Anthropic startet „Project Glasswing“: Neues KI-Security-Programm mit Big-Tech-Partnern für Secure-by-Design-Modelle

Was Anthropic heute angekündigt hat

Anthropic hat am 7. April 2026 das Sicherheitsprogramm „Project Glasswing“ vorgestellt. Kern des Programms ist der begrenzte Zugang zu Claude Mythos Preview, einem neuen, extrem starken KI-Modell für Cybersecurity-Aufgaben. Zugang erhalten zunächst rund ein Dutzend große Technologie- und Sicherheitsanbieter, darunter Amazon Web Services, Microsoft, Apple, Google, Nvidia, Cisco, CrowdStrike, Palo Alto Networks, Broadcom, JPMorgan Chase und die Linux Foundation.

Das Modell wird ausdrücklich nicht allgemein verfügbar gemacht, sondern nur für geprüfte Organisationen freigeschaltet, die kritische Software und Infrastrukturen betreiben oder absichern. Anthropic stellt zusätzlich bis zu 100 Mio. US‑Dollar in Nutzungsguthaben und mehrere Millionen für Open-Source-Security-Organisationen bereit.

Worum es technisch geht: Defensive Security mit einem Frontier-Modell

Claude Mythos Preview ist darauf ausgelegt,

• Schwachstellen in komplexen Codebasen und Infrastrukturen zu identifizieren,

• Angriffswege („attack paths“) zu simulieren,

• Exploit-Ketten zu generieren und zu bewerten sowie

• Gegenmaßnahmen und Härtungsmaßnahmen vorzuschlagen.

Im Vergleich zu bisherigen KI‑Modellen liegt der Schwerpunkt weniger auf generativer Assistenz und mehr auf tiefgehender automatisierter Sicherheitsanalyse – in einem Leistungsbereich, der laut frühen Berichten „nur noch von hochspezialisierten menschlichen Expert:innen“ übertroffen wird.

Wesentlich ist der Dual-Use-Charakter: Das gleiche Modell, das Zero-Day-Schwachstellen finden kann, könnte theoretisch auch zum Aufbau großskaliger Angriffe missbraucht werden. Genau deshalb wählt Anthropic einen konsortialen, stark regulierten Zugang statt eines offenen API-Launches.

Secure-by-Design: Was an diesem Programm wirklich neu ist

1. Security-first statt „nachrüsten“

Project Glasswing markiert einen Strategiewechsel: Statt Sicherheitsfunktionen nachträglich über externe Tools oder Agenten zu ergänzen, wird Security in die Foundation-Model-Roadmap integriert. Großkunden und Cloud-Hyperscaler testen das Modell in realen Produktionsumgebungen und liefern systematisch Feedback zu:

• Fehlertypen und False Positives,

• Coverage über unterschiedliche Stack-Ebenen (OS, Browser, Container, Cloud‑Konfiguration, Applikationscode),

• Integration in bestehende SIEM-, EDR- und DevSecOps-Pipelines.

Dieses Feedback fließt direkt in die Weiterentwicklung von Mythos und nachgelagerte Modelle ein – Security wird damit Produktkriterium erster Ordnung, nicht mehr nur „Compliance-Checkbox“.

2. Kooperative Security zwischen Wettbewerbern

Bemerkenswert ist die Zusammensetzung der Partner: Cloud-Anbieter und KI‑Konkurrenten wie Amazon, Microsoft, Apple, Google und führende Cybersecurity-Anbieter arbeiten gemeinsam an einem Modell, das alle in ihre Produkte integrieren oder von dem sie zumindest lernen wollen. Damit entsteht faktisch ein Sicherheits-Backbone über mehrere Plattformen hinweg.

Für Unternehmen bedeutet dies perspektivisch:

• Konvergente Best Practices bei der Absicherung von Cloud- und KI‑Stacks,

• geringere Fragmentierung bei Security-Standards,

• bessere Interoperabilität zwischen Security-Tools verschiedener Hersteller.

3. Starke Zugangsbeschränkung als Governance-Instrument

Anthropic verzichtet bewusst auf eine breite Kommerzialisierung von Mythos Preview. Zugang erhalten

• ausgewählte Hyperscaler und Security-Anbieter,

• über 40 Organisationen, die kritische Software oder Open-Source-Infrastruktur betreiben,

• Sicherheitsforschende über dedizierte Programme.

Damit wird ein Whitelist-Modell etabliert: Hochriskante KI-Funktionen werden nur an Organisationen vergeben, die über Governance-Strukturen, Auditierbarkeit und regulatorische Einbettung verfügen. Für CISOs ist das ein Hinweis, dass sich ein gestuftes Zugangsmodell für KI-Fähigkeiten etabliert – ähnlich wie bei kryptografischen Funktionen oder Dual-Use-Technologien.

