KI findet Sicherheitslücken schneller als sie ausnutzen kann

Künstliche Intelligenz revolutioniert die Sicherheitsanalyse, doch das Erstellen funktionierender Angriffe bleibt vorerst eine menschliche Domäne. Neue Forschungsergebnisse zeigen ein kritisches Zeitfenster für Software-Verteidiger.

Anthropic gab am 6. März die Ergebnisse einer Sicherheitspartnerschaft mit Mozilla bekannt. Das KI-Modell Claude Opus 4.6 entdeckte dabei in nur zwei Wochen 22 Schwachstellen im Firefox-Browser. Einen Tag später demonstrierte Microsofts Azure-CTO, dass dieselbe KI sogar 40 Jahre alten Maschinencode des Apple II analysieren und Fehler identifizieren konnte. Die entscheidende Erkenntnis: Die KI kann diese Funde derzeit kaum in funktionierende Angriffe umwandeln.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind, zeigt die Dringlichkeit moderner Schutzkonzepte. Dieser kostenlose Leitfaden unterstützt Sie dabei, Ihr Unternehmen mit einfachen Maßnahmen effektiv abzusichern. IT-Sicherheit ohne Budget-Explosion stärken

Firefox-Überprüfung: 22 Schwachstellen in zwei Wochen

Die Zusammenarbeit von Anthropic und Mozilla testete die Fähigkeiten der KI in einer bereits intensiv geprüften Codebasis. Claude Opus 4.6 durchsuchte etwa 6.000 C++-Dateien und meldete 112 potenzielle Fehler. Mozillas Ingenieure bestätigten 22 Common Vulnerabilities and Exposures (CVEs), davon 14 mit hoher Gefahrenstufe.

Die Geschwindigkeit war beeindruckend. Bereits nach zwanzig Minuten Analyse der JavaScript-Engine fand die KI eine Use-After-Free-Schwachstelle. Diese Klasse von Speicherfehlern ermöglicht es Angreifern oft, schädlichen Code einzuschleusen. Das System validierte seine eigenen Vorschläge für Patches in Echtzeit. Alle gefundenen Lücken wurden mit dem Release von Firefox 148.0 geschlossen.

Das Ausnutzungs-Dilemma: Warum Verteidiger vorn liegen

Trotz der schnellen Entdeckung offenbarte die Forschung gravierende Grenzen. Die Forscher beauftragten Claude, aus den gefundenen Lücken funktionierende Exploits zu entwickeln. Das Ziel: Lokale Dateien auf einem Zielsystem lesen und schreiben.

Das Ergebnis war ernüchternd. Nach mehreren hundert automatisierten Versuchen im Wert von etwa 4.000 US-dollar an API-Kosten gelang dies nur in zwei Fällen. Und selbst diese funktionierten nur in einer künstlichen Testumgebung, in der Firewalls wichtigste Sicherheits-Sandbox deaktiviert war.

„Claude ist deutlich besser im Finden von Fehlern als im Ausnutzen“, fasst Anthropic zusammen. Die Kosten für die Entdeckung einer Schwachstelle liegen aktuell eine Größenordnung unter den Kosten für die Entwicklung eines funktionierenden Exploits. Eine Situation, die Sicherheitsteams stark begünstigt.

KI durchleuchtet 40 Jahre alten Legacy-Code

Die Fähigkeiten gehen über moderne Software hinaus. Microsofts CTO Mark Russinovich ließ Claude Opus 4.6 ein Dienstprogramm analysieren, das er 1986 für den Apple II in 6502-Maschinensprache schrieb.

Die KI dekompilierte den uralten Code und fand mehrere Probleme, darunter einen Fall von stiller Fehlfunktion. Das Modell erkannte, dass das Programm bei einer bestimmten Fehlersituation einen Zeiger falsch setzte, anstatt einen Fehler zu melden, und schlug eine Korrektur vor.

Was bei 1980er-Software kaum Risiken birgt, hat enorme Implikationen für die Industrie. Weltweit operieren Milliarden veralteter Mikrocontroller in kritischer Infrastruktur – oft mit fragiler, nie geprüfter Firmware. Diese Systeme könnten nun automatisiert analysiert werden.

Die technologische Entwicklung schreitet voran und bringt neue regulatorische Anforderungen mit sich, die Unternehmen kennen müssen. Sichern Sie sich den kostenlosen Umsetzungsleitfaden zur EU-KI-Verordnung, um Kennzeichnungspflichten und Risikoklassen rechtzeitig zu verstehen. Gratis E-Book zur KI-Verordnung herunterladen

Marktwandel: Sicherheitsprüfung wird demokratisiert

Die nachgewiesenen Fähigkeiten der KI verschieben die Kräfte im Cybersicherheitsmarkt. Nach der Vorstellung von Anthropics Claude Code Security Ende Februar 2026 – einer Plattform, die diese Schwachstellen-Suche für Unternehmen anbietet – brachen die Kurse einiger traditioneller Sicherheitsunternehmen ein.

Der Software-Lieferketten-Anbieter JFrog verlor fast 25 Prozent an einem Tag. Analysten führen dies auf Spekulationen zurück, dass KI-gestützte Analyse herkömmliche Sicherheitstools verdrängen könnte.

Doch die Experten warnen vor voreiligen Schlüssen. Moderne Angriffe nutzen häufig Fehlkonfigurationen, übermäßige Berechtigungen oder Identitätslücken aus – Probleme außerhalb des Quellcodes. Der echte Wandel ist ökonomischer Natur.

Traditionelle Sicherheitsaudits kosten Zehntausende Euro und dauern Monate. Entwickler berichten nun von umfassenden KI-Prüfungen für einen Bruchteil der Kosten. Das ermöglicht auch kleinen Open-Source-Projekten und Startups Analysen, die früher Großkonzernen vorbehalten waren.

Ausblick: Ein Wettlauf gegen die Zeit

Die Branche steht vor einer Übergangsphase. Das aktuelle technologische Gefälle begünstigt klar die Verteidiger. Doch Anthropics Forscher warnen: Die Lücke zwischen Entdeckung und Ausnutzung wird nicht ewig bestehen bleiben, während sich die KI-Modelle weiterentwickeln.

Sicherheitsexperten raten Unternehmen, dieses temporäre Fenster zu nutzen. Codebasen sollten gestärkt und automatisierte KI-Prüftools implementiert werden. Denn die Kosten für die Schwachstellensuche sinken weiter. Bedrohungsakteure werden früher oder später ähnliche Fähigkeiten nutzen, um Open-Source-Projekte und alte Unternehmenssysteme zu scannen.

Die kommenden Jahre werden ein beschleunigtes Wettrüsten bringen. Die Geschwindigkeit des automatisierten Patchens muss die unvermeidlichen Fortschritte bei der KI-gestützten Exploit-Entwicklung übertreffen. Die Integration von KI-Analyse in Entwicklungsprozesse ist heute der beste Schutz für den Code von morgen – und von gestern.

boerse | 68653649 |