Mozilla-Forscher berichteten im März, dass Claude Opus 4.6 von Anthropic innerhalb von zwei Wochen 14 hochgradige Fehler und 22 Common Vulnerabilities and Exposures (CVEs) identifizierte und damit das menschliche Team von Mozilla übertraf. Anschließend behaupteten Forscher des Cybersicherheitsunternehmens Calif aus Palo Alto, dass sie eine Testversion des Mythos-Modells von Anthropic verwendet hätten, um die Sicherheitstechnologie von Apple macOS zu umgehen.
Die kalifornischen Forscher teilten dem Wall Street Journal mit, dass sie einen „Privilege-Eskalations-Exploit“ in Kombination mit einem anderen Angriffsvektor ausgeführt hätten, der die potenzielle Kontrolle über ein Zielgerät ermöglichte. Sie entwickelten Software, die zwei unterschiedliche Fehler miteinander verknüpfte und zusätzliche Methoden nutzte, um den Speicher eines Mac zu beschädigen und auf eingeschränkte Bereiche des Geräts zuzugreifen.
Die Entdeckung des Exploits dauerte fünf Tage, und die Forscher stellten fest, dass der Erfolg nicht nur von Mythos, sondern auch von den Fähigkeiten der menschlichen Tester abhing. Apple prüft derzeit die Ergebnisse des Berichts. Ein Sprecher erklärte: „Sicherheit hat für uns oberste Priorität und wir nehmen Berichte über potenzielle Schwachstellen sehr ernst.“
Anthropic hatte im April Mythos, ursprünglich Project Glasswing genannt, ins Leben gerufen und damit Zugang zu rund 40 ausgewählten Technologieunternehmen gewährt. Das Unternehmen gab an, dass Mythos Tausende von Sicherheitslücken mit hohem Schweregrad in den wichtigsten Betriebssystemen und Webbrowsern identifiziert habe, und warnte vor schwerwiegenden Folgen, wenn solche Tools missbraucht würden.
Michał Zalewski, ein Sicherheitsforscher bei Google, überprüfte die Calif-Forschung, testete die Ergebnisse jedoch nicht. Er kommentierte den Hype um Mythos und beschrieb es als möglicherweise „übertrieben“, würdigte jedoch seine Fähigkeit zur umfassenden Schwachstellenforschung und Codeprüfung.
Es sind Bedenken hinsichtlich der Verbreitung von Mythos aufgetaucht. Gary McGraw, ein ehemaliger Vizepräsident von Synopsys, bemerkte gegenüber der New York Times, dass die Veröffentlichung der Technologie selbst nicht allzu gefährlich sei. Er betonte, dass das Zurückhalten solcher Tools nicht die Kernprobleme der Cybersicherheit angeht.
