Anthropic hat am 2. Juli 2026 ein branchenweites Bewertungsraster für KI-Jailbreaks veröffentlicht: die Cyber Jailbreak Severity Scale, kurz CJS, entwickelt gemeinsam mit Amazon, Microsoft, Google und weiteren Partnern. Sie stuft Sicherheitslücken in KI-Modellen von harmlos bis kritisch ein und gibt Unternehmen damit erstmals eine gemeinsame Sprache für den Umgang mit KI-Risiken.
Was ist die CJS-Skala und wie funktioniert sie?
Die CJS-Skala von Anthropic reicht von CJS-0 (informativ, kein reales Risiko) bis CJS-4 (kritisch). Bewertet wird ein Jailbreak entlang von vier Achsen: welcher zusätzliche Fähigkeitsgewinn dadurch entsteht, wie breit dieser Gewinn einsetzbar ist, wie leicht sich der Trick tatsächlich als Waffe nutzen lässt und wie leicht andere ihn selbst finden würden. Aus diesen vier Achsen ergibt sich ein Punktwert: CJS-1 („Low") reicht von 1 bis 3,5 Punkten, CJS-2 („Medium") von 4 bis 6,5, CJS-3 („High") von 7 bis 8,5 und CJS-4 („Critical") von 9 bis 10.
Wichtig ist laut Anthropic, dass die Skala exponentiell und nicht linear gedacht ist: Jede Stufe nach oben gilt als mehrfach schwerwiegender als die vorherige, nicht nur graduell schlimmer. Ein CJS-3-Vorfall ist demnach nicht „etwas ernster" als ein CJS-2-Vorfall, sondern deutlich folgenreicher.
Was macht Anthropic zusätzlich, um Jailbreaks zu verhindern?
Parallel zur Skala setzt Anthropic laut eigener Angabe auf mehrere Sicherheitsebenen gleichzeitig: automatisierte Klassifizierer, die riskante Anfragen erkennen sollen, dazu Zugriffskontrollen, gezieltes Sicherheitstraining des Modells selbst und fortlaufendes Offline-Monitoring. Ergänzend läuft seit Juli 2026 ein öffentliches HackerOne-Bug-Bounty-Programm, über das Sicherheitsforscher gefundene Cyber-Jailbreaks im aktuellen Modell Fable 5 melden können. Fable 5 ist seit dem 2. Juli 2026 nach diesen Anpassungen wieder weltweit verfügbar.
Warum ist das für Finanzdienstleister und Unternehmen relevant?
Sobald KI-Agenten nicht mehr nur antworten, sondern in Systemen handeln, etwa Zahlungen prüfen, Kundendaten verarbeiten oder Dokumente freigeben, wird die Frage „Wie schwerwiegend ist eine bestimmte Sicherheitslücke wirklich?" zu einer Governance-Frage, nicht nur zu einer technischen. Eine gemeinsame Schweregrad-Skala, getragen von mehreren großen Anbietern gleichzeitig, gibt Compliance- und Risikoabteilungen erstmals einen Referenzrahmen, um KI-Vorfälle einzuordnen und zu dokumentieren, ähnlich wie es CVSS für klassische IT-Sicherheitslücken schon lange tut.
Für Finanzdienstleister ist das doppelt relevant: Sie unterliegen ohnehin strengen Nachweispflichten bei IT-Risiken, und mit zunehmendem Einsatz von KI-Agenten in Kernprozessen wächst die Angriffsfläche, über die ein manipuliertes Modell Schaden anrichten könnte.
Was bedeutet das für den eigenen Einsatz von KI-Agenten im Unternehmen?
Der Ansatz von Anthropic, mehrere Sicherheitsebenen zu kombinieren statt sich auf eine einzige Schutzmaßnahme zu verlassen, lässt sich eins zu eins auf den betrieblichen Einsatz von KI-Agenten übertragen. Ein KI-Mitarbeiter, der eine einzelne, klar umrissene Aufgabe übernimmt, etwa Rechnungsprüfung oder Dokumentenabgleich, hat von Natur aus eine kleinere Angriffsfläche als ein generischer Agent mit weitreichenden Systemzugriffen. Wird zusätzlich klar dokumentiert, welche Rechte ein Agent hat und welche Eingriffe möglich sind, lässt sich ein Vorfall im Ernstfall auch tatsächlich einordnen, so wie es die CJS-Skala für die Modellebene vorsieht.
Genau dieses Prinzip, klar abgegrenzte Aufgaben mit nachvollziehbaren Zugriffsrechten, steckt auch im AI Backbone System hinter jeder KI-Belegschaft: Jeder KI-Mitarbeiter bekommt nur die Berechtigungen, die er für seinen konkreten Ablauf braucht, nicht mehr.
