Als Reaktion auf Anthropics KI-System Mythos, das autonom Tausende Zero-Day-Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern entdeckte, ist nun unter Federführung des SANS Institute, dem weltweit größten Anbieter von Cybersicherheitsschulungen und -zertifizierungen, ein Positionspapier entstanden, das dabei helfen soll, dem rasanten Anstieg der Bedrohungen standzuhalten. Das Papier wurde an einem einzigen Wochenende von mehr als 60 namentlich genannten Mitwirkenden erstellt und von über 250 CISOs aus der gesamten globalen Cybersicherheits-Community geprüft.
Das Papier dokumentiert den enormen Anstieg der Geschwindigkeit, mit der Zero-Day-Schwachstellen gefunden werden und die gleichzeitig immer kürzer werdende Zeitspanne bis zu ersten Ausnutzung einer neu gefundenen Schwachstelle – von 2,3 Tagen 2019 auf unter einem Tag in diesem Jahr. Allein im Februar fand Anthropics Claude Opus 4.6 – ein Vorläufer von Mythos – über 500 Schwachstellen mit hohem Schweregrad in gebräuchlicher Open-Source-Software. Die Zahl der Schwachstellenmeldungen bei den Entwicklern des Linux-Kernels stieg von zwei auf zehn pro Woche.
Das jetzt vorliegende Briefing umfasst ein 13-Punkte-Risikoregister, das vier Branchen-Frameworks zugeordnet ist (OWASP LLM Top 10 2025, OWASP Agentic Top 10 2026, MITRE ATLAS und NIST CSF 2.0), eine Tabelle mit 11 Sofortmaßnahmen und straffen Zeitplänen, 10 diagnostische Fragen für CISOs zur Bewertung ihres aktuellen Sicherheitsprogramms sowie einen Abschnitt mit einer Zusammenfassung für Vorstände.
Zu den wichtigsten Erkenntnissen, die die Veröffentlichung vermittelt, gehört, dass KI-gestützte Tools Schwachstellen in einem Tempo finden, das die Patch-Zyklen der Unternehmen übersteigt. Anzahl und Geschwindigkeit der Schwachstellenfunde werden noch weiter zunehmen. Auch die Verteidiger müssen sich der KI bedienen, wollen sie nicht technologisch ins Hintertreffen geraten.
Als langfristigste Maßnahme wird die Einrichtung einer permanenten Vulnerability Operations (VulnOps)-Funktion innerhalb von 12 Monaten vorgeschlagen, die personell besetzt und automatisiert ist, um eine kontinuierliche KI-gesteuerte Erkennung im gesamten Softwarebestand zu ermöglichen. “Angreifer agieren bereits in Gruppierungen, nutzen Crowdsourcing, teilen Tools und handeln als Kollektiv. Verteidiger müssen dasselbe tun”, sagt Gadi Evron, CEO von Knostic und CISO-in-Residence für KI bei der Cloud Security Alliance sowie Hauptautor des Briefings.