Konkrete Use Cases für Unternehmen

1. CI/CD-Pipelines mit automatisierter KI-Security-Prüfung

Ein Softwareanbieter könnte Mythos-ähnliche Modelle (über Partnerprodukte) so integrieren, dass bei jedem Deployment:

• Quellcode und Infrastructure-as-Code auf Schwachstellen gescannt werden,

• potenzielle Exploit-Ketten simuliert und nach Kritikalität priorisiert werden,

• konkrete Patches bzw. Code-Änderungen vorgeschlagen werden.

Ergebnis: weniger ungepatchte Schwachstellen in Produktion, kürzere Mean Time to Remediate (MTTR) und besser nachweisbare Secure Development Lifecycle (SDLC) gegenüber Prüfern und Kunden.

2. Red-Teaming von KI-Systemen und Agenten

Unternehmen, die bereits KI-Agenten produktiv einsetzen (z.B. für IT‑Operations oder Kundensupport), können diese gezielt mit Mythos-basierten Analysen angreifen lassen, um:

• Jailbreak-Resilienz und Prompt-Injection-Schutz zu testen,

• Datenabflussszenarien (Data Exfiltration) systematisch zu untersuchen,

• Policy- und Guardrail-Design unter Realbedingungen zu härten.

Das verschiebt KI‑Security weg von punktuellen Penetrationstests hin zu einem kontinuierlichen, modellgestützten Red-Teaming.

3. Absicherung kritischer Infrastrukturen und Branchen

Für Betreiber in regulierten Sektoren – etwa Finanzdienstleister, Energieversorger, Healthcare, öffentliche Hand – ist besonders relevant:

• Scannen historisch gewachsener, heterogener Systeme, in denen manuelle Audits an Grenzen stoßen,

• Priorisierung von Maßnahmen entlang von Geschäftsprozessen statt rein technischer Metriken,

• Vorbereitung auf zukünftige Anforderungen aus NIS2, DORA oder branchenspezifischen KI‑Regeln.

Gerade hier kann ein Frontier-Modell helfen, versteckte Angriffsflächen zu identifizieren, die in herkömmlichen Vulnerability-Scans nicht sichtbar werden.

Strategische Implikationen für CISOs, CIOs und Vorstände

1. KI-Security wird zur Board-Priorität

Mit Programmen wie Project Glasswing wird sichtbar, dass KI nicht nur Risiko, sondern auch zentraler Hebel der Abwehr wird. Vorstände sollten:

• KI‑Security explizit in die Unternehmensrisikomatrix aufnehmen,

• Budgets nicht nur für „klassische“ Security-Tools, sondern auch für KI‑gestützte Defence-Plattformen einplanen,

• Governance-Strukturen schaffen, die die Nutzung solcher hochleistungsfähigen Modelle beaufsichtigen.

2. Wahl der Cloud- und Security-Partner gewinnt an Bedeutung

Da Mythos Preview nur über ausgewählte Partner erreichbar ist, wird die Partnerwahl strategisch:

• Cloud- und Security-Anbieter mit Zugang zu solchen Programmen können mittel- bis langfristig einen Sicherheitsvorsprung bieten.

• Unternehmen sollten bei Ausschreibungen prüfen, inwieweit Anbieter an Initiativen wie Project Glasswing oder vergleichbaren Programmen beteiligt sind.

3. Vorbereitung auf auditierbare KI‑Security

Regulierer in EU, USA und anderen Jurisdiktionen diskutieren bereits, wie High-Risk-KI-Systeme abgesichert und auditiert werden sollen. Project Glasswing bietet ein mögliches Muster:

• dokumentierte Nutzung von spezialisierten KI‑Security-Tools,

• Nachweise über regelmäßige KI‑gestützte Pen-Tests und Code-Scans,

• strukturierte Zusammenarbeit mit vertrauenswürdigen Modellanbietern.

Unternehmen können dies nutzen, um ihre Compliance-Story zu stärken – etwa gegenüber Aufsichtsbehörden, Kunden oder Versicherungsträgern (Cyberversicherungen).

Was Unternehmen jetzt konkret tun sollten

1. Portfolioprüfung: Identifizieren Sie geschäftskritische Anwendungen und Infrastrukturen, die von KI‑gestützter Security besonders profitieren würden (z.B. Payment, Identitätsmanagement, Produktionssteuerung).

2. Partner-Dialog starten: Sprechen Sie mit Ihren Cloud-, Security- und Integrationspartnern über deren Anbindung an Programme wie Project Glasswing und deren Roadmaps für KI‑Security.

3. Pilot-Projekte planen: Definieren Sie 1–2 klar abgegrenzte Pilotbereiche (z.B. ein kritischer Microservice, ein zentrales IAM-System) für KI‑gestützte Sicherheitsanalysen.

