Ghaznix

Die Zero-Day-Singularität: Ein Blick in Claude Mythos und die Ära der autonomen RCE

Die Zero-Day-Singularität

Seien wir ehrlich. Eine Zeit lang war der Hype um “KI in der Cybersicherheit” erschöpfend. Wir haben zugesehen, wie Anbieter einen “KI-gestützten” Aufkleber auf standardmäßige, Regex-basierte statische Analysewerkzeuge geklebt haben, und wir haben beobachtet, wie Script-Kiddies frühe LLMs nutzten, um unglaublich verrauschte, fehlerhafte Phishing-E-Mails zu schreiben.

Aber seit Mitte 2026 ist der Spaß offiziell vorbei.

Die Landschaft der offensiven Sicherheit hat sich nicht nur verschoben; sie ist fundamental zerbrochen. Wir sprechen nicht mehr von KI als einem “Assistenten”, der einem menschlichen Pentester hilft, einen kniffligen Payload zu schreiben. Wir haben es mit vollkommen autonomen, parallelisierten Agenten zu tun, die durch komplexe Geschäftslogik argumentieren, Schwachstellen verketten und Shells knacken können, bevor ein menschlicher Analyst überhaupt seinen ersten Kaffee ausgetrunken hat.

Hier ist ein Blick aus den Schützengräben auf die aktuelle offensive KI-Landschaft – von der beeindruckenden allgemeinen Argumentationsfähigkeit von Frontier-Modellen bis hin zur messerscharfen Präzision von Small Language Models (SLMs).

1. Der Gigant der allgemeinen Argumentation: Claude Mythos

Wenn Sie die aktuelle Panik in der Sicherheits-Community verstehen wollen, müssen Sie sich nur Anthropic’s Claude Mythos ansehen, das im April 2026 veröffentlicht wurde.

Mythos hat nicht nur Evaluierungs-Benchmarks bestanden; es hat die Evaluierungsmethodik von METR (der Organisation für KI-Risikobewertung) gesprengt. Doch was Sicherheitsforscher nachts wachhält, ist das, was Mythos in freier Wildbahn getan hat. Ohne explizites offensives Training – seine Fähigkeiten entstanden rein aus massiven Sprüngen in der allgemeinen Argumentation und Kodierungsautonomie – entdeckte Mythos autonom Tausende von bisher unbekannten Schwachstellen.

Es fand nicht nur einfache Cross-Site Scripting (XSS) Fehler. Es fand eine 17 Jahre alte Remote Code Execution (RCE) Schwachstelle im NFS-Server von FreeBSD und einen 27 Jahre alten Browser-Fehler, der Jahrzehnte menschlicher Begutachtung überlebt hatte. Und dann? Es schrieb voll funktionsfähige Exploits für sie, ganz ohne menschliche Anleitung.

Deshalb hat Anthropic die Veröffentlichung über “Project Glasswing” eingeschränkt und erlaubt es nur Tech-Giganten (Apple, Microsoft, Google), ihre Infrastruktur zu härten, bevor das Modell allgemein zugänglich wird. Mythos hat ein erschreckendes Konzept bewiesen: Offensive Fähigkeiten sind keine Design-Entscheidung mehr; sie sind eine emergente Eigenschaft jeder hinreichend intelligenten KI.

2. Die Produktisierung der Autonomie: XBOW und der Tod von DAST

Während Mythos die Grenze der allgemeinen Intelligenz darstellt, repräsentieren Werkzeuge wie XBOW die Kommerzialisierung der KI-gesteuerten offensiven Sicherheit.

Jahrelang haben wir uns auf Dynamic Application Security Testing (DAST) Scanner verlassen. DAST ist bekanntermaßen laut, langsam und dumm – es beschießt Anwendungen einfach mit massiven Listen statischer Payloads und hofft, dass etwas hängen bleibt. XBOW hingegen agiert wie ein digitales Red Team.

So verändern Plattformen wie XBOW das Spiel:

  • Adaptive Exploitation: XBOW sendet nicht nur einen Payload; es liest die Antwort des Servers. Wenn eine Web Application Firewall (WAF) ihn blockiert, analysiert XBOW den Block und mutiert den Payload, um die Schutzmaßnahme zu umgehen.
  • Business Logic Attacks: Traditionelle Scanner können den Kontext nicht verstehen. XBOW nutzt KI, um IDOR (Insecure Direct Object Reference) und BOLA (Broken Object Level Authorization) Tests durchzuführen. Es kann eine Seite betrachten, verstehen, dass Benutzerrolle A die Daten von Benutzer B nicht sehen sollte, und dies aktiv ausnutzen.
  • Vulnerability Chaining: Ein Scanner findet vielleicht ein SSRF (Server-Side Request Forgery). XBOW wird das SSRF finden, in das interne Netzwerk vordringen, AWS-Metadaten extrahieren und versuchen, dieses SSRF in eine vollständige RCE zu verwandeln.

