Es ist eine der seltsamsten KI-Geschichten des Jahres – und die meisten Schlagzeilen erzählen nur die Hälfte. Anthropic, das Unternehmen hinter Claude, musste diese Woche sein stärkstes Modell vom Netz nehmen. Nicht freiwillig, sondern auf Anordnung der US-Regierung. Wer genauer hinschaut, entdeckt darin einen Denkfehler, der die gesamte Debatte über KI-Sicherheit prägt.
Was passiert ist
Anthropic hatte am 9. Juni „Fable 5″ veröffentlicht – die öffentlich zugängliche Variante seiner neuen Spitzenklasse, intern „Mythos“ genannt. Das Modell gilt als das leistungsfähigste, das die Firma je breit verfügbar gemacht hat. Drei Tage später, am 12. Juni, kam der Brief: Das US-Handelsministerium ordnete an, Fable 5 und Mythos 5 für sämtliche ausländischen Staatsbürger zu sperren. Auch für Ausländer innerhalb der USA. Und sogar für Anthropics eigene Mitarbeiter ohne US-Pass.
Eine Sperre nach Nationalität in Echtzeit? Technisch nicht sauber umsetzbar. Also schaltete Anthropic beide Modelle weltweit komplett ab – für alle. Andere Modelle wie Claude Opus 4.8 blieben online.
Der offizielle Grund: Fable 5 ist außergewöhnlich gut darin, Sicherheitslücken in fremdem Programmcode aufzuspüren. In den falschen Händen, so die Sorge, eine Cyberwaffe. Tatsächlich nutzen US-Behörden und ausgewählte Partner die Technik bereits, um eigene Systeme abzusichern und Schwachstellen zu schließen, die teils seit Jahren niemand bemerkt hatte. Genau diese Stärke macht das Modell wertvoll – und in der Theorie gefährlich.
Der Anrufer kam aus dem eigenen Haus
Jetzt die Pointe, die in den Eilmeldungen fehlt. Den Stein ins Rollen brachte ausgerechnet Anthropics größter Geldgeber: Amazon. Der Konzern hält große Anteile am Unternehmen und betreibt zugleich dessen Cloud-Infrastruktur. Amazon-Forscher fanden die kritische Methode, mit der sich die gefährlichen Fähigkeiten herauskitzeln lassen – und trugen sie laut Berichten direkt in die US-Regierung. Wenige Tage, nachdem Anthropic vertraulich seinen Börsengang eingereicht hatte.
Ein Konzern bringt also die Behörde dazu, das Vorzeigeprodukt einer Firma abzuschalten, an der er selbst beteiligt ist. Pikant: Amazon ist über AWS und eigene KI-Modelle zugleich Konkurrent. Und der Zeitpunkt trifft Anthropic hart – ein Börsengang lebt von Vertrauen, nicht von Schlagzeilen über Regierungsverbote. Mehr Drama geht kaum.
„Das war kein Hack“
Noch interessanter wird die Frage, was in dem ominösen Bericht stand. Die Regierung spricht von einem „Jailbreak“. Katie Moussouris sieht das anders – und sie muss es wissen. Sie baute das Bug-Bounty-Programm von Microsoft auf und entwarf das erste des US-Verteidigungsministeriums mit. Sie hat den Bericht gelesen. Ihr Urteil: kein Jailbreak, sondern „Defense Oriented Prompting“. Also genau das, was Verteidiger jeden Tag tun: ein Modell fragen, wo die Lücken sind, um sie zu schließen. Es war auch kein einzelner Zaubersatz, sondern ein mehrstufiges Vorgehen: Die Forscher ließen das Modell einen Codebestand durchleuchten und stellten ihm die Fragen, die jeder Sicherheitsprofi stellt.
Anthropic selbst nennt die Methode eng begrenzt und nicht universell. Die gefundenen Schwachstellen seien klein und teils längst bekannt. Und der entscheidende Einwand: Dieselben Lücken findet auch GPT-5.5 von OpenAI – ohne jeden Trick. Nur steht GPT-5.5 unter keiner Exportkontrolle und bleibt fröhlich online.
Der Denkfehler: Waffe und Schild sind dasselbe Ding
Hier liegt der Kern, der die ganze Geschichte erklärt. In der IT-Sicherheit ist das Finden einer Schwachstelle ein einziger Vorgang. Ob man sie danach repariert oder ausnutzt, ist eine spätere Entscheidung – das Können dahinter ist identisch. Es gibt keinen technischen Unterschied zwischen dem besten Verteidigungswerkzeug und der gefährlichsten Angriffswaffe. Beide sind dasselbe Werkzeug. Man stelle sich einen Schlüsseldienst vor, der jedes Schloss der Stadt öffnet. Verbietet man ihn, weil Einbrecher dieselbe Fähigkeit hätten – oder braucht man ihn dringend, wenn man sich ausgesperrt hat? Bei Software fällt beides in einem einzigen Werkzeug zusammen.
Die Regierung wollte das Schwert verbieten. Verboten hat sie den Schild. Moussouris bringt es trocken auf den Punkt: Wenn nationale Sicherheit das Ziel war, sei das ein Eigentor. Denn jedes ernstzunehmende Verteidigungsteam braucht genau diese Fähigkeit – sonst skaliert die Abwehr nie mit den Angreifern mit.
Wir hatten das alles schon einmal
Wer länger dabei ist, kennt dieses Muster. In den 1990er-Jahren stufte die USA starke Verschlüsselung als „Munition“ ein. Phil Zimmermann, Erfinder der Mail-Verschlüsselung PGP, bekam ein Strafverfahren an den Hals – wegen „Waffenexports“, weil sich seine Software international verbreitet hatte. Die Netzgemeinde reagierte mit Spott und druckte den Verschlüsselungscode auf T-Shirts. Die Botschaft: Man kann Wissen nicht an der Grenze aufhalten. Eine Zahl, ein Algorithmus, eine Formulierung lässt sich nicht exportverbieten.
Am Ende setzte sich diese Einsicht durch, die Krypto-Exportregeln fielen. Heute stehen wir am selben Punkt – nur ist die „Munition“ diesmal kein Schlüssel, sondern eine bestimmte Art, einer KI Fragen zu stellen. Anthropic liefert den Gegenbeweis gleich mit: Sperre das eine Modell, und die Fähigkeit tropft aus dem nächsten.
Worum es wirklich geht
Die Vermutung liegt nahe, dass hinter dem Schritt mehr steckt als Sicherheit. Anthropics Verhältnis zur US-Regierung ist zerrüttet: Das Verteidigungsministerium stufte die Firma zwischenzeitlich als Risiko ein, das Außenministerium wechselte zu OpenAI, das Finanzministerium beendete die Zusammenarbeit. Insider sprechen von einem „faktischen Lizenzregime“ – Botschaft an die Branche: Leg dich nicht mit dem Weißen Haus an. Sicherheit als Vorwand, Macht als Motiv.
Was bleibt
Die spannende Frage ist nicht, ob Fable 5 zurückkommt. Es wird es vermutlich, in entschärfter Form. Die eigentliche Lektion ist größer: Wir haben kein Vokabular für ein Ding, das gleichzeitig seine eigene Waffe und seine eigene Rüstung ist. Und solange uns dieses Vokabular fehlt, trifft jeder Reflex „die gefährliche KI muss weg“ zuerst die Falschen – die Verteidiger.
Für Europa kommt eine zweite, unbequeme Einsicht dazu. Wenn das mächtigste Werkzeug unserer Zeit an einem Schalter hängt, den eine fremde Regierung umlegen kann, dann ist digitale Souveränität keine Sonntagsrede mehr. Sondern eine Hausaufgabe, die wir lange vor uns herschieben.
Bleibt die Frage, auf die bisher niemand eine gute Antwort hat: Wie reguliert man eine Fähigkeit, bei der Angriff und Verteidigung technisch dasselbe sind – ohne sich am Ende selbst zu entwaffnen?
Bei dem Tempo den Überblick zu behalten, ist die eigentliche Kunst.
Den Überblick behalten, ohne jeden Hype mitzumachen – dabei hilft dir Superkraft KI Unlimited.
Jetzt Superkraft KI Unlimited entdecken →
