Wenn Mythos zu gefährlich ist, haben wir bald ein viel größeres Problem

Die weltweite Abschaltung von Anthropics Frontier-Modellen „Mythos“ und „Fable“ am 12.Juni 2026 zeigt die grundlegende Governance-Debatte. Was mit einem begrenzten Freigabeprogramm begann, endete mit einem behördlichen Abschaltbefehl, was darüber spekulieren lässt, ob Nutzungsverbote das richtige Instrument zur Bewältigung von KI-Risiken sind.
Wer in einer regulierten Branche arbeitet, kennt diesen Reflex nur zu gut: Etwas ist zu mächtig, also kontrollieren wir den Zugang. Und das zu Recht.
Doch dieser Präzedenzfall verdeutlicht, dass externe Zugangskontrollen allein kein verlässliches Fundament mehr bieten. Um kritische Kernsysteme zu schützen, muss die eigene technologische Handlungsfähigkeit gestärkt und Abwehrmechanismen müssen direkt in die eigenen Architekturen integriert werden.
Was ist Mythos 5 und warum wurde das Modell gesperrt?
Das von Anthropic entwickelte Frontier-Modell „Mythos” verfügt über Fähigkeiten, die noch vor Kurzem als reine Hypothese galten. Es findet eigenständig unbekannte Schwachstellen, schreibt funktionierende Exploits und führt komplexe Cyber-Operationen mit minimalem menschlichem Zutun aus. Genau diese Fähigkeit galt lange als zu gefährlich für eine offene Freigabe.
Zur Kontrolle dieser Risiken verfolgte Anthropic zunächst einen zweistufigen Ansatz:
- Project Glasswing: Der Zugang zu den ungefilterten Originalgewichten von Mythos blieb einem geschlossenen Kreis von rund 50 geprüften Industriepartnern vorbehalten.
- „Fable”: Für die breite Öffentlichkeit stellte Anthropic eine abgesicherte Variante bereit, die durch nachgelagerte Filter und Klassifikatoren daran gehindert werden sollte, in Hochrisikobereichen wie der Cybersicherheit aktiv zu werden.
Der Auslöser der globalen Abschaltung
In der Praxis hielt diese Sicherheitsarchitektur nur wenige Tage. Fable teilt die Architektur von Mythos, ergänzt aber Klassifikatoren, die Antworten in Hochrisikobereichen blockieren sollen. Sicherheitsforscher umgingen das Schutzkonzept mit einer einfachen Methode. Sie forderten Fable 5 auf, eine bestimmte Codebasis zu analysieren und darin enthaltene Schwachstellen zu beheben. Durch diese vermeintlich defensive Aufgabe aktivierte das Modell seine Offensivfähigkeiten und legte die Sicherheitslücken offen.
Als Reaktion darauf wies Handelsminister Howard Lutnick Anthropic-CEO Dario Amodei in einem Schreiben an, beide Modelle für jede ausländische Person zu sperren, unabhängig vom Aufenthaltsort und einschließlich im Ausland geborener Beschäftigter. Da eine selektive Umsetzung nicht praktikabel war, schaltete Anthropic beide Modelle weltweit ab.
Wo die klassische Regulierung an ihre Grenzen stößt
Die Sorge hinter der staatlichen Anordnung ist durchaus berechtigt. In der aktuellen Debatte steht die grundlegende Frage im Raum, ob hochentwickelte Frontier-Modelle außerhalb engmaschiger Kontrollen überhaupt bereitgestellt werden dürfen. Gerade bei Systemen, die in sensiblen Bereichen wie der Cybersicherheit oder bei biologisch relevanten Informationen ausgeprägte Stärken aufweisen, ist diese Vorsicht absolut nachvollziehbar. Die Debatte betrifft mit biologischen Waffen und großflächigen Cyber-Angriffen genau die beiden Risikofelder, in denen ein einziger Fehler irreversible Schäden verursachen kann. Wer diese Bedenken als Hysterie abtut, ignoriert die dramatische Eskalationsdynamik der technologischen Entwicklung der letzten zwei Jahre.
