Start/Stimmung/Debatte/Martin Alderson: Mythos bricht den impliziten Sicherheits-Deal des Internets
11. April 2026

Martin Alderson: Mythos bricht den impliziten Sicherheits-Deal des Internets

Martin Alderson, Mitgründer von catchmetrics.io und in der Security-Community seit Jahren mit nüchternen, infrastrukturnahen Analysen präsent, hat am 10. April einen Blog-Post veröffentlicht, der die Anthropic-Mythos-Debatte aus dem Register der Notfall-Meetings und Regulierungsthesen herausnimmt und auf die eigentliche Strukturfrage zuspitzt: Was genau ist das Sicherheits-Modell, das bis heute traegt -- und was bleibt davon uebrig, wenn ein Modell wie Mythos in 72,4 Prozent der Versuche einen funktionierenden Exploit gegen die SpiderMonkey-Shell von Firefox produziert, nach unter einem Prozent bei Opus 4.6? Aldersons Post ordnet sich damit in die Linie der Wired- und BSI-Analysen ein (siehe den Hauptartikel zum Mythos-Launch und die System-Card-Auswertung), geht aber an einer entscheidenden Stelle weiter.

Das stillschweigende Abkommen

Aldersons Ausgangspunkt ist unspektakulär, gerade deshalb wirkt er. Seit rund zwanzig Jahren laufe das Internet auf einem einfachen Deal: Man klickt einen Link, beliebiger fremder Code laeuft auf dem eigenen Geraet, und ein Stapel Sandboxes verhindert, dass dieser Code Schaden anrichtet. Die JavaScript-Engine sitzt in einer eigenen Sandbox, der Browser selbst in einer weiteren, iOS oder Android legen eine App-Sandbox darüber -- wer diesen Text auf einem modernen Smartphone liest, hat mindestens drei ineinander geschachtelte Isolationsschichten zwischen dem gelesenen HTML und dem Betriebssystemkern. Das gleiche Prinzip traegt die Cloud: AWS schneidet physische Hardware in virtuelle Slices und verkauft sie an unterschiedliche Kunden, in der begründeten Annahme, dass die Virtualisierungsgrenze hält.

Das ist der Deal. Er ist nie irgendwo unterschrieben worden, aber die gesamte ökonomische Architektur des Internets hängt an ihm. Werbenetzwerke laden Banner in isolierten iFrames aus, weil die Annahme "Sandbox hält" erlaubt, jeden Tag Milliarden nicht auditierter Creatives an zufaellige Geräte auszuliefern. Multi-Tenant-Cloud funktioniert, weil die Virtualisierungsgrenze hält. Der Browser selbst existiert als universeller Untrusted-Code-Ausführer, weil die Sandbox hält. Alderson bringt die Pointe auf einen Satz: Um ein Geraet wirklich zu kompromittieren, müsse ein Angreifer heute mehrere unabhängige Lücken in verschiedenen Schichten gleichzeitig verketten -- und genau solche Exploit-Chains erzielen auf dem grauen Markt Millionenpreise, weil sie selten sind. Die Seltenheit ist das Gleichgewicht.

Was Mythos verändert

In diese Beschreibung setzt Alderson die zentrale Zahl aus dem Mythos-Red-Team-Report: 72,4 Prozent erfolgreiche Exploit-Generierung gegen Firefoxs SpiderMonkey-JS-Shell, gegenüber unter einem Prozent bei Opus 4.6 wenige Monate zuvor. Er relativiert ehrlich: Es handelt sich um die innerste Sandbox-Schicht, nicht um die komplette Browser-Chain, und es ist Anthropics eigener Benchmark, nicht der eines unabhängigen Teams. Seine These funktioniert trotzdem, weil sie nicht auf dem absoluten Wert beruht, sondern auf der Steigung. Von "praktisch nie" zu "in drei von vier Versuchen" innerhalb einer Modellgeneration und auf einem realen Ziel statt einer Toy-CTF -- das ist der Punkt, an dem die Statistik selbst zum Argument wird.

Der zweite Schritt seiner Argumentation ist wichtiger und für die Debatte relativ neu. Alderson weist darauf hin, dass Mythos vermutlich ein sehr großes Modell ist, in der Größenordnung des seinerzeit kurzlebigen GPT-4.5, und dass Anthropic gerade deshalb so wenig Kapazität zum breiten Rollout hat -- er verweist dabei auf Ben Thompsons Stratechery-Analyse und darauf, dass Anthropic aktuell das am stärksten compute-limitierte der großen Labs sein dürfte. Aber, so Alderson, das sei kein Trost, sondern ein Countdown. Er habe in den vergangenen Monaten viel mit dem offenen Gemma-4-Modell gearbeitet und sei überrascht, wie viel der Frontier-Fähigkeit bereits in Modellen steckt, die rund fünfzigmal kleiner seien. Daraus zieht er den Schluss, dass die Mythos-Fähigkeiten relativ zeitnah in kleineren, leichter ausrollbaren Modellen verfügbar sein werden -- und selbst wenn nicht, dann irgendwann auf neuer Hardware in großem Massstab. "Look to where the puck is going" ist die Metapher, mit der er das zusammenfasst. Der Zugriff auf die Zero-Day-Generierungsmaschine ist kein Privileg, das sich durch Geheimhaltung dauerhaft bei einem Lab konzentrieren lässt.

Die Konsequenz

An dieser Stelle wird der Post pessimistisch, und zwar ohne apokalyptisches Vokabular. Alderson nennt AWS us-east-1 als naheliegendes Beispiel. Wenn diese eine Region schon durch interne Fehler ausfällt, sei das regelmäßig weltweite Titelseitennachricht -- er verlinkt auf drei historische Postmortems. Er zieht daraus den Gedankengang, was passierte, wenn ein externer Angreifer die Kontrolle über die AWS-Control-Plane erlange: dann sei vermutlich nicht eine Region betroffen, sondern alle gleichzeitig, und die Wiederherstellung wäre ungleich schwieriger, weil ein bösartiger Akteur anders als interne Fehler aktiv gegen die Recovery arbeite. Der Post bleibt hier bewusst im Konjunktiv, formuliert das Szenario aber als naheliegende Implikation des gerade erst demonstrierten Fähigkeitssprungs.

Beim Geschäftsmodell des Werbe-Internets zieht Alderson den Bogen noch enger. Jedes Banner werde in einer eigenen Sandbox geladen, weil niemand ernsthaft die Millionen ausgelieferter Creatives auditieren könne. Faellt die Sandbox, reicht eine einzige bösartige Kampagne, um in Stunden Millionen Geräte zu übernehmen. Das ist kein hypothetisches Szenario, sondern eine strukturelle Anfälligkeit, die das Werbe-Internet seit jeher gegen sich selbst wettet.

Wo Alderson zustimmt und wo er widerspricht

Die Parallele zum Wired-Kommentar und zur BSI-Einordnung ist offensichtlich: Alle drei sagen, das Ereignis sei weniger eine Nachricht über Einzelbugs als eine über eine strukturelle Verschiebung. Alderson stimmt dem BSI-Satz implizit zu, dass klassische unbekannte Sicherheitslücken mittelfristig knapp werden -- aber er teilt die Zuversicht nicht, dass sich daraus automatisch ein neues Verteidigungsregime ergibt. Anthropic reagiert mit Project Glasswing, das ist aus seiner Sicht nachvollziehbar, aber strukturell nicht genug: Es ist die alte "Obscurity-is-not-Security"-Falle in neuer Form. Das Argument lautet, dass die Idee, ein handverlesener Kreis von Cybersecurity-Profis werde innerhalb eines begrenzten Zeitfensters "die meisten" kritischen Probleme in den zugangsberechtigten Projekten finden, empirisch unplausibel sei. Und selbst wenn sie es täte, bliebe eine lange Liste: Die Linux-Foundation sei dabei, aber die Millionen kleiner Open-Source-Projekte, auf die ein substantieller Teil der Welt schweigend vertraut, sind es nicht.

Der schaerfste Widerspruch gegen die offizielle Anthropic-Linie kommt in der Stelle, die Alderson den "Miles-Dyson-Moment" nennt -- in Anspielung auf die Terminator-2-Szene, in der Dyson den Skynet-Code in den Stahlschmelzofen senkt. Selbst wenn Anthropic Mythos physisch vernichtete, wuerde jemand anders ein vergleichbares RL-Modell nachziehen. Die Anreize seien zu hoch, das Gefangenendilemma greife. Das ist der Punkt, an dem Aldersons Analyse sich von der Rede vom "verantwortungsvollen Lab" löst. Verantwortung einzelner Akteure ist in diesem Bild nicht mehr das entscheidende Steuerrad, weil die Ausbreitungsdynamik nicht mehr an einzelnen Entscheidungen hängt.

Was Teams jetzt tun können

Der Post verschreibt kein Programm, aber aus dem Gedankengang folgen konkrete Konsequenzen für Teams, die heute handeln müssen, ohne auf politische Lösungen zu warten. Erstens: Defense-in-Depth neu justieren. Wenn die Wahrscheinlichkeit, dass eine einzelne Sandbox hält, sinkt, dann wird jede zusätzliche, orthogonal wirkende Isolationsschicht wichtiger -- Prozess-Sandboxes unterhalb der Sprach-Sandbox, Hypervisor-Segmentierung unterhalb des Betriebssystems, Hardware-gestützte Trennung wo verfügbar. Nicht "mehr Layer", sondern Layer, die wirklich unabhängige Bruchlinien haben.

Zweitens: Patch-Latenz als primäre Metrik behandeln. Das Zeitfenster zwischen Bekanntwerden einer Schwachstelle und Verfügbarkeit eines automatisierten Exploits schrumpft; die einzige kontrollierbare Größe in dieser Gleichung ist die Zeit bis zum Rollout eines Fixes. Auto-Update-Mechanismen, die bisher bei Enterprise-Fleet-Management oft aus politischen Gründen deaktiviert waren, werden zur Grundausstattung.

Drittens: Ad-Ketten und eingebetteten Drittanbieter-Code als Bedrohungsmodell ernst nehmen. Wer Banner-Ads auf Geräten ausspielt, auf denen sensible Daten liegen, sollte die Annahme "Sandbox hält" nicht mehr einpreisen.

Viertens: Die Lieferkette an kleinen Open-Source-Abhängigkeiten nicht mehr als Restrisiko behandeln, sondern als das, was sie ist -- der große, nicht von Glasswing abgedeckte Teil der Angriffsoberflaeche. SBOMs und Reproducible Builds sind die Mindestgrundlage, um im Ernstfall schnell reagieren zu können.

Fünftens: Incident-Response-Pläne für Szenarien erweitern, in denen die Control Plane selbst kompromittiert ist. Die Frage, wie man einen Cloud-Account wiederherstellt, wenn der Angreifer bereits auf Root-Ebene des Providers sitzt, ist bisher weitgehend akademisch gewesen. Alderson legt nahe, dass sie es nicht mehr sein sollte.

Quellen

Nach oben