Zum Inhalt springen
Guide

Claude Mythos hat über 500 Zero-Day-Angriffe gefunden: Automatisieren Sie Ihre Sicherheitskontrollen

| 8 min read

Anthropisch\

Abstract blue digital circuit pattern representing AI security analysis
Photo by Growtika on Unsplash

Am 7. April 2026 kündigte Anthropic die Vorschau von Claude Mythos an. Innerhalb weniger Tage wurden bei internen Tests über 500 gefunden Hochgradige Sicherheitslücken in einigen der am meisten untersuchten Codebasen der Welt: ein 16-jähriger Out-of-Bounds Schreiben in FFmpeg, ein 27 Jahre alter Denial-of-Service in OpenBSD und eine Remote-Codeausführung in FreeBSD, die ging seit 17 Jahren unentdeckt (CVE-2026-4747).

Sie haben keinen Zugriff auf Mythos. Anthropic beschränkte es auf Project Glasswing-Partner: AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike und eine Handvoll andere. Aber die Botschaft ist klar: Wenn die KI versteckte Fehler finden kann Obwohl die Codebasen millionenfach von Fuzzern getestet wurden, weist auch Ihre Infrastruktur Lücken auf.

In diesem Beitrag werden sechs Sicherheitsüberprüfungen behandelt, die Sie jetzt mit API-Aufrufen automatisieren können. Kein Mythos-Zugriff erforderlich. Jeder man nimmt eine Single curl Befehl und gibt strukturiertes JSON zurück, das Sie in Warnungen, Dashboards usw. weiterleiten können CI-Pipelines.

Was Mythos herausgefunden hat (und warum es für Ihren Stack wichtig ist)

Herkömmliche Fuzzer werfen zufällige Eingaben in den Code. Mythos liest und argumentiert über Quellcode wie eine Sicherheit Forscher. Es verfolgte den Git-Commit-Verlauf, identifizierte unvollständige Patches und konstruierte übergreifende Exploit-Ketten mehrere Schwachstellen.

Projekt Fehlertyp Alter Detail
FFmpeg H.264-Codec Schreiben außerhalb der Grenzen 16 Jahre Kollision der Slice-Nummerierung; Fuzzer haben die Linie 5 Millionen Mal erreicht, ohne sie auszulösen
OpenBSD TCP/SACK Dienstverweigerung 27 Jahre Vorzeichenbehafteter Ganzzahlüberlauf + NULL-Zeiger-Dereferenzierung; bringt jede Maschine aus der Ferne zum Absturz
FreeBSD NFS Remote-Codeausführung 17 Jahre CVE-2026-4747; Stapelpufferüberlauf in der RPCSEC_GSS-Authentifizierung, keine Authentifizierung erforderlich
GhostScript Umgehung von Stapelgrenzen Jahrzehnte Unvollständige Grenzenprüfung bei der Schriftartenverarbeitung; einen zuvor gepatchten Pfad gespiegelt
CGIF Pufferüberlauf Jahre Das Zurücksetzen des LZW-Wörterbuchs führt dazu, dass die Ausgabe die Eingabegröße überschreitet. 100 % Codeabdeckung hat es verfehlt

Die Kosten? Unter 20.000 $, um den OpenBSD-Fehler zu finden. Unter 10.000 US-Dollar für die FFmpeg-Schwachstellen. Das ist billiger als eine einzige Woche manueller Penetrationstests.

Sie können Mythos heute nicht mit Ihrem eigenen Code ausführen. Aber Sie können die Lücken schließen, die keine tiefe Binärdatei erfordern Analyse: abgelaufene Zertifikate, fehlende E-Mail-Authentifizierung, schwache Sicherheitsheader und stille Ausfallzeiten.

Prüfung 1: Ablauf des SSL-Zertifikats

Abgelaufene SSL-Zertifikate verursachen Ausfälle und zerstören das Vertrauen der Benutzer. Stripe, Microsoft und Spotify hatten es alle Vorfälle im Zusammenhang mit Zertifikaten. Ein einziger API-Aufruf sagt Ihnen, wie viele Tage Ihnen noch verbleiben. 

curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'
{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "issuer": "Let's Encrypt",
    "valid_from": "2026-02-01T00:00:00.000Z",
    "valid_to": "2026-05-02T00:00:00.000Z",
    "days_remaining": 23,
    "expired": false,
    "expiring_soon": true
  }
}

Der expiring_soon Flagge dreht sich um true wenn das Zertifikat innerhalb von 30 Tagen vorliegt Ablauf. Leiten Sie dies in eine Slack-Benachrichtigung oder eine CI-Prüfung weiter.

Prüfung 2: Validierung des SPF-Eintrags

Ein falsch konfigurierter SPF-Eintrag bedeutet, dass Angreifer E-Mails von Ihrer Domain fälschen können. Die Mythos-Ankündigung erinnerte daran Jeder weiß, dass Sicherheit über den Code hinausgeht: Auch Ihre DNS-Konfiguration ist eine Angriffsfläche. 

curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'
{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "has_spf": true,
    "record": "v=spf1 include:_spf.google.com ~all",
    "issues": [
      "SPF record uses ~all (softfail) instead of -all (hardfail)"
    ],
    "score": "B"
  }
}

Häufige Probleme, die der Endpunkt erkennt: ~all anstatt -all, zu viele DNS-Suchen (überschreitet das Limit von 10 Suchvorgängen) und fehlt include: Richtlinien für Drittversender.

Check 3: DMARC-Richtlinie

Ohne DMARC sind Ihre SPF- und DKIM-Prüfungen nicht durchsetzbar. Angreifer leiten gefälschte E-Mails an Posteingänge weiter Überprüfung überspringen. 

curl -s -X POST https://api.botoi.com/v1/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'

Suchen policy: "reject" in der Antwort. Alles andere (none oder quarantine) bedeutet, dass gefälschte E-Mails von Ihrer Domain weiterhin Posteingänge erreichen können.

Check 4: DKIM-Selektor

DKIM signiert ausgehende E-Mails mit einem kryptografischen Schlüssel. Ohne sie können empfangende Server den E-Mail-Inhalt nicht überprüfen wurde während des Transports nicht manipuliert. 

curl -s -X POST https://api.botoi.com/v1/dns-security/dkim-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com", "selector": "google"}'

Übergeben Sie den Selektor, den Ihr E-Mail-Anbieter verwendet (Google verwendet). google, Microsoft verwendet selector1 Und selector2). Der Endpunkt überprüft, ob der öffentliche Schlüssel vorhanden und korrekt ist formatiert.

Prüfung 5: HTTP-Sicherheitsheader

Fehlende Überschriften wie Strict-Transport-Security, X-Content-Type-Options, Und Content-Security-Policy Lassen Sie Ihre App anfällig für Downgrade-Angriffe, MIME-Sniffing und XSS. 

curl -s -X POST https://api.botoi.com/v1/headers \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

Die Antwort umfasst a security_headers Objekt, das anzeigt, welche Header vorhanden sind und welche fehlen. und welche Werte sie enthalten. Fügen Sie diese Prüfung zu Ihrer Bereitstellungspipeline hinzu, um Regressionen abzufangen.

Check 6: Betriebszeit und Reaktionszeit

Wenn Ihre Website nicht verfügbar ist, ist nichts anderes von Bedeutung. Eine schnelle Verfügbarkeitsprüfung bestätigt, dass Ihre App reagiert, misst die Latenz und und fängt Umleitungsschleifen oder unerwartete Statuscodes ab. 

curl -s -X POST https://api.botoi.com/v1/uptime/check \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

Kombinieren Sie alle sechs in einem Audit-Skript

Führen Sie alle sechs Prüfungen für jede beliebige Domäne mit einem einzigen Bash-Skript durch. Speichern Sie es unter audit.sh, mach es ausführbare Datei und übergeben Sie Ihre Domäne als Argument. 

