Neunzehn Tage offline, auf Regierungsanordnung

Am 30. Juni 2026 gab Anthropic bekannt, dass das US-Handelsministerium die gegen Claude Fable 5 und Mythos 5 verhängten Exportkontrollen aufgehoben hat, und begann am Folgetag mit der Wiederherstellung des Zugangs. Die Sperre dauerte 19 Tage: Am 12. Juni verhängt, verlangte sie, jeden ausländischen Staatsangehörigen überall auszuschließen, eine Bedingung, die Anthropic nicht in Echtzeit prüfen konnte, weshalb beide Modelle für alle abgeschaltet wurden. CNBC, Decrypt und The Hacker News berichteten über Abschaltung und Kehrtwende.

Der Auslöser war konkret. Forscher bei Amazon hatten demonstriert, wie sich die Schutzmechanismen von Fable 5 umgehen lassen, sodass das Modell Software-Schwachstellen identifizierte und Ausnutzungstechniken vorführte. Die Regierung behandelte ein gejailbreaktes Frontier-Modell als kontrollierte Cyber-Fähigkeit, und der Markt lernte, dass ein Modell per Anordnung abgeschaltet werden kann, mitten im Vertrag, weltweit.

Was den Zugang tatsächlich zurückgekauft hat

Das Modell kam nicht zurück, weil die Anordnung auslief. Es kam zurück, weil Anthropic eine Korrektur und ein Argument vorlegte. Die Korrektur ist ein neu trainierter Sicherheitsklassifikator gegen die gemeldete Technik, der sie nach Firmenangaben in mehr als 99 Prozent der Versuche blockiert; markierte Anfragen werden mit Hinweis an den Nutzer auf Claude Opus 4.8 umgeleitet, ein schwächeres Modell. Anthropic räumt ein, dass das engere Netz auch mehr legitime Arbeit fängt, und akzeptiert höhere Fehlalarme beim routinemäßigen Programmieren bewusst als Sicherheitsmarge.

Das Argument wiegt mindestens ebenso schwer: Fähigkeitsparität. Anthropic dokumentierte, dass schwächere, frei verfügbare Modelle, darunter das eigene Opus 4.8, OpenAIs GPT-5.5 und Kimi K2.7, dieselben Schwachstellen-Demonstrationen replizieren konnten. Ist eine Fähigkeit überall, beschränkt die Kontrolle eines einzelnen Modells nichts mehr. Diese Logik öffnete Fable 5 wieder, und sie definiert leise, wie künftige Kontrollen funktionieren: Sie greifen nur an der äußersten Spitze der Fähigkeitskurve, während der Boden darunter weiter steigt.

Das Regelwerk, zwei Tage später veröffentlicht

Am 2. Juli veröffentlichte Anthropic die Maschinerie hinter der Korrektur. Cyber-Anfragen werden in vier Stufen sortiert: verbotene Nutzung wie Ransomware und Datenexfiltration, vollständig blockiert; risikoreiche Doppelnutzung wie Exploit-Entwicklung und Rechteausweitung, überwiegend blockiert, bis bessere Zugangskontrollen existieren; risikoarme Doppelnutzung wie Open-Source-Aufklärung und Schwachstellensuche im Rahmen bestehender Werkzeuge, erlaubt mit Überwachung; und gutartige Arbeit wie sicheres Programmieren und Incident Response, erlaubt mit minimaler Reibung.

Dazu kam eine vorgeschlagene Jailbreak-Schweregradskala, CJS, von 0 für informativ bis 4 für kritisch, bewertet auf vier Achsen: wie viel Fähigkeit der Jailbreak über bestehende Werkzeuge hinaus verschafft, wie viele offensive Aufgaben er ermöglicht, wie leicht er sich zur Waffe machen lässt und wie auffindbar er ist. Ein HackerOne-Prämienprogramm für Jailbreak-Funde begleitet das Regelwerk, das Anthropic ausdrücklich als frühen Entwurf kennzeichnet.

CVSS für Jailbreaks, und wohin es sich ausbreitet

Sicherheitsteams kennen diesen Film. CVSS begann als Bewertungskonvention eines Anbieters und wurde zur Zahl, nach der jede Patch-Entscheidung, jeder Einkaufsfragebogen und jedes Cyber-Versicherungsformular fragt. Eine Jailbreak-Schweregradskala füllt dasselbe Vakuum: Wenn heute eine Umgehungstechnik kursiert, hat ein CISO keine standardisierte Art zu sagen, wie schlimm sie ist. CJS, oder welcher Nachfolger sich durchsetzt, gibt Risikogremien, Aufsehern und Versicherern einen gemeinsamen Nenner für Modellrisiken.

Für europäische Betreiber ist die Richtung konkret: Anbieterfragebögen werden einen Jailbreak-Abschnitt bekommen, Cyber-Versicherer werden fragen, welche Modelle Sie ungeprüften Eingaben aussetzen, und der Safety Case, Klassifikator-Nachweis plus Schweregradbewertung, wird zum Dokument, das entscheidet, ob ein Modell in regulierten Abläufen unter Rahmenwerken wie NIS2 eingesetzt werden darf.

Die Lehre für Betreiber: Verfügbarkeit ist jetzt bedingt

Die tiefere Tatsache dieser Episode ist nicht der Jailbreak, sondern die 19 Tage. Ein Frontier-Modell mit Unternehmensverträgen ging per Regierungsanordnung weltweit vom Netz und kam erst zurück, als ein Safety Case den Regulierer überzeugte. Modellverfügbarkeit ist jetzt an Nachweise geknüpft, und Ausfälle dieser Klasse sind ein belegter Fehlermodus, keine Hypothese. Jedes Unternehmen, dessen Abläufe an einer einzigen Frontier-API hängen, sollte das behandeln wie einen Fabrikrohstoff mit nur einem Lieferanten: mit einem getesteten Failover auf ein zweites Modell, einer schriftlichen Umschaltprozedur und einem Vertrag, der regelt, was mit den Gebühren passiert, wenn das Produkt von jemandem abgeschaltet wird, bei dem keine der beiden Seiten Einspruch einlegen kann.