Der aktuelle Kontrollrahmen hat zumindest für einen Teil des Problems reale Wirkung. Bei großen Anbietern bestehen zentrale Kontrollpunkte. Das System setzt dabei auf die physische Greifbarkeit dieser Akteure.
Zentrale Kontrollpunkte: API-Zugriffe hinterlassen Spuren, sodass sich auffälliges Verhalten erkennen und sperren lässt. Ein Anbieter mit Sitz und Vorstand ist haftbar und regulatorisch greifbar. Genau hier liegt für IT-Entscheider:innen der vertraute Boden.
BIS-Rahmenwerk (Januar 2025): Das BIS-Rahmenwerk „Framework for AI Diffusion“ schuf eine eigene Kontrollklasse für Frontier-Modellgewichte. Die ECCN 4E091 erfasst geschlossene Gewichte, die mit mehr als 1026 Rechenoperationen trainiert wurden und macht deren Export aus den USA zwingend lizenzpflichtig.
Executive Order (2. Juni 2026): Die US-Regierung unterzeichnete die Anordnung „Promoting Advanced Artificial Intelligence Innovation and Security“. Sie bittet Entwickler:innen, ihre fortschrittlichsten Modelle 30 Tage vor der Veröffentlichung zur freiwilligen behördlichen Prüfung einzureichen.
Beides zusammen bildet ein kohärentes System: Über harte Exportkontrollen reguliert man die internationale Verbreitung der gefährlichsten Modelle, während man im Inland auf Kooperation setzt und die verantwortlichen Entwickler einbindet. Solange Spitzenfähigkeit und institutionelle Verantwortung am selben Ort sitzen, funktioniert dieses Modell.
Aber genau das macht die Debatte unvollständig wenn sie die technologische Realität der Dezentralisierung ignoriert.
Das Kontrolldefizit: Warum sich Modellgewichte nicht zurückholen lassen
Das Problem liegt in der Reichweite des Systems. Open-Source-Modelle hinken leistungstechnisch hinterher. Was heute nur bei einem Frontier-Modell möglich ist, kann in 6 bis 12 Monaten auch in quelloffenen Modellfamilien, in spezialisierten Fine-Tunes oder in lokal ausführbaren Varianten auftauchen. Der Abstand schrumpft. Die Kontrolllinie bleibt dabei um die Closed-Weight-Anbieter gezogen, während die Fähigkeit darunter durchsickert.
Ein Teil dieses Problems existiert bereits heute. Unzensierte Modelle laufen lokal, ohne zentrale API, ohne Anbieter-Monitoring und ohne wirksame Zugriffskontrolle. Kein Lizenzrahmen erreicht eine Datei auf einer privaten Festplatte. Die Eintrittshürde sinkt dadurch dramatisch. Anthropics eigener Einwand gegen die Anordnung ist dabei aufschlussreich. Das Unternehmen fügte sich, widersprach aber inhaltlich. Die behauptete Jailbreak-Schwachstelle sei trivial und ohnehin mit anderen, öffentlich verfügbaren Modellen wie GPT-5.5, reproduzierbar. Wenn sich das Verbot eines Modells durch ein zweites, frei verfügbares Modell umgehen lässt, adressiert das Verbot lediglich das Symptom und nicht die Ursache.
Die strukturelle Verschiebung der Governance
Gefährliches Wissen liegt nicht mehr nur in abgeschotteten Foren oder im Darknet. Lokal betriebene, unzensierte Modelle können es strukturieren und vereinfachen, sodass technische Vorkenntnisse kaum noch eine Rolle spielen.
Für die Governance-Logik regulierter Branchen stellt das eine strukturelle Verschiebung dar. Unsere Werkzeuge setzen einen Punkt voraus, dass es einen greifbaren Punkt gibt, beispielsweise einen Anbieter, einen Vertrag oder eine Schnittstelle. Dieser Punkt löst sich jedoch auf, sobald das Modellgewicht die kontrollierte Sphäre verlässt. Der entscheidende Unterschied liegt in der Umkehrbarkeit der Kontrolle:
- Einen API-Zugang kann man sperren.
- Ein Unternehmen kann man regulieren.
- Ein global kopiertes Modellgewicht kann man hingegen kaum wieder einfangen.