#!/bin/bash
# Domain security audit using Botoi API
DOMAIN=\${1:-"your-app.com"}
API="https://api.botoi.com/v1"

echo "Security audit for \$DOMAIN"
echo "=========================="

# 1. SSL certificate
echo "\\n[SSL Certificate]"
SSL=\$(curl -s -X POST \$API/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SSL | jq '.data | {issuer, days_remaining, expired, expiring_soon}'

# 2. SPF record
echo "\\n[SPF Check]"
SPF=\$(curl -s -X POST \$API/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SPF | jq '.data | {has_spf, score, issues}'

# 3. DMARC record
echo "\\n[DMARC Check]"
DMARC=\$(curl -s -X POST \$API/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$DMARC | jq '.data | {has_dmarc, policy, score}'

# 4. HTTP security headers
echo "\\n[Security Headers]"
HEADERS=\$(curl -s -X POST \$API/headers \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$HEADERS | jq '.data.security_headers'

# 5. Uptime and response time
echo "\\n[Uptime Check]"
UPTIME=\$(curl -s -X POST \$API/uptime/check \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$UPTIME | jq '.data | {status_code, response_time_ms, is_up}'

echo "\\nAudit complete."

Node.js mit dem Botoi SDK

Wenn Sie TypeScript bevorzugen, ist die @botoi/sdk Das Paket führt alle Prüfungen parallel mit voller Typsicherheit durch. 

import Botoi from "@botoi/sdk";

const botoi = new Botoi(); // no key needed for free tier

async function auditDomain(domain: string) {
  const [ssl, spf, dmarc, headers] = await Promise.all([
    botoi.sslCert.expiry({ domain }),
    botoi.dnsSecurity.spfCheck({ domain }),
    botoi.dnsSecurity.dmarcCheck({ domain }),
    botoi.headers.check({ url: \`https://\${domain}\` }),
  ]);

  const issues: string[] = [];

  if (ssl.data.days_remaining < 30) {
    issues.push(\`SSL expires in \${ssl.data.days_remaining} days\`);
  }
  if (!spf.data.has_spf) {
    issues.push("Missing SPF record");
  }
  if (!dmarc.data.has_dmarc) {
    issues.push("Missing DMARC record");
  }
  if (spf.data.score !== "A") {
    issues.push(\`SPF score: \${spf.data.score} (issues: \${spf.data.issues.join(", ")})\`);
  }

  return { domain, issues, passed: issues.length === 0 };
}

const result = await auditDomain("your-app.com");
console.log(result);

Automatisieren Sie mit GitHub-Aktionen

Führen Sie diese Prüfungen bei jedem Push durch main und nach einem Wochenplan. Die Aktion schlägt beim Build fehl, wenn Das SSL-Zertifikat ist innerhalb von 14 Tagen abgelaufen oder der SPF-Score fällt unter A. 

name: Security Audit
on:
  schedule:
    - cron: '0 9 * * 1' # Every Monday at 9 AM
  push:
    branches: [main]

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - name: Check SSL expiry
        run: |
          RESULT=\$(curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          DAYS=\$(echo \$RESULT | jq '.data.days_remaining')
          if [ "\$DAYS" -lt 14 ]; then
            echo "::warning::SSL certificate expires in \$DAYS days"
            exit 1
          fi

      - name: Check DNS security
        run: |
          SPF=\$(curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          SCORE=\$(echo \$SPF | jq -r '.data.score')
          if [ "\$SCORE" != "A" ]; then
            echo "::warning::SPF score is \$SCORE, not A"
          fi

Was Mythos für Sicherheitsteams ändert

Mythos fand im gesamten OSS-Fuzz-Korpus 595 absturzverursachende Eingaben, verglichen mit etwa 150 in Opus 4.6. Es wurden 181 funktionierende Firefox-Exploits entwickelt, von denen Opus 4.6 2 verwaltete. Anthropic stellte 100 Millionen US-Dollar für die API bereit Kredite und 4 Millionen US-Dollar an Open-Source-Sicherheitsorganisationen über Project Glasswing.

Fazit: KI-gestützte Schwachstellenerkennung funktioniert. Der Umfang und die Geschwindigkeit werden nur zunehmen. Angreifer werden es tun Erhalten Sie Zugriff auf ähnliche Funktionen. Ihre Verteidigung kann sich nicht allein auf manuelle Prüfungen verlassen.

Die sechs Prüfungen in diesem Beitrag werden keinen 16 Jahre alten Pufferüberlauf in Ihren Abhängigkeiten finden. Aber sie fangen das Low-Hanging-Fehler, die echte Vorfälle verursachen: abgelaufene Zertifikate, fälschbare E-Mail-Domänen, fehlende Sicherheit Header und stille Ausfallzeiten. Automatisieren Sie sie noch heute. Repariere, was zurückkommt. Dann kümmern Sie sich um die tieferen Dinge.

FAQ

Was ist Claude Mythos und kann ich es verwenden?
Claude Mythos Preview ist Anthropics neuestes KI-Modell, das am 7. April 2026 angekündigt wurde. Es wurden über 500 Sicherheitslücken mit hohem Schweregrad in Open-Source-Projekten wie FFmpeg, OpenBSD und FreeBSD gefunden. Anthropic hat keine Pläne für eine öffentliche Veröffentlichung. Der Zugriff ist auf Project Glasswing-Partner beschränkt, darunter AWS, Apple, Google, Microsoft, Nvidia und CrowdStrike.
Welche Schwachstellen hat Claude Mythos gefunden?
Mythos hat Speicherbeschädigungsfehler, Pufferüberläufe, Stapelüberläufe und Logikfehler festgestellt. Bemerkenswerte Beispiele sind ein 16 Jahre alter Out-of-Bounds-Schreibvorgang im H.264-Codec von FFmpeg, ein 27 Jahre alter Denial-of-Service-Bug im OpenBSD-TCP-Stack und eine 17 Jahre alte Sicherheitslücke zur Remotecodeausführung in FreeBSD NFS (CVE-2026-4747).
Kann ich die SSL- und DNS-Sicherheit meiner Domain mit einer API überprüfen?
Ja. Senden Sie eine POST-Anfrage mit Ihrer Domain an https://api.botoi.com/v1/ssl-cert/expiry, um die Gültigkeit des Zertifikats zu überprüfen. Verwenden Sie /v1/dns-security/spf-check, /v1/dns-security/dmarc-check und /v1/dns-security/dkim-check, um E-Mail-Authentifizierungsdatensätze zu prüfen. Alle Endpunkte funktionieren ohne API-Schlüssel mit 5 Anfragen pro Minute.
Wie automatisiere ich Sicherheitsprüfungen in einer CI-Pipeline?
Rufen Sie die Sicherheitsendpunkte von jedem CI-System aus mit Curl oder einem HTTP-Client auf. Überprüfen Sie SSL-Ablauf, DNS-Sicherheitseinträge, HTTP-Sicherheitsheader und Site-Verfügbarkeit bei jedem Push oder nach einem Cron-Zeitplan. Die Botoi-API gibt strukturiertes JSON zurück, sodass Sie Ergebnisse analysieren und den Build fehlschlagen lassen können, wenn eine Prüfung eine Warnung zurückgibt.
Was ist Project Glasswing?
Project Glasswing ist die Initiative von Anthropic, Claude Mythos für die Verteidigungssicherheit einzusetzen. Zu den Partnern gehören AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, Cisco, Broadcom, JPMorganChase, Palo Alto Networks und die Linux Foundation. Anthropic stellte bis zu 100 Millionen US-Dollar an API-Gutschriften und 4 Millionen US-Dollar für Open-Source-Sicherheitsorganisationen bereit.

Starte mit botoi zu entwickeln

150+ API-Endpunkte für Abfragen, Textverarbeitung, Bildgenerierung und Entwickler-Tools. Kostenloser Tarif, keine Kreditkarte nötig.

API-Dokumentation ansehen Alle Tools ansehen