Allein im Webbrowser Firefox deckte Claude Mythos zuletzt 271 Sicherheitslücken auf, eine 27 Jahre alte Lücke im Betriebssystem OpenBSD sorgte ebenso für Aufsehen wie eine Schwachstelle in FFmpeg, einer frei verfügbaren Videosoftware, die in Tausenden Applikationen zum Einsatz kommt.
In Medien wird das neue KI-Modell oft mit apokalyptischen Szenarien gleichgesetzt und nicht nur in der IT, auch auf dem Finanzsektor herrscht spürbare Aufregung vor den möglichen Folgen derartiger Modelle. Anders als bisher in der Branche war sich Anthropic der Risiken einer breit angelegten Veröffentlichung aber offenbar bewusst: In den falschen Händen könnte Mythos zweifellos Schaden anrichten, selbst kritische Infrastruktur wäre womöglich nicht sicher. Deshalb stellte Anthropic das KI-Modell nur ausgewählten Unternehmen zur Verfügung, darunter Google, Microsoft und Apple, aber auch der US-Großbank JPMorgan Chase.
Anthropic bei EU-Debatte abwesend
Umso frustrierter reagierte man in Brüssel darauf, dass die EU-Kommission bisher keinen Zugriff auf Claude Mythos erhielt. Deshalb wurde für Mittwoch auch die EU-Kommission und die europäische Cybersicherheitsagentur ENISA ins EU-Parlament zu Gesprächen geladen über die Gefahren, die durch Claude Mythos entstanden sind, berichtete „Politico“.
Eingeladen, aber nicht dabei, war auch Anthropic selbst: Man könne die Einladung „aufgrund der kurzen Vorlaufzeit nicht annehmen“, hieß es. Die Absage sei „extrem beunruhigend“, zitierte „Politico“ die grüne EU-Abgeordnete Kim van Sparrentak, die die Debatte initiiert hatte.
Kommission: Nutzung notfalls per Gesetz durchsetzbar
Die Kommission verweist zwar auf laufende Gespräche mit Anthropic zu seinem KI-Modell, erhöhte diese Woche aber auch den Druck auf das US-Unternehmen. Gegenüber „Politico“ hieß es von einem Sprecher, dass man ab August mit dem KI-Amt eine Behörde zur Verfügung habe, die notfalls den Zugang zu Claude Mythos erzwingen könnte. Das Amt wurde im Rahmen des „AI Act“ gegründet und kümmert sich etwa um die Bewertung von Risiken, die durch den Einsatz von KI entstehen.
APA/AFP/Getty Images/Michael M. Santiago
Mit der Claude-App hat sich Anthropic als ChatGPT-Konkurrent etabliert, Claude Mythos ist der Öffentlichkeit nicht zugänglich
Europa „nicht am Tisch“
Klar wird dadurch einmal mehr, dass die EU im Vergleich mit den USA und China eine untergeordnete Rolle einnimmt: Nicht nur ist man etwa mit Anthropic „nicht am Tisch“, wie es der liberale Abgeordnete Bart Groothuis ausdrückte, auch die Entwicklung derartiger Modelle findet in Europa nur in viel kleinerem Rahmen statt.
Und auch die Regulierung, bei der die EU eigentlich eine Vorreiterrolle einnimmt, sei so mancher Herausforderung nicht gewachsen, wie es in einem Brief von 30 Abgeordneten aus verschiedenen Fraktionen diese Woche hieß. Man müsse einen „Europäischen Schutzplan“ ausarbeiten, um Europas „Kronjuwelen“ zu schützen, zitierte „Politico“ aus dem Dokument, das sich auf die wachsenden Gefahren durch Modelle wie Claude Mythos bezieht.
Europas Banken forderten ebenfalls Zugriff auf die Anthropic-KI – denn unter den zwölf bisher namentlich genannten Partnerunternehmen sei zwar die bereits erwähnte US-Großbank JPMorgan Chase, jedoch keine einzige europäische. Entsprechend hieß es von Euro-Gruppe-Präsident Kyriakos Pierrakakis, dass man Klarheit beim Schutz europäischer Banken fordere.
Problem für EU auch abseits von Anthropic
Und obwohl sich die Kritik momentan gegen das US-Unternehmen Anthropic wendet, ist das nur ein Teil des Problems. Tatsächlich wird die vergleichsweise vorsichtige Veröffentlichung von Claude Mythos in der Branche nämlich oftmals als positiv und verantwortungsbewusst gewertet.
Auch national Warnungen vor Claude Mythos
Noch problematischer wird es dann, wenn andere KI-Modelle nachziehen, wie Otmar Lendl vom Computer Emergency Response Team (CERT) im April gegenüber ORF.at sagte. Das könnte schon in einigen Monaten der Fall sein – und dann womöglich ohne entsprechende Schranken.
Das zeigt auch auf, dass Regulierung allein in Europa kaum effektiv sein kann, wenn Technologien eben ohne Grenzen eingesetzt werden. Auch Pierrakakis verwies diese Woche darauf, dass KI ein international gültiges Regelwerk brauchte. Aber angesichts angespannter Beziehungen zwischen den USA und Europa gilt das als eher schwer umsetzbar.
Apokalypse als Marketinginstrument
Und obwohl Anthropic mit seinem Mythos-Modell Firmen und Behörden aufgerüttelt hat: Die Cybersicherheitsapokalypse steht nicht direkt und unausweichlich bevor. Das ist nicht zuletzt ein Marketingargument für Anthropic. Nicht jede gefundene Schwachstelle wird verheerend sein. Und Softwareprogrammiererinnen und -programmierer sind seit jeher mit derartigen Problemen konfrontiert.
Die Menge der gefundenen Lücken wird zweifellos steigen, gleichzeitig können derartige Entwicklungen auch zu einem mittelfristigen Umdenken beim Thema Sicherheit führen, wie etwa die Cybersicherheitsexpertin Jen Easterly dem Magazin „Wired“ im April sagte. „Seit Jahrzehnten haben wir eine riesige globale Industrie aufgebaut, um ‚Schwachstellen‘ (…), die es gar nicht erst hätte geben dürfen, abzuwehren.“ Projekte wie jene von Anthropic könnten helfen, dass KI in Zukunft bei der Entwicklung von Technologien helfen könnte, „die von Anfang an sicherer sind“.