Du vertraust Anthropic mit der Zukunft der KI, weil sie die Arbeit geleistet haben. Sie sagten dem Pentagon nein. Sie veröffentlichen Sicherheitsforschung, bevor sie Produkte versenden. Ihre ganze Ursprungsgeschichte ist "wir haben OpenAI verlassen, weil sie nicht vorsichtig genug waren." Wenn ein Labor seine eigenen Geheimnisse mit der gleichen Paranoia bewachen würde, die es auf die KI-Ausrichtung anwendet — die Wissenschaft, KI-Systeme ehrlich zu halten — würdest du auf dieses wetten.

Außer, dass sich die KI-Sicherheitskultur und die grundlegende Betriebssicherheit als völlig unterschiedliche Muskeln herausstellten. Letzte Woche hat Anthropic bewiesen, dass sie nicht beides gleichzeitig flexibel darstellen können.

3,000 Dateien, Null Schlösser

Am 26. März enthüllten die Sicherheitsforscher Roy Paz (LayerX Security) und Alexandre Pauwels (Universität Cambridge), dass das CMS von Anthropic — ein Content-Management-System, im Wesentlichen die Software, die Blog-Entwürfe speichert und hochlädt — ungefähr 3.000 unveröffentlichte Assets in einem öffentlich durchsuchbaren Datenspeicher ohne benötigte Authentifizierung hielt. Blog-Entwürfe, Bilder, PDFs, sogar Dokumente zum Elternurlaub von Mitarbeitern. Das CMS stellte jede Hochladeoption standardmäßig auf "öffentlich", es sei denn, jemand stellte es manuell auf privat um. Die Art von Konfigurationsfehler, die man in der ersten Woche als Server-Manager zu vermeiden lernt.

In diesen Entwürfen vergraben: detaillierte Beschreibungen von Claude Mythos, intern unter dem Codenamen Capybara bekannt. Kein kleines Upgrade — Anthropics eigene unveröffentlichte Kopie nannte es "größer und intelligenter als unsere Opus-Modelle" und "derzeit weit voraus jedem anderen KI-Modell in Cyberfähigkeiten".

Die Entwürfe beschrieben, dass Mythos "wesentlich höhere" Punktzahlen als Claude Opus 4.6 in den Bereichen Programmierung, akademisches Denken und Cybersicherheits-Benchmarks erzielte — standardisierte Tests, die messen, wie gut ein Modell bestimmte Aufgaben ausführt. Noch ominöser warnte der Entwurf, dass Mythos "eine bevorstehende Welle von Modellen vorwegnimmt, die Schwachstellen in einer Weise ausnutzen können, die die Bemühungen von Verteidigern bei Weitem übertrifft." Anthropic bestätigte, dass das Modell existiert und nannte es einen "Schrittwechsel", der derzeit mit einer kleinen Gruppe von Early-Access-Kunden getestet wird.

Auch die Kostendetails sind aufschlussreich: ihre eigenen Entwürfe gaben zu, dass Mythos "sehr teuer für uns im Betrieb" sei. Also ist das gefährlichste Modell, das sie jemals gebaut haben, auch das, das sie kaum betreiben können.

Ein Journalist Hat Ihre Sicherheit Behoben

Fortune kontaktierte Anthropic am Donnerstag, den 26. März. Anthropic sperrte den Datenspeicher nach dem Anruf. Nicht vorher. Nicht weil ihr Monitoring es bemerkte. Weil ein Reporter es ihnen sagte.

Ein Sprecher von Anthropic nannte es "ein Problem mit einem unserer externen CMS-Tools" und betonte, dass das Material "frühe Entwürfe" seien, welche "nicht unsere Kerninfrastruktur, KI-Systeme, Kundendaten oder Sicherheitsarchitektur betreffen". Technisch wahr. Völlig am Punkt vorbei. Niemand machte sich Sorgen um Kundendaten. Sie machten sich Sorgen, dass das Unternehmen, das Modelle baut, die zu autonomen Cyberangriffen fähig sind, einen Speichercontainer nicht sichern kann — ein Cloud Container, in dem Dateien leben.

Auch geleakt: Details eines nur auf Einladung stattfindenden zweitägigen Retreats für europäische CEOs in einem englischen Landsitz aus dem 18. Jahrhundert, mit Dario Amodei, der private Strategiebriefings anbietet. Das Sicherheitslabor trifft sich jetzt mit Geschäftskunden in Herrenhäusern.

Wall Street Behandelte Einen Entwurf Wie Eine Waffe

Am 27. März stürzten die Aktienkurse im Bereich Cybersicherheit ab. CrowdStrike fiel um 7%. Palo Alto Networks sank um 6-7%. Okta verlor 7%. Der iShares Cybersecurity ETF verlor 4,5%. SentinelOne und Fortinet gaben jeweils 3% nach.

Nicht weil Mythos ausgeliefert wurde. Nicht weil jemand gehackt wurde. Weil die Beschreibung eines ausreichend fähigen Modells jetzt ein Marktereignis ist. Investoren lasen Anthropics eigene Formulierung — "weit voraus jedem anderen KI-Modell in Cyberfähigkeiten" — und bewerteten die Möglichkeit, dass KI-gestützte Angriffe Premiumsum-Produkte der Cybersicherheit verwerten könnten. Das Modell muss nicht bereitgestellt werden, um Milliarden in der Marktkapitalisierung zu bewegen. Es muss nur glaubwürdig existieren.

Und jeder Konkurrent — OpenAI, Google, xAI — weiß jetzt genau, was Anthropic baut, ungefähr wo es in Benchmarks steht und ungefähr wann es ausgeliefert wird. Das ist Wettbewerbsvorteil, für den Unternehmen Millionen zahlen, ohne Kosten durch eine unkontrollierte Standardeinstellung herausgegeben.

Ops-Disziplin Übertrifft Manifeste

Das Sicherheitsmanifest deines KI-Anbieters bedeutet nichts, wenn ihr Content-Team ein Speichereimer falsch konfigurieren und die gesamte Produkt-Roadmap leaken kann. Anthropic veröffentlicht einige der besten Alignement-Forschung in der Branche. Sie ließen auch ihr Kronjuwel in einem öffentlichen Verzeichnis zurück, weil jemand ein Kontrollkästchen nicht umgestellt hat.

Beurteile Unternehmen nach ihrer operativen Disziplin, nicht nach ihren Blogposts. In diesem Fall waren die Blogposts das Problem.

Anthropic muss jetzt Mythos veröffentlichen mit jedem Benchmark vorweggenommen, die Cybersicherheitsbranche bereit für den Aufprall und der dauerhaften Ironie, das Sicherheitsunternehmen zu sein, das ein CMS nicht sichern konnte. Sie haben das fähigste Modell gebaut, das sie jemals gemacht haben. Dann zeigten sie, dass das größte Risiko nicht das Modell war — sondern die Menschen um es herum.