Mozilla schließt 271 Firefox-Lücken mit Claude Mythos – was das für die Cybersecurity von IT-Dienstleistern bedeutet

Claude Mythos findet 271 Schwachstellen in Firefox. Was das für die Cybersecurity bedeutet.
April 23, 2026

271 Schwachstellen. In einem Durchlauf.

Das ist die Zahl, die gerade durch die Security-Community geht. Und sie stammt nicht aus einem Hackerforum, sondern aus dem offiziellen Mozilla-Blog.

Am 21. April 2026 hat Bobby Holley, CTO bei Mozilla, in einem Beitrag mit dem Titel „The zero-days are numbered“ öffentlich gemacht, was in den letzten Wochen intern passiert ist: Anthropics neues Spitzenmodell Claude Mythos Preview hat in einer einzigen Analyse-Runde 271 Sicherheitslücken im Firefox-Code identifiziert. Alle wurden mit Firefox 150 geschlossen.

Das ist keine Routine-News. Das ist ein Signal.

Was genau passiert ist

Mozilla arbeitet seit Februar 2026 mit Anthropic zusammen, um den Firefox-Code mit KI-Modellen auf Schwachstellen zu durchleuchten. Der erste Durchgang lief mit Claude Opus 4.6 über rund 6.000 C++-Dateien. Ergebnis: 22 sicherheitsrelevante Bugs, die in Firefox 148 gepatcht wurden – 14 davon mit hoher Kritikalität.

Dann kam Claude Mythos Preview ins Spiel. Das Modell ist Teil von Anthropics Programm „Project Glasswing“ – eine eingeschränkte Freigabe an wenige Organisationen, die damit ihre eigene Software härten sollen, bevor die Fähigkeiten breiter verfügbar werden. Mozilla gehört zu diesen ausgewählten Partnern.

Das Resultat: 271 Schwachstellen, rund das Zwölffache des ersten Durchgangs. Nur drei davon haben eine öffentliche CVE-Nummer bekommen – der Rest sind Defense-in-Depth-Issues, Hardening-Fehler oder Bugs in Codepfaden ohne direkte Ausnutzbarkeit. Trotzdem: Jeder einzelne davon wäre im Jahr 2025 nach Mozillas eigenen Worten „red-alert“ gewesen.

271 Sicherheitslücken Firefox 150
Infografik mit KI generiert

Mozillas Kernbotschaft: kein Wunder, aber ein Tempowechsel

Wer jetzt hofft oder fürchtet, dass KI eine ganz neue Klasse von Sicherheitslücken aufdeckt, die bisher kein Mensch finden konnte, wird von Mozilla enttäuscht. Wörtlich heißt es im Blog: Das Modell findet nichts, was ein Elite-Security-Researcher mit genug Zeit und Ressourcen nicht auch finden könnte.

Der Unterschied liegt woanders. Er liegt im Tempo und in der Skalierung.

Genau das macht den Vorgang strategisch relevant. Holley zieht daraus eine steile Schlussfolgerung:

„Defenders finally have a chance to win, decisively.“ – Bobby Holley, CTO Mozilla

Übersetzt: Zum ersten Mal seit Jahrzehnten sieht ein CTO eines der wichtigsten Open-Source-Projekte der Welt die Verteidiger im Vorteil. Bisher galt das Gegenteil – die Angreifer brauchten eine Lücke, die Verteidiger mussten alle schließen. Wenn Verteidiger jetzt 271 Lücken in einem Durchgang finden, verschiebt sich diese Logik.

Angreifer vs Verteidiger
Infografik mit KI generiert

Was das für IT-Dienstleister bedeutet

Für dich als IT-Dienstleister oder Systemhaus sind drei Punkte aus dieser Meldung relevant – und keiner davon ist Marketing.

Erstens: Die Werkzeuge zur Code-Analyse skalieren gerade massiv. Was vor einem Jahr noch ein Auftrag für ein spezialisiertes Security-Team war, läuft heute teilweise automatisiert. Wenn du Kunden mit eigener Softwareentwicklung betreust, wird die Frage „Wann war euer letztes Code-Audit?“ in den nächsten Monaten eine andere Antwort verlangen als bisher.

Zweitens: Dual Use. Mythos existiert nicht, weil Anthropic nur Verteidiger helfen will. Das UK AI Security Institute hat bestätigt, dass dasselbe Modell auch autonome, mehrstufige Netzwerkangriffe ausführen kann. Der Vorsprung der Verteidiger hält nur so lange, wie die Werkzeuge in den richtigen Händen bleiben. Genau diese Ambivalenz haben wir schon beim Claude-Mythos-Datenleck diskutiert – die Verfügbarkeit der Offensiv-Seite ist nicht theoretisch.

Drittens: Patch-Management wird zum neuen Engpass. Wenn KI-Audits zur Regel werden, landen bei Herstellern und in euren Kundenumgebungen künftig deutlich mehr Patches pro Release-Zyklus. Die Frage verschiebt sich: Nicht mehr „Finden wir die Lücken?“, sondern „Schaffen wir es, sie alle zeitnah einzuspielen?“ Das betrifft auch Kunden, deren Angriffsfläche nicht der eigene Code ist, sondern die eingesetzte Software. Wer heute schon bei Deepfake-basiertem CEO-Fraud und KI-gestützten Angriffen hinterherhängt, wird mit einer wachsenden Patch-Welle nicht automatisch fertig.

Einordnung – was jetzt sinnvoll ist

Sinnvoll:

  • Patch-Management-Prozesse beim Kunden prüfen – Frequenz, Durchlaufzeit, Eskalationspfade
  • Kunden mit eigener Softwareentwicklung auf KI-gestützte Code-Audits ansprechen
  • Eigenes Security-Know-how realistisch einordnen – wo reicht Standard, wo braucht es Spezialisten

Nicht sinnvoll:

  • Panik schüren oder Mythos als Wunderwaffe verkaufen
  • So tun, als wäre nichts passiert – die Schlagzahl ändert sich gerade
„Die spannende Frage für IT-Dienstleister ist nicht, ob KI jetzt Sicherheitslücken findet. Die spannende Frage ist, ob eure Kunden in der Lage sind, mit der neuen Schlagzahl umzugehen – und ob ihr darauf vorbereitet seid, sie genau dabei zu beraten.“, so Ingo Lücker, Gründer der KI LEAGUE.

Es kommt nicht mehr darauf an, ob man gehackt wird oder wann, sondern wie oft. Mozilla hat gerade vorgemacht, was passiert, wenn Verteidiger endlich Werkzeuge bekommen, die mit dieser Realität Schritt halten.

Einladung zum nächsten KI LEAGUE Live Talk

Der Live Talk richtet sich bewusst an IT-Dienstleister und Systemhäuser, die KI einordnen wollen. Die Teilnahme ist kostenlos – der Austausch ausdrücklich erwünscht.

Einladung zur KI LEAGUE

Die KI LEAGUE ist der Ort für IT-Dienstleister, die KI nicht hypen, sondern verstehen wollen. Als Plattform für Einordnung, Austausch und kritische Diskussion – jenseits von Buzzwords und Produktversprechen.

Jetzt informieren und dabei sein

Quellen

  1. Mozilla: The zero-days are numbered (21.04.2026) – blog.mozilla.org
  2. Golem: Mozilla härtet Webbrowser: Claude Mythos findet 271 Sicherheitslücken in Firefox (22.04.2026) – golem.de
  3. SecurityWeek: Claude Mythos Finds 271 Firefox Vulnerabilities (22.04.2026) – securityweek.com
  4. The Next Web: Mozilla fixes 271 Firefox vulnerabilities found by Anthropic's Claude Mythos (22.04.2026) – thenextweb.com
  5. ComputerBase: Cybersicherheit: Claude Mythos behebt 271 Schwachstellen in Firefox (22.04.2026) – computerbase.de

Weitere Blogartikel anzeigen

alle anzeigen
60.000 Impressionen mit einem einzigen LinkedIn-Post: Warum KI-Content funktioniert – wenn du weißt, was du tust
Ein LinkedIn-Post, 60K Impressionen in drei Tagen. Warum KI-Content funktioniert.
Das erste One-Person-Unicorn ist da. Und es stinkt nach Deepfakes, Fake-Ärzten und einer FDA-Warnung.
401 Mio. Dollar Umsatz, 2 Mitarbeiter, null Governance. Was IT-Dienstleister aus dem Fall Medvi lernen.
2015: Menschen um dich herum. 2026: Nur noch du – und KI. Was macht das mit uns?
Ein viraler Post trifft einen Nerv. Was KI-Isolation für IT-Dienstleister bedeutet.
Made with love by ITleague.