3. Die Ökonomie der Asymmetrie: Eine Shell zum Preis eines Mittagessens

Die vielleicht disruptivste Forschung im Jahr 2026 befasst sich nicht damit, wie KI hackt, sondern wie viel es kostet.

Historisch gesehen war offensive Aktivität durch menschliche Arbeitskraft begrenzt. Ein hochwertiger, manueller Penetrationstest einer komplexen Active Directory (AD) Umgebung kostet zwischen 15.000 und 50.000 US-Dollar und dauert Wochen.

Jüngste Forschungen zu LLM-basierten Penetrationstest-Agenten haben dieses Wirtschaftsmodell zertrümmert. Anfang 2026 testeten Forscher Excalibur (einen Agenten basierend auf PentestGPT V2) gegen eine realistische Active Directory-Umgebung. Der Agent kompromittierte erfolgreich vier von fünf Hosts und führte reale laterale Bewegungen aus.

  • Die Kosten? 28,50 US-Dollar an API-Gebühren.
  • Die Geschwindigkeit? Da der Agent nicht linear arbeitete – er erkundete jede erreichbare Oberfläche gleichzeitig –, erledigte er die Arbeit eines Teams in einem Bruchteil der Zeit.

Wenn die Grenzkosten für die Ausführung einer komplexen, mehrstufigen Angriffskette auf nahezu Null sinken, wird das Volumen der anspruchsvollen Sondierungen am externen Perimeter unendlich skalieren.

4. Die “Small Model” Revolution (SLMs)

Während Frontier-Modelle wie Mythos die Schlagzeilen beherrschen, bewegt sich die ernsthafte Unternehmenssicherheit in Richtung Small Language Models (SLMs).

Warum? Weil es ein Albtraum für die Compliance ist, hochsensible, proprietäre Netzwerktelemetrie an eine Drittanbieter-API zu senden. Unternehmen benötigen On-Premise, hochspezialisierte Modelle, die ihre spezifischen Umgebungen verstehen.

Forschungen Ende 2025 und 2026 (wie die SecKnowledge-Datensatzinitiativen) haben bewiesen, dass man kein Billionen-Parameter-Modell braucht, um Fehler zu jagen. Durch das Fine-Tuning von SLMs ausschließlich auf Angreifer-Taktiken, Techniken und Prozeduren (TTPs), Exploit-Payloads und Netzwerkkonfigurationen haben Forscher Fachexperten-Modelle geschaffen, die lokal laufen.

Diese SLMs glänzen bei:

  • Hypothesengesteuerter Bedrohungssuche: Filtern von verrauschten Logs ohne Halluzinationen.
  • Einhaltung der Datenresidenz: Betrieb vollständig innerhalb luftabgeschlossener oder stark eingeschränkter Umgebungen.
  • Geschwindigkeit: Generierung lokalisierter Fuzzing-Payloads in einer Geschwindigkeit, die massive Modelle aufgrund von Latenzzeiten nicht erreichen können.

Die Realität für Verteidiger

Als Forscher ist es sowohl aufregend als auch erschreckend, diese Entwicklung zu beobachten. Die Tage, in denen man sich auf die “Dwell Time” (Verweildauer) verlassen konnte, sind vorbei. Wenn ein KI-Agent eine Sicherheitsbarriere durchbricht, braucht er keinen Schlaf, er macht keine Wochenenden und er verarbeitet Umgebungen mit Maschinengeschwindigkeit.

Die einzige praktikable Verteidigung gegen einen automatisierten, adaptiven Gegner mit Argumentationsfähigkeit ist eine vollkommen automatisierte, adaptive Verteidigung mit Argumentationsfähigkeit. Wir treten in eine Ära der Multi-Agenten-Kriegsführung ein, in der Ihre defensiven SLMs in einem ständigen Echtzeit-Messerkampf mit offensiven autonomen Agenten stehen werden.

Patch-Management allein reicht nicht mehr aus. Wenn Ihre Sicherheitsstrategie keinen Gegner berücksichtigt, der Zero-Days schneller finden kann, als Sie ein Meeting ansetzen können, sind Sie bereits im Hintertreffen.

Entdecken Sie weitere technische Einblicke im Ghaznix Blog →

Tags

KI-Cybersicherheit Claude Mythos Autonome RCE XBOW Offensive KI Zero-Day