Position von Sven Herpig : Er ordnet die Banken-Warnung zurückhaltend ein — man wisse noch nicht, um welche Schwachstellen es gehe, wie problematisch sie seien und ob sie über das Internet ausnutzbar sind. Zugleich verweist er darauf, dass Anthropic mit Mythos auch viel Presse machen wolle. Es seien aber vermutlich reale, zu behebende Schwachstellen; da Banken hohe IT-Sicherheitsstandards einhalten müssten, sollten sich Privatanwender weniger Sorgen machen.
Das Neue an Modellen wie Mythos und dem OpenAI-Pendant sei, dass sie nicht nur viele jahrelang unentdeckte Schwachstellen finden, sondern zunehmend auch Exploits entwickeln — also Schwachstellen zu einem Angriffsweg zusammenbauen — und dass dies automatisiert geschieht. Dadurch sinke der Zeithorizont: Lücken werden schneller und in größerer Masse gefunden, und die Zeit zwischen der Veröffentlichung eines Patches und dem Nachbau eines Exploits durch Kriminelle oder Nachrichtendienste werde immer kürzer. Da ein veröffentlichter Patch zugleich die Grundlage liefert, die geschlossene Lücke per Reverse Engineering zu rekonstruieren, entstünden mehrere Engpässe: viele Schwachstellen, viele nötige Patches, die sehr zeitnah eingespielt werden müssten.
Herpig beschreibt eine kurze, zunächst positive Phase, in der die Modelle nur Hard- und Softwareherstellern zur Verfügung stehen, die Lücken schließen können. Problematisch werde es erst, wenn solche Modelle für alle verfügbar sind. Andere KI-Modelle konnten zwar bereits Schwachstellen finden, taten sich beim Exploit-Schreiben aber schwer; Mythos und das neue OpenAI-Modell seien darauf spezialisiert und deutlich effektiver. Für Privatpersonen, die nicht selbst programmieren, bleibe die wichtigste Aufgabe, Updates so schnell wie möglich einzuspielen; im Übrigen sei man darauf angewiesen, dass die genutzten Anbieter ihre Plattformen absichern. Eine verlässliche Möglichkeit, die Sicherheit einzelner Anbieter zu prüfen, gebe es kaum: Die CVE-Datenbank zeige zwar gemeldete Schwachstellen, sei aber schwer zu interpretieren, eine „IT-Sicherheitsampel" existiere nicht. Das deutsche IT-Sicherheitskennzeichen sei freiwillig und kaum genutzt, Zertifikate wie ISO 27001 nett, aber kein verlässlicher Beleg. IT-Produkte seien zudem schwächer reguliert als etwa Lebensmittel; Haftungsrichtlinie und Cyber Resilience Act auf EU-Ebene sollten daran etwas ändern.
Für Unternehmen hänge es davon ab, ob sie fremde Dienste einsetzen oder eigenen Code betreiben; im zweiten Fall müssten sie auf Zugang zu Modellen wie Mythos hoffen, was teuer sei — Anthropic habe für das Finden eines einzelnen Exploits Rechenkosten von 50.000 Dollar angegeben. Für kleinere Mittelständler mit vielen eigenen Anwendungen könne das schnell unwirtschaftlich werden; betroffene Entwickler und Open-Source-Projekte müssten hart priorisieren (Triage). Mittelfristig sieht Herpig ein „Jammertal" der IT-Sicherheit, in dem angesammelte Altlasten erst geschlossen werden müssen — wobei der Status quo ohnehin schlecht sei und Cyberkriminelle bereits jetzt viel Geld verdienten. Langfristig, über mehrere Jahre, hofft er, dass Software sicherer wird, weil sie vor der Veröffentlichung routinemäßig mit leistungsfähigen Modellen geprüft wird.
