Anthropic: KI-Sicherheitsmodell nur für die USA?

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Mythos oder Wirklichkeit? Europäische Sicherheitsbehörden haben offenbar kaum Zugang zu Anthropics geheimnisvollem „Claude Mythos“. Das KI-Modell zum Aufspüren von Sicherheitslücken wird von dem US-Unternehmen als so wirkungsvoll eingestuft, dass es zu gefährlich sei, es öffentlich verfügbar zu machen. Ob das wirklich so ist, können europäische Sicherheitsbehörden offenbar aber auch nur aus Medien und allenfalls aus Gesprächen mit Kollegen in den USA erfahren. Anthropic soll Europa nämlich beim begrenzten Zugang zum Modell bislang weitgehend außen vor gelassen haben, berichtet das Magazin Politico.

In den USA will Anthropic zwölf Technologieunternehmen, darunter Apple, Microsoft und Amazon, in den engsten Kreis aufgenommen haben, die ihre Software mit Mythos überprüfen dürfen. Auch sollen 40 weitere Organisationen Zugang erhalten haben, deren Namen Anthropic aber nicht bekanntgegeben hat. Und auch US-Regierungsstellen sollen involviert sein. Sie beriefen sofort ein Krisengespräch mit Chefs systemrelevanter Banken ein, um diese vor den Gefahren zu warnen.

Europa ist außen vor

Von acht befragten Cybersicherheitsbehörden in Europa hat laut Politico nur das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kontakt zu Anthropic. Dies bestätigte eine Sprecherin des BSI auf Anfrage von heise online: „BSI-Präsidentin Claudia Plattner hatte vor einigen Wochen die Gelegenheit, sich vor Ort in San Francisco mit Mitgliedern des Frontier Red Teams über Claude Mythos auszutauschen. Eine Testung des Tools ist dabei nicht erfolgt und derzeit auch nicht geplant - das BSI konnte jedoch im persönlichen Gespräch mit den Entwicklern einen Einblick in die Funktionsweise des Tools gewinnen.“

Einige EU-Behörden sollen ebenfalls teilweise Informationen erhalten haben. Einen direkten Zugang zum Modell erhielt laut der Recherche nur das AI Security Institute in Großbritannien, das auch erste Ergebnisse veröffentlichte.

Die Bevorzugung des Heimatmarktes durch Anthropic sorgt einmal mehr für Diskussionen darüber, ob es angesichts der Gefahren für die Volkswirtschaften privatwirtschaftlichen Unternehmen alleine überlassen bleiben darf, wen sie bei so einem kritischen Modell ins Vertrauen ziehen und wen nicht. Gegenüber Politico zeigten sich KI-Forscher und Politiker besorgt. Noch drängender werde die Frage angesichts der technologischen Fortschritte Chinas, sagen einige.

Keine rechtliche Handhabe

Eine rechtliche Handhabe haben die EU-Staaten bislang offenbar nicht. Der AI Act der EU und der Cyber Resilience Act greifen nur bei Modellen, die auf dem EU-Markt verfügbar sind. Genau dies hat Anthropic aber nicht gemacht – sind die EU-Behörden formal-rechtlich machtlos – die EU-Kommission hat jedoch inzwischen erklärt, sie beobachte die Sicherheitsauswirkungen aktiv und stehe mit Anthropic im Dialog (Bloomberg Law). Auch fehlt eine globale Instanz, die Entscheidungen privater KI-Unternehmen über hochriskante Modelle prüfen kann. Darüber wurde bereits diskutiert, als die Befürchtung aufkam, dass das Erreichen einer Allgemeinen Künstlichen Intelligenz erhebliche Gefahren mit sich bringen könnte.

Beim BSI zeigt man sich überzeugt, dass die aktuellen KI-Entwicklungen spürbare Auswirkungen haben werden: „Stand heute haben mehrere große Top-Modelle starke Fähigkeiten im Finden von Schwachstellen – was auch dazu führt, dass auf Angreiferseite immer geringere Ressourcen und Kenntnisse benötigt werden. Konsequent zu Ende gedacht könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“ Daraus wiederum ergäben sich Fragen nationaler wie europäischer Sicherheit und Souveränität. Das BSI stehe dazu im engen Austausch sowohl mit der Bundesregierung als auch mit seinen europäischen Partnerbehörden.

(mki)