4. Governance und Policies anpassen: Ergänzen Sie Ihre KI‑Richtlinien um spezifische Vorgaben zur Nutzung von „High-Impact Security Models“ – inklusive Freigabeprozessen, Logging- und Audit-Anforderungen.

5. Kompetenzaufbau im Security-Team: Schulen Sie Security- und DevSecOps-Teams in Prompting, Interpretation und Validierung von KI‑gestützten Findings, um Abhängigkeiten von externen Dienstleistern zu reduzieren.

Fazit

Anthropics neues KI-Security-Programm mit Big-Tech-Partnern markiert einen Wendepunkt: Security-by-Design wird in die Ebene der KI‑Grundmodelle verlagert. Für Unternehmen bedeutet das die Chance, Sicherheitsprüfungen auf ein bisher nicht erreichbares Niveau zu heben – aber auch die Pflicht, Governance, Partnerstrategie und interne Kompetenzen schnell weiterzuentwickeln. Wer heute die Weichen stellt, kann KI sowohl als Produktivitäts- als auch als Sicherheitsmultiplikator nutzen.

Häufig gestellte Fragen (FAQ)

Was ist Anthropics „Project Glasswing“ und welches Ziel verfolgt das Programm?

Project Glasswing ist ein von Anthropic gestartetes KI-Security-Programm, das ausgewählten Technologie- und Sicherheitsunternehmen frühen Zugang zum Modell Claude Mythos Preview bietet. Ziel ist es, kritische Software und Infrastrukturen systematisch auf Schwachstellen zu prüfen, Angriffswege zu simulieren und Security-Kontrollen unter Realbedingungen zu testen.

Wie funktioniert Claude Mythos Preview im Kontext von Cybersecurity?

Claude Mythos Preview analysiert komplexe Codebasen und Infrastrukturen, identifiziert potenzielle Schwachstellen und simuliert mögliche Exploit-Ketten. Auf Basis dieser Analysen schlägt das Modell konkrete Gegenmaßnahmen und Härtungsstrategien vor, die sich in bestehende DevSecOps-, SIEM- und EDR-Prozesse integrieren lassen.

Was bedeutet „Secure-by-Design“ im Zusammenhang mit Project Glasswing?

Secure-by-Design bedeutet, dass Sicherheits-, Compliance- und Governance-Anforderungen von Anfang an in die Entwicklung von KI-Grundmodellen eingebaut werden. Bei Project Glasswing liefern große Enterprise-Kunden Feedback aus realen Produktionsumgebungen, sodass Security nicht nachträglich ergänzt, sondern als zentrales Produktmerkmal weiterentwickelt wird.

Welche Auswirkungen hat Project Glasswing auf Unternehmen und ihre Security-Strategie?

Unternehmen können mit Mythos-ähnlichen Modellen Sicherheitsprüfungen in CI/CD-Pipelines automatisieren, KI-Systeme kontinuierlich red-teamen und komplexe Legacy-Landschaften effizienter prüfen. Dadurch sinkt die Zahl ungepatchter Schwachstellen, die Mean Time to Remediate verkürzt sich und die Nachweisbarkeit eines sicheren Software Development Lifecycle verbessert sich.

Was ist der Unterschied zwischen traditionellen Security-Tools und einem Frontier-Modell wie Claude Mythos Preview?

Klassische Security-Tools arbeiten meist signatur- oder regelbasiert und decken Teilbereiche wie Vulnerability-Scanning oder Logging ab. Ein Frontier-Modell wie Claude Mythos Preview kombiniert tiefgehende Code- und Infrastruktur-Analyse mit der Fähigkeit, komplexe Angriffswege zu simulieren und priorisierte Maßnahmenvorschläge über den gesamten Stack hinweg zu generieren.

Warum ist der Zugang zu Claude Mythos Preview stark eingeschränkt und wer kann es nutzen?

Aufgrund des Dual-Use-Charakters des Modells – es kann sowohl Schwachstellen finden als auch theoretisch für Angriffe missbraucht werden – setzt Anthropic auf ein Whitelist-Modell mit strengen Zugangskriterien. Zugang erhalten ausgewählte Hyperscaler, führende Security-Anbieter, Organisationen mit kritischen oder Open-Source-Infrastrukturen sowie geprüfte Sicherheitsforschende.

Was sollten Unternehmen jetzt tun, um von Project Glasswing und KI-Security zu profitieren?

Unternehmen sollten zunächst ihre kritischsten Anwendungen und Infrastrukturen identifizieren und mit Cloud- und Security-Partnern klären, ob und wie sie an Programme wie Project Glasswing angebunden sind. Parallel empfiehlt sich die Planung kleiner Pilotprojekte, die Anpassung von KI-Governance-Richtlinien sowie der gezielte Kompetenzaufbau im Security- und DevSecOps-Team im Umgang mit KI-basierten Findings.