aus über 15 Ländern erweitert, darunter Cloudflare, Mozilla, Microsoft, Google und Cisco.

Warum veröffentlicht Anthropic Claude Mythos Preview nicht öffentlich?

Anthropic begründet dies damit, dass das Modell Softwareschwachstellen so eigenständig finden und ausnutzen kann, dass es bei einer breiten Veröffentlichung ohne ausreichende Schutzmechanismen erheblichen Missbrauch ermöglichen könnte. Das Unternehmen räumt ein, selbst noch keine Schutzmaßnahmen entwickelt zu haben, die einen solchen Missbrauch zuverlässig verhindern.

Wie viele Sicherheitslücken hat Claude Mythos bislang gefunden?

Laut Anthropics eigenem Update vom 22. Mai 2026 fanden das Unternehmen und seine damals rund 50 Partner gemeinsam mehr als 10.000 hoch- oder kritisch eingestufte Schwachstellen. Beim parallelen Scanning von über 1.000 Open-Source-Projekten kamen weitere geschätzt 6.202 hoch- oder kritisch eingestufte Funde hinzu, von denen bislang aber erst ein kleiner Teil unabhängig bestätigt und noch weniger tatsächlich gepatcht wurde. Diese Zahlen stammen von Anthropic selbst und sind unabhängig nicht verifiziert.

Was unterscheidet OpenAIs Daybreak von Anthropics Project Glasswing?

Beide Programme nutzen spezialisierte KI-Modelle, um Sicherheitslücken zu finden, doch OpenAI verlagert den Schwerpunkt stärker auf die automatisierte Behebung: Das Tool Codex Security und das Modell GPT-5.5-Cyber sollen den gesamten Weg von der Entdeckung bis zum fertigen Patch abdecken. OpenAI kooperiert dafür mit über 25 Sicherheitsfirmen und mehreren Regierungen sowie über die Initiative 'Patch the Planet' gezielt mit Open-Source-Projekten wie cURL, Go und Python.

Bedeutet der CVE-Anstieg, dass Software jetzt unsicherer ist?

Nicht zwangsläufig. Die Organisation FIRST weist in ihrer Halbjahresprognose darauf hin, dass die Gesamtzahl gemeldeter Schwachstellen zwar deutlich steigt, die Zahl tatsächlich akut ausnutzbarer Lücken im CISA-KEV-Katalog aber bislang weitgehend stabil geblieben ist. Der Anstieg bedeutet demnach vor allem mehr Arbeit für Sicherheitsteams beim Sichten und Priorisieren – nicht automatisch ein höheres akutes Risiko.

#KI

← Zurück zum Blog