Anthropic vs OpenAI: KI erfordert Neuausrichtung der Cybersicherheit

Während sich Anthropic und OpenAI gegenseitig mit Neuheiten zu den Fähigkeiten ihrer Tools bei der Erkennung von Sicherheitslücken und ihren damit einhergehenden Sicherheitsinitiativen Project Glasswing und Trusted Access for Cyber überbieten, stellt die Entwicklung Sicherheitsteams vor ganz andere Probleme als die Wahl des richtigen Anbieters.

Zwischen Anthropic und OpenAI ist ein offener Wettstreit darüber entbrannt, wessen KI sich besser dafür eignet, sicherheitsrelevante Schwachstellen in Software und Systemen aufzudecken. Zunächst hatte im Februar Open AI vorgelegt, die entsprechenden Spürnasen-Fähigkeiten seines Modells GPT 5.3 Codex hervorgehoben und die darauf aufbauende Initiative "Trusted Access for Cyber" vorgestellt, die über einen exklusiven Zugang sicherstellen soll, dass Entwickler ihre Software damit überprüfen können, bevor es Cyberkriminelle tun.

Richtig Fahrt nahm das Thema dann allerdings erst Anfang April auf, als Anthropic nachlegte und der Fachwelt die enorme Effizienz seines unveröffentlichten Modells Claude Mythos beim Ausloten von Sicherheitslücken vorführte. Selbstredend startete auch Anthropic mit "Project Glasswing" umgehend ein eigenes Exklusiv-Sicherheits-Programm samt cleverer Vermarktung und holte dafür auch direkt zahlreiche Branchen-Schwergewichte wie AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, Nvidia und Palo Alto Networks mit an Bord.

[Siehe auch: Anthropic Claude Mythos: Zwischen Supergau und Panikmache]

Vergangene Woche zog nun zunächst wieder OpenAI nach und kündigte die Weiterentwicklung GPT 5.4 Cyber an, die eine weitere Verbesserung der Schwachstellenerkennung verspricht. Flankiert wurde die Meldung mit Neuigkeiten zu Trusted Access for Cyber, inklusive des Name-Droppings von Unterstützern wie Cisco, CrowdStrike, Nvidia, Oracle und Zscaler. Am Donnerstag reagierte Anthropic mit der allgemeinen Veröffentlichung von Claude Opus 4.7, und betonte, dessen Cyber-Fähigkeiten seien ebenfalls sehr nützlich, wenn auch "nicht so fortgeschritten wie die des Mythos Preview".

KI-Tools erzwingen eine schnelle Umwälzung Patch-Managements

Sowohl aufgrund der damit erzielten großen Aufmerksamkeit als auch der enormen technologischen Fortschritte und ihrer Implikationen für IT-Landschaften ist das Thema inzwischen bei meisten CISOs und Sicherheitsteams angekommen. Für sie geht es dabei allerdings um völlig andere Fragen, als die Entscheidung, welchen der beiden Hersteller sie nun gerade einen Schritt vorne sehen und auf wessen KI-Pferd sie setzen sollen. "Das ist zumindest das, was ich aktuell von CISOs gespiegelt bekomme", erklärt Dan Lohrmann, der beim Lösungsanbieter Presidio selbst als Field-CISO für den öffentlichen Sektor tätig ist. Stattdessen konzentrieren sich die Sicherheitsteams zu Recht auf die deutlich relevanteren Aspekte, was die Ankündigungen für die Bedrohungslage akut und langfristig die eigene Sicherheitsstrategie bedeuten.

Die wohl wichtigste Frage ist dabei, was passiert, wenn trotz aller wohlgemeinter Initiativen bald auch die Angreifer Zugriff auf zumindest annähernd vergleichbare Fähigkeiten bei der Schwachstellenanalyse erhalten. Cleveren CISOs sei durchaus bewusst, "man kann nicht davon ausgehen, dass dies ein Geheimnis ist und auf irgendeine Weise auch eines bleibt", so Lohrmann. Tatsächlich ist es wohl nur eine Frage der Zeit, bis auch die Cyberkriminellen entsprechende KI-Tools mit ähnlichen Fähigkeiten wie sie die Modelle von Anthropic und OpenAI an den Tag legen, zur Verfügung haben. Zugleich ist die Entwicklung für Hersteller und Anwender gleichermaßen mit so schwerwiegenden Veränderungen hinsichtlich der Patch-Zyklen und -Strategien verbunden, dass Zeit zu einem extrem kritischen Faktor im Wettrennen zwischen Verteidigung und Angriff wird. Konkret bedeutet das für Unternehmen und Organisationen "sie müssen sofort handeln", mahnt Lohrmann.

Eine Erkenntnis, der auch viele andere Experten beipflichten. So betonte beispielsweise auch Trey Ford, Chief Strategy and Trust Officer bei der Crowd-Cybersicherheitsplattform Bugcrowd, vergangenen Woche in E-Mails und Kommentaren, dass es angesichts dieser kritischen Ausgangslage ganz andere und viel wichtigere Probleme und Herausforderungen als die Wahl eines Modells und dessen möglicher kleiner Vorteile gegenüber dem Mitbewerber gibt. "Das Nadelöhr war nie das KI-Modell", stellte er deutlich klar. Das weitaus größere Problem, so schrieb er, seien die massiven Mängel bei den von Menschen gesteuerten Prozessen, die erforderlich sind, um die bevorstehende Schwemme von durch KI entdeckten Fehlern tatsächlich zu bewältigen und beheben.

Zweifellos hat das Wettrennen zwischen den KI-Plattformen gewisse spannende Aspekte, die von den Anbietern auch gezielt für ihre Vermarktungsstrategien genutzt werden. Angesichts der beispiellosen Sicherheitsherausforderungen die damit einhergehend auf sie und ihre Unternehmen zukommen, sei der Hersteller-Wettstreit OpenAI gegen Anthropic allerdings in diesem Zusammenhang "nicht das Thema, das Sicherheitsexperten aktuell wirklich beschäftigt", so Ford.

Dieser Artikel entstand mit Material unserer geschätzten Kollegen von crn.com.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden