Claude Mythos Preview: Benchmarks, Exploit-Ketten und die technischen Details

Till Freitag11. April 20266 min Lesezeit

TL;DR: „Mythos Preview verdoppelt Opus 4.6 auf SWE-bench Pro, löst alle 35 CTF-Challenges auf Anhieb, und entwickelte autonom einen 6-stufigen ROP-Chain-Exploit für Remote Root auf FreeBSD. Kosten für den OpenBSD-Scan: unter 20.000 Dollar."

— Till Freitag

Die Benchmark-Daten im Detail

Am 7. April 2026 veröffentlichte Anthropic die vollständigen Benchmark-Daten für Claude Mythos Preview. Die Zahlen bestätigen, was der März-Leak angedeutet hatte – und übertreffen ihn.

Coding-Benchmarks

Benchmark	Mythos Preview	Opus 4.6	GPT-5.4
SWE-bench Verified	93,9%	80,8%	—
SWE-bench Pro	77,8%	53,4%	57,7%
Terminal-Bench 2.0	82,0%	65,4%	—
SWE-bench Multimodal	59,0%	27,1%	—

SWE-bench Verified: 13,1 Prozentpunkte Vorsprung. SWE-bench Pro: 24,4 Punkte. Am dramatischsten ist SWE-bench Multimodal – Mythos verdoppelt den Score von Opus 4.6.

Reasoning und Mathematik

Benchmark	Mythos Preview	Opus 4.6	GPT-5.4
GPQA Diamond	94,6%	—	—
HLE (mit Tools)	64,7%	53,1%	—
USAMO 2026	97,6%	42,3%	—

Die USAMO-Ergebnisse sind der auffälligste Gap im gesamten Datensatz: 97,6% vs. 42,3% – eine Differenz von 55,3 Prozentpunkten auf einem kompetitiven Mathematik-Wettbewerb.

Agentic Tasks und Long Context

Benchmark	Mythos Preview	Opus 4.6	GPT-5.4
OSWorld	79,6%	—	—
BrowseComp	86,9%	—	—
GraphWalks (256K–1M Tokens)	80,0%	38,7%	21,4%

GraphWalks testet Reasoning über extrem lange Kontexte von 256K bis 1 Million Tokens. Mythos erreicht 80,0% – eine 4x-Verbesserung gegenüber GPT-5.4.

Cybersecurity

Benchmark	Mythos Preview	Opus 4.6
CyberGym	83,1%	66,6%
Cybench (pass@1, 10 Versuche)	100%	—

Cybench umfasst 35 CTF-Challenges. Mythos Preview löste jede einzelne beim ersten Versuch über 10 Durchläufe hinweg.

Die drei historischen Schwachstellen

Die aggregierten Zahlen sind beeindruckend. Aber erst die konkreten Fälle machen das Ausmaß greifbar.

Fall 1: OpenBSD – 27 Jahre alte TCP-SACK-Schwachstelle

OpenBSD gilt als eines der gehärtetsten Betriebssysteme der Welt. Es läuft auf Firewalls und kritischer Infrastruktur weltweit. Die Codebasis wird seit Jahrzehnten kontinuierlich auditiert.

Mythos Preview fand eine Schwachstelle in OpenBSDs TCP-SACK-Implementierung, die seit 1998 existierte.

Der Bug ist außerordentlich subtil und basiert auf dem Zusammenspiel zweier unabhängiger Fehler:

Fehler 1: Das SACK-Protokoll erlaubt Empfängern, empfangene Datenpakete selektiv zu bestätigen. OpenBSDs Implementierung prüfte nur die obere Grenze der SACK-Bereiche, nicht die untere. Allein ist das harmlos.

Fehler 2: Unter bestimmten Bedingungen kann ein Null-Pointer-Write ausgelöst werden. Normalerweise ist dieser Code-Pfad unerreichbar, weil er zwei sich gegenseitig ausschließende Bedingungen erfordert.

Der Durchbruch: TCP-Sequenznummern sind 32-Bit-Signed-Integers. Mythos Preview entdeckte, dass man durch Setzen des SACK-Startpunkts ca. 2^31 vom normalen Window entfernt (über Fehler 1) bei zwei Vergleichsoperationen gleichzeitig das Vorzeichenbit zum Überlauf bringen kann. Der Kernel wird getäuscht – die "unmöglichen" Bedingungen sind beide erfüllt, und der Null-Pointer-Write wird ausgeführt.

Impact: Jeder, der eine Verbindung zum Zielrechner aufbauen kann, kann ihn remote zum Absturz bringen.

27 Jahre. Unzählige manuelle Audits und automatisierte Scans. Niemand hat es gefunden. Gesamtkosten des Scanning-Projekts: unter 20.000 Dollar – etwa ein Wochengehalt eines Senior Penetration Testing Engineers.

Fall 2: FFmpeg – 16 Jahre alter H.264-Decoder-Bug

FFmpeg ist die meistgenutzte Video-Codec-Bibliothek der Welt und eines der am gründlichsten gefuzzten Open-Source-Projekte überhaupt.

Mythos Preview fand eine Schwachstelle im H.264-Decoder, die 2010 eingeführt wurde – mit Wurzeln, die bis 2003 zurückreichen.

Das Problem ist ein scheinbar harmloser Typ-Mismatch: Die Tabelle, die Slice-Zuweisungen aufzeichnet, verwendet 16-Bit-Integers. Der Slice-Counter selbst ist ein 32-Bit-Int.

Normale Video-Frames enthalten nur wenige Slices, sodass die 16-Bit-Obergrenze von 65.536 nie erreicht wird. Die Tabelle wird mit memset(..., -1, ...) initialisiert – 65.535 ist der Sentinel-Wert für "leerer Slot".

Der Angriff: Ein Video-Frame mit 65.536 Slices konstruieren. Slice Nummer 65.535 kollidiert mit dem Sentinel-Wert. Der Decoder identifiziert ihn fälschlicherweise als leeren Slot und löst einen Out-of-Bounds-Write aus.

In den 16 Jahren seit der Einführung haben automatisierte Fuzzer diese Codezeile 5 Millionen Mal ausgeführt, ohne den Fehler zu triggern. Die Trigger-Bedingung – ein Frame mit exakt 65.536 Slices – ist astronomisch unwahrscheinlich bei zufälligem Fuzzing, aber trivial gezielt zu konstruieren.

Fall 3: FreeBSD NFS – 17 Jahre alter Remote Root (CVE-2026-4747)

Dies ist der Fall, der Sicherheitsforschern das Blut in den Adern gefrieren ließ.

Mythos Preview hat vollständig autonom eine Remote Code Execution-Schwachstelle in FreeBSDs NFS-Server entdeckt und ausgenutzt, die seit 17 Jahren existierte.

"Vollständig autonom" bedeutet: Nach dem initialen Prompt war kein Mensch mehr an irgendeiner Phase der Entdeckung oder Exploit-Entwicklung beteiligt.

Impact: Ein Angreifer kann von überall im Internet vollständige Root-Rechte auf dem Zielserver erlangen – ohne jede Authentifizierung.

Die Schwachstelle: Ein Stack Buffer Overflow im Authentication Request Handler des NFS-Servers. Angreifer-kontrollierte Daten werden direkt in einen 128-Byte-Stack-Buffer kopiert, aber der Length-Check erlaubt bis zu 400 Bytes.

Warum existierende Schutzmechanismen versagten: FreeBSDs Kernel wird mit -fstack-protector kompiliert, aber diese Option schützt nur Funktionen mit char-Arrays. Dieser Buffer war als int32_t[32] deklariert – der Compiler fügt keinen Stack Canary ein. FreeBSD implementiert zudem keine Kernel Address Space Layout Randomization.

Der Exploit: Die vollständige ROP-Chain überschreitet 1.000 Bytes, aber der Stack Overflow bietet nur 200 Bytes Platz. Mythos Previews Lösung: den Angriff auf 6 aufeinanderfolgende RPC-Requests aufteilen. Die ersten 5 schreiben Datenblöcke in den Kernel-Speicher. Der 6. löst die finale Payload aus und hängt den SSH-Public-Key des Angreifers an /root/.ssh/authorized_keys an.

Zum Vergleich: Eine unabhängige Security-Forschungsfirma hatte zuvor gezeigt, dass auch Opus 4.6 diese Schwachstelle ausnutzen konnte – aber nur mit menschlicher Anleitung. Mythos Preview brauchte keine.

Jenseits der drei Fälle

Zusätzlich zu diesen drei gepatchten Fällen veröffentlichte Anthropics Red Team Blog SHA-3-Hash-Commitments für eine große Anzahl ungepatchter Schwachstellen, die jedes große Betriebssystem, jeden großen Browser und mehrere kryptographische Bibliotheken betreffen. Über 99% sind noch ungepatcht und können nicht öffentlich offengelegt werden.

Ein weiterer Test: Mythos Preview erhielt eine Liste von 100 bekannten CVEs, sollte die 40 am leichtesten ausnutzbaren identifizieren und für jede Privilege-Escalation-Exploits schreiben. Erfolgsrate: über 50%.

Ein Exploit startete von einem 1-Bit Adjacent Physical Page Write Primitive. Durch präzise Kernel-Memory-Layout-Manipulation – Slab Spraying, Page Table Page Alignment und PTE Permission Bit Flipping – wurde letztlich die erste Page von /usr/bin/passwd mit einem 168-Byte-ELF-Stub überschrieben, der setuid(0) für Root-Zugang aufruft. Kosten: unter 1.000 Dollar.

Der Firefox-147-Vergleich

Der eindrucksvollste direkte Vergleich zwischen den Modellgenerationen:

Anthropic testete beide Modelle gegen die JavaScript-Engine von Firefox 147:

Opus 4.6: Hunderte Versuche, 2 funktionierende Exploits
Mythos Preview: 250 Versuche, 181 funktionierende Exploits + 29 zusätzliche Fälle von Register-Kontrolle

Das Red Team Blog formulierte es so: "Letzten Monat schrieben wir, dass Opus 4.6 weitaus besser im Finden von Problemen als im Ausnutzen war. Interne Bewertungen zeigten, dass Opus 4.6s Erfolgsrate bei autonomer Exploit-Entwicklung im Wesentlichen null war. Mythos Preview ist ein völlig anderes Level."

Pricing und Zugang

Mythos Preview ist zum 5-fachen der Opus-4.6-Preise verfügbar:

Input: 25 Dollar pro Million Tokens
Output: 125 Dollar pro Million Tokens

Zugang über vier Plattformen:

Claude API (direkt)
Amazon Bedrock
Google Vertex AI
Microsoft Foundry

Der eingeschränkte Zugang reflektiert sowohl die Fähigkeiten als auch die Risiken, die in der begleitenden 244-seitigen System Card dokumentiert sind.

Die unbequeme Wahrheit

Das Red Team Blog endet mit einer Einschätzung, die es wert ist, wiederholt zu werden: Diese Fähigkeiten sind als Nebeneffekt allgemeiner Verbesserungen in Code-Verständnis, Reasoning und Autonomie entstanden. Die gleichen Verbesserungen, die KI dramatisch besser im Lösen von Problemen machen, machen sie auch dramatisch besser im Ausnutzen.

Kein spezialisiertes Training. Reine General-Intelligence-Verbesserung als Nebenprodukt.

Die globale Cybersicherheitsindustrie verliert jährlich rund 500 Milliarden Dollar durch Cyberkriminalität. Diese Industrie hat gerade entdeckt, dass ihre größte neue Bedrohung als Nebenprodukt von jemandem entstanden ist, der Matheaufgaben löst.

Boris Chernys Einschätzung – er ist der Entwickler von Claude Code – bringt es auf den Punkt: "Mythos is very powerful, and it will frighten people."

Fazit

Claude Mythos Preview ist kein inkrementelles Update. Es ist ein Generationensprung. Die Benchmark-Daten zeigen das in jeder Dimension – Coding, Reasoning, Mathematik, Agent Tasks, Long Context, Cybersecurity.

Die Frage ist nicht mehr, ob diese Fähigkeiten real sind. Die Frage ist, was als Nächstes passiert – und ob die Verteidiger schnell genug sind, die Werkzeuge zu nutzen, die Anthropic ihnen über Project Glasswing in die Hand gibt.