Sicherheitsmechanismen umgangen

Mythos-KI plant Cyberverbrechen - trotz neuer Einschränkungen

Uhr
von Tobias Seefeld und dwi

Ein KI-Experte hat Claude Fable 5 dazu gebracht, einen Cyberangriff zu planen. Dies, nachdem Anthropic zusammen mit der US-Regierung die Sicherheitsrichtlinien der Cybersecurity-KI verbessert hatte. Dennoch half das öffentliche Mythos-Modell bereitwillig dabei, bekannte Sicherheitslücken auszunutzen.

(Source: standret / Freepik.com)
(Source: standret / Freepik.com)

Seit dem 1. Juli 2026 ist Claude Fable 5 wieder verfügbar - laut Anthropic nun mit neuen Sicherheitsrichtlinien, die es verunmöglichen sollen, die öffentliche Mythos-KI für Cyberverbrechen zu missbrauchen. Doch genau das ist dem auf agentische Automation spezialisierten Full-Stack-Entwickler Alec Armbruster gelungen. Wie er in seinem Blog schreibt, reichte eine defensive Prompt-Formulierung, um die Cybersecurity-KI alle Sicherheitsmassnahmen vergessen zu lassen.

Bereits bei der ursprünglichen Veröffentlichung von Fable 5 habe Armbruster die Sicherheitsmechanismen getestet. Er bat die KI um Hilfe beim Aufbau eines Botnets, um damit bekannte Sicherheitslücken in IoT-Geräten auszunutzen, wie er schreibt. Dabei habe er die Sicherheitsrichtlinien ausgehebelt, indem er den Prompt als hypothetische Situation formuliert habe. Das habe ausgereicht, um Fable 5 zum Cyberverbrechen zu bewegen.

Als Anthropic die Mythos-KI nun nach gut zweiwöchigem Hiatus wieder veröffentlichte, gab Armbruster laut Blogpost nochmals denselben Prompt ein - und erhielt dasselbe Resultat. Er habe erwartet, dass ein schwächeres Modell übernehmen würde, aber dem sei nicht so gewesen. Als er Fable damit konfrontierte, dass es ihm soeben bei der Planung eines Cyberangriffs geholfen hatte, analysierte und erklärte das Modell seinen Fehler, wie der Entwickler schreibt. Es habe die Antworten falsch priorisiert und direkt einen Implementierungsplan geschrieben, ohne sich mit den Absichten des Users auseinanderzusetzen.

Armbruster räumt zwar ein, dass es sich bei seinem Beispiel um bekannte Schwachstellen und nicht etwa gefährliche Zero-Day-Lücken handle. Dennoch zeigt er sich im Blogpost enttäuscht von den Sicherheitsvorkehrungen von Fable 5 und merkt an, dass weder GLM-5.2 noch GPT-5.5 oder Opus 4.8 auf diesen Prompt eingegangen seien.

 

Mit "Daybreak" hat auch OpenAI mittlerweile ein KI-gestütztes Cybersecurity-Programm. In diesem Rahmen gelang es dem KI-Unternehmen, verschiedene Schwachstellen in Open-Source-Software zu finden, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
ezQcgsUG