An Anthropics "Project Glasswing" sind unzählige namhafte Unternehmen und Anbieter beteiligt, dazu zählen AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA oder Palo Alto Networks. Ziel ist, das nicht allgemein verfügbare Modell "Claude Mythos" kontrolliert für defensive Sicherheitsforschung einzusetzen – also die KI auf die Suche nach Sicherheitsproblemen zu schicken. Anthropic zufolge habe Mythos bereits tausende teils schwerwiegende Schwachstellen gefunden, darunter in allen großen Betriebssystemen und Browsern. macOS ist ebenfalls betroffen, wie ein aktueller Bericht beleuchtet.


macOS 26.5 dokumentiert Lücke
Demnach nutzten Forscher der Sicherheitsspezialisten von Calif.io das Modell Claude Mythos Preview, um Code zu erzeugen, der zwei macOS-Fehler zu einer Rechteausweitungs-Kette verbindet – theoretisch ginge dies bis hin zu Root-Rechten. Unklar ist, ob der beschriebene Exploit bereits mit macOS 26.5 behoben ist. Apples Sicherheitsdokument zu macOS Tahoe 26.5 nennt zumindest eine Kernel-Lücke, die von Calif.io in Zusammenarbeit mit Claude und Anthropic Research gefunden wurde. Apple erklärte gegenüber dem Wall Street Journal, man prüfe den Bericht und nehme mögliche Schwachstellen sehr ernst – ging aber nicht darauf ein, ob es sich beim Bugfix aus macOS 26.5 um die genannte Lücke handelte.

Mythos nur für ausgesuchte Partner
Anthropic erläutert zum Project Glasswing, dass KI-Modelle immer besser darin werden, Code zu verstehen, Schwachstellen zu erkennen und Exploit-Ideen zu entwickeln. Diese Fähigkeiten seien für Verteidiger wertvoll, könnten aber auch Angreifern helfen. Deshalb stellt Anthropic Mythos Preview nur kontrolliert ausgewählten Organisationen bereit und will Erfahrungen stets teilen. Ganz automatisiert geht es allerdings dennoch nicht, denn Calif.io weist darauf hin, weiterhin auf menschliche Expertise gesetzt zu haben. Mythos konnte den Exploit nicht selbst erstellen, wohl aber maßgeblich zum Auffinden der Schwachstelle beitragen.