Anthropic Mythos: So lief der Breach – die ganze Lieferketten-Kaskade

Am Samstag erschien der detaillierte Forensik-Report zum Mythos-Breach – publiziert in Tom's Hardware, Digital Trends und auf Schweizer Seite Netzwoche. Was vor zwei Wochen als «diskreter Zwischenfall» gemeldet wurde, entpuppt sich als Lieferketten-Kaskade aus mehreren kompromittierten Drittanbietern. Die Lehrstunde sitzt: Wer KI in den Stack baut, baut zwangsläufig das Ecosystem dazu – mit allen Risiken.

Die Kette der Kompromittierungen

1. Delve (Drittanbieter für KI-Trainingsdaten) wird gehackt – mit Fake-Credentials.
2. LiteLLM (LLM-Routing-Layer) wird mit den Delve-Credentials kompromittiert.
3. Mercor (KI-Trainingsfirma) wird via LiteLLM gehackt. Lapsus$ erbeutet 4 TB Daten.
4. Anthropic-Contractor: In den Daten findet sich eine Credential, die einem Anthropic-Vertragspartner gehört.
5. Mythos-Zugang: Eine Discord-Gruppe nutzt diese Credential plus URL-Pattern-Guessing, um auf das eigentlich abgeschottete Mythos-Modell zuzugreifen.

Anthropic bestätigt: keine Kern-Systeme betroffen. Aber: Mythos selbst war zugänglich – das Modell, das laut Anthropic Tausende Zero-Days findet, einen 27 Jahre alten OpenBSD-Bug entdeckte und Mozilla beim Patchen von 271 Firefox-Vulnerabilities half.

Warum das so brisant ist

Mythos ist von Anthropic selbst als zu gefährlich für die Öffentlichkeit eingestuft. Nach Anthropics eigenen Angaben sind 99 Prozent der von Mythos identifizierten Zero-Days weltweit ungepatcht. Wenn ein Hacker nur ein paar Stunden Zugang hat und gezielt nach Schwachstellen in einer ausgewählten Software-Familie fragt, ist der Schaden potenziell enorm.

Sam Altman nennt das Mythos-Marketing diese Woche «fear-based marketing». Die Realität ist gemischter: Anthropic hat tatsächlich überzogen kommuniziert – aber der Breach zeigt auch, dass Frontier-Sicherheit am Vendor-Risk-Management der KI-Trainingsfirmen scheitert, nicht am eigentlichen Modell.

Die Folgen für die Branche

• Mercor verliert Grosskunden – Meta pausiert Verträge.
• Microsoft hält trotz Breach an der SDL-Integration von Mythos fest.
• LiteLLM kommt unter Druck, sein Auth-Modell zu überarbeiten.

Lessons für Schweizer CISOs

Der Mythos-Breach ist die Vorlage, die jede Schweizer Sicherheitsabteilung diese Woche im Risk-Meeting durchgehen sollte. Drei Punkte:

1. Vendor-Risk-Inventar erstellen: Welche KI-Drittanbieter sehen überhaupt eure Daten? Wer hat Sub-Sub-Verarbeiter?
2. Credential-Hygiene: Rotation-Policies und automatisches Revocation bei Bekanntwerden eines Drittanbieter-Hacks sind keine Kür mehr.
3. URL-Hardening: Wer interne Endpoints betreibt, sollte sicherstellen, dass URL-Patterns nicht erratbar sind – trivial, aber bei Mythos genau der Knackpunkt.

Das NCSC dürfte die Lehren aus dem Breach in seinen nächsten KI-Sicherheits-Empfehlungen aufgreifen – wer bis dahin nicht aufgeräumt hat, hat 2027 ein anderes Problem.