Diese dritte Zeile ist eine technische Eigenschaft. Schließt man einen Anbieter, bleibt das Produkt verschwunden. Verteilt man hingegen offene Gewichte einmal weltweit, existieren sie auf zehntausenden Rechnern fort. Es gibt keinen Rückruf für eine Datei, die bereits kopiert wurde.
Abliteration als dauerhafte Entfernung von Sicherheitsfiltern
Hinzu kommt, dass sich vorhandene Sicherheitsmechanismen nachträglich aus offenen Modellen herauslösen lassen. Abliteration ist eine Post-Training-Technik, die das Verweigerungsverhalten eines Sprachmodells dauerhaft entfernt, indem die Gewichte gegen die sogenannte „Refusal-Richtung“ im Aktivierungsraum orthogonalisiert werden. Das ist eine bleibende Änderung am Modell selbst, bei der die Fähigkeiten weitgehend erhalten bleiben. Die Vorabprüfung greift vor der Veröffentlichung. Die Abliteration greift danach.
Normalerweise würde ich ein solches Tool nicht namentlich nennen, aber bei rund 24.800 GitHub-Stars und etwa 2.660 Forks ist Heretic längst kein Geheimnis mehr. Das im September 2025 von Philipp Emanuel Weidmann veröffentlichte, quelloffene Werkzeug automatisiert genau diesen Eingriff. Heretic ist dabei nur das sichtbarste Exemplar einer ganzen Gattung: Über 1.000 abliterierte Varianten wurden bereits auf Hugging Face veröffentlicht, abgeleitet von Llama, Qwen, Mistral, Gemma und DeepSeek, oft binnen Stunden nach Release.
Ein geschlossenes Gewicht kann man unter Exportkontrolle stellen. Ein offenes Gewicht, das einmal global kopiert und verteilt wurde, lässt sich dagegen praktisch nicht zurückrufen. Die Regulierung adressiert damit präzise den Teil des Problems, der sich noch adressieren lässt, erreicht aber nicht den Teil, der sich der Adressierung gerade entzieht. Das ist keine Schwäche der einzelnen Maßnahme. Hier zeigt sich die strukturelle Schwäche jeder Verbotslogik, denn offene Gewichte lassen sich durch keine Exportklasse und keine Vorabprüfung zurückhalten.
Die Konsequenz für IT-Verantwortliche
Für Organisationen, die digitale Kernsysteme verantworten, verändert sich der Schutzauftrag erheblich. Die Strategie, den Zugriff auf gefährliche Modelle einfach zu sperren oder sich auf die Integrität von Cloud-Filtern zu verlassen, ist unzureichend. Starke offensive KI-Fähigkeiten sind dezentral verfügbar und lassen sich nicht verbieten.
Die Antwort darauf darf weder in Hysterie noch in technologischer Resignation liegen, sondern muss eine Neuausrichtung der Sicherheitsarchitektur umfassen. Für IT-Entscheider bedeutet dies den Übergang zu einem Zero-Trust-Modell für KI-Interaktionen.
- Annahme einer ständigen Bedrohung
Sicherheitsarchitekturen müssen davon ausgehen, dass potenzielle Angreifer bereits uneingeschränkten Zugriff auf optimierte, unzensierte Spitzenmodelle haben. - Fokus auf defensive Resilienz
Wenn Angreifer automatisierte Schwachstellensuche betreiben, müssen Verteidiger ihre eigenen Systeme ebenso automatisiert absichern, patchen und überwachen. - Regulatorische Compliance als Untergrenze
Frameworks wie DORA (Digital Operational Resilience Act) oder NIS2 fordern ohnehin robuste Betriebskonzepte, die auch unter extremen Bedingungen funktionsfähig bleiben. Compliance darf kein bürokratisches Abhaken sein, sondern muss als technologisches Fundament für echte Souveränität dienen.
Digitale Souveränität sichern
Insbesondere Unternehmen in regulierten Industrien sollten sich nicht von den Sicherheitsversprechen externer API-Anbieter abhängig machen. Der Fall „Mythos” hat gezeigt, wie schnell globale Lieferketten im Bereich der künstlichen Intelligenz durch geopolitische Entscheidungen unterbrochen werden können. Digitale Souveränität bedeutet deshalb, kontrollierbare und resilient betriebene KI-Infrastrukturen aufzubauen, die den strengen europäischen Anforderungen an Datenschutz und Auditfähigkeit genügen.
Wenn Mythos zu gefährlich ist, um offen betrieben zu werden, dann ist das Verbot nicht die eigentliche Botschaft. Vielmehr lautet die Erkenntnis, dass unzensierte KI-Fähigkeiten bereits dezentral im Umlauf sind. Anstatt auf wirkungslose Sperren zu hoffen, müssen Unternehmen ihre Kernsysteme von innen heraus gegen autonome Angriffe härten.
Kontakt
Sie suchen einen erfahrenen und zuverlässigen IT-Partner?
Wir bieten Ihnen individuelle Lösungen für Ihre Anliegen – von Beratung, über Entwicklung, Integration, bis hin zum Betrieb.

Quellen/ Referenzen
Mythos- und Fable-Release und die US-Exportkontrolle (12.–13. Juni 2026)
- Anthropic: Statement on the US government directive to suspend access to Fable 5 and Mythos 5
https://www.anthropic.com/news/fable-mythos-access
Abgerufen am 15.06.2026 - Fortune: Anthropic disables Fable and Mythos AI models after U.S. bars foreigner access
https://fortune.com/2026/06/13/anthropic-disables-fable-mythos-export-controls-national-security-threat/
Abgerufen am 15.06.2026 - Al Jazeera: US orders Anthropic to disable AI models for all foreign nationals
https://www.aljazeera.com/news/2026/6/13/us-orders-anthropic-to-disable-ai-models-for-all-foreign-nationals
Abgerufen am 15.06.2026 - Quartz: Anthropic disables Claude Fable 5 and Mythos 5 after U.S. export order
https://qz.com/anthropic-fable-5-mythos-5-export-control-directive-061226
Abgerufen am 15.06.2026 - Tom’s Hardware: US export-control order forces Anthropic to disable Claude Fable 5 and Mythos 5 worldwide
https://www.tomshardware.com/tech-industry/artificial-intelligence/us-export-control-order-forces-anthropic-to-disable-claude-fable-5-and-mythos-5-worldwide
Abgerufen am 15.06.2026 - Snyk: What the Fable 5 and Mythos 5 suspension means for security teams
https://snyk.io/blog/fable-mythos-suspension-security-takeaways/
Abgerufen am 15.06.2026
Mythos als Frontier-Modell und Project Glasswing
- Just Security: Too Dangerous to Deploy: Anthropic’s Mythos and What Comes Next
https://www.justsecurity.org/138011/too-dangerous-anthropic-mythos/
Abgerufen am 17.06.2026 - World Economic Forum: Anthropic’s Mythos moment: how frontier AI is redefining cybersecurity
https://www.weforum.org/stories/2026/04/anthropic-mythos-ai-cybersecurity/
Abgerufen am 17.06.2026 - CrowdStrike: Mythos Is a Wake-Up Call: Five Steps to Prepare for Frontier AI
https://www.crowdstrike.com/en-us/resources/crowdcasts/mythos-is-a-wakeup-call-five-steps-to-prepare-for-frontier-ai/
Abgerufen am 17.06.2026
Regulierung: AI-Diffusion-Framework und Executive Order
- Council on Foreign Relations: Assessing Trump’s Executive Order on AI Oversight
https://www.cfr.org/articles/assessing-trumps-executive-order-on-ai-oversight
Abgerufen am 17.06.2026 - Crowell & Moring: Executive Order Creates Voluntary Regulatory Regime of Frontier AI Models
https://www.crowell.com/en/insights/client-alerts/executive-order-creates-voluntary-regulatory-regime-of-frontier-ai-models
Abgerufen am 17.06.2026
Abliteration und Heretic
- GitHub: p-e-w/heretic: Fully automatic censorship removal for language models
https://github.com/p-e-w/heretic
Abgerufen am 19.06.2026 - Hugging Face / Maxime Labonne – Uncensor any LLM with abliteration
https://huggingface.co/blog/mlabonne/abliteration
Abgerufen am 19.06.2026
Sie sehen gerade einen Platzhalterinhalt von Hubspot Embedded Content. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen