KI-Modelle jagen Softwarefehler – und finden sie in Stunden

Die Cybersicherheit erlebt einen Umbruch: Eine neue Generation autonomer KI-Modelle findet und nutzt kritische Softwarelücken so schnell, dass menschliche Experten nicht mehr mithalten können. Der „Verwundbarkeits-Zeitraum“ – die Spanne zwischen Entdeckung und Ausnutzung einer Schwachstelle – schrumpft von Wochen auf nur noch Stunden. Das zwingt Unternehmen und Behörden zum radikalen Umdenken.

Während neue KI-Modelle Schwachstellen in Rekordzeit aufspüren, stehen viele Unternehmen vor der Herausforderung, ihre Sicherheitsstrategien an die neue Rechtslage anzupassen. Dieser kostenlose Leitfaden zum EU AI Act hilft Ihnen, Risikoklassen richtig einzuschätzen und die notwendigen Compliance-Anforderungen rechtzeitig umzusetzen. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Mythos von Anthropic: Der Angriff wird blitzschnell

Anfang April schlug der KI-Entwickler Anthropic Alarm. Sein neues Modell Mythos hat bei autonomer Sicherheitsforschung Unglaubliches geleistet. Es identifizierte Tausende bisher unbekannter Zero-Day-Lücken in allen großen Betriebssystemen und Webbrowsern. Eine kritische Schwachstelle im OpenBSD-Betriebssystem war sogar 27 Jahre lang unentdeckt geblieben.

Das Modell erzeugte mit einer Erfolgsquote von 72 % funktionierende Angriffscodes – ganz ohne menschliches Zutun. Diese Entwicklung löste in den USA höchste Alarmstufe aus. Bereits am 7. April berieten Finanzminister Scott Bessent und Fed-Chef Jerome Powell hinter verschlossenen Türen mit Bankvorständen über die Risiken für den Finanzsektor.

Als Reaktion startete Anthropic Project Glasswing, eine Defensiv-Initiative mit Unterstützung von Google, Microsoft und NVIDIA. Das Ziel: Dieselbe KI soll Schwachstellen finden und schließen, bevor Angreifer sie nutzen können. Experten des SANS Institute fordern nun „Mythos-ready“-Sicherheitsprogramme, denn manuelle Update-Zyklen sind gegen KI-getriebene Bedrohungen machtlos.

DARPA-Wettbewerb: Die automatische Verteidigung erwacht

Der aktuelle Schub KI-getriebener Entdeckungen folgt auf den DARPA AI Cyber Challenge (AIxCC), der im August 2025 endete. Der Wettbewerb suchte nach vollautomatischen Systemen, die die Open-Source-Software kritischer Infrastrukturen sichern können.

Das siegreiche Team „Atlanta“ gewann vier Millionen US-Dollar mit seinem „Atlantis“-System. In den Finaltests fanden die KI-Systeme 86 Prozent synthetischer Schwachstellen und lieferten für 68 Prozent funktionierende Patches. Die Kosten pro erfolgreicher Reparatur lagen bei nur etwa 152 US-Dollar – deutlich weniger als für menschliche Sicherheitsexperten.

Die Ergebnisse des Wettbewerbs sind öffentlich zugänglich und stellen der Welt vier neue automatische Verteidigungsmodelle zur Verfügung. Diese Systeme durchforsten rund um die Uhr Code, um Fehler in der „uralten digitalen Infrastruktur“ zu finden, die moderne Stromnetze und Wasserwerke am Laufen hält.

Googles Big Sleep: Der KI-Abwehrschlag

Auch Googles Sicherheits-KI Big Sleep hat Meilensteine gesetzt. Im Juli 2025 enthüllte der Konzern, dass die KI eine kritische Speicherschwachstelle in der SQLite-Datenbank (CVE-2025-6965) fand, bevor sie ausgenutzt werden konnte.

Besonders bemerkenswert: Die Entdeckung basierte auf Hinweisen, dass Angreifer bereits einen Zero-Day-Angriff vorbereiteten. Die KI isolierte die gezielte Lücke – und vereitelte so erstmals einen Ausnutzungsversuch „in freier Wildbahn“. Ein großer Erfolg für die proaktive Verteidigung.

Kritische Infrastruktur im Visier

Die rasante Entwicklung hat direkte Folgen für Software, die Gefahrstoffe oder Brandsicherungssysteme steuert. Industrielle Steuerungssysteme (ICS) basieren oft auf jahrzehntealtem Code, der nie für eine hochgefährliche Umgebung designed wurde.

Eine Studie des Weltwirtschaftsforums zeigt das Ausmaß der Bedrohung: 87 Prozent der Organisationen sehen KI-bezogene Schwachstellen als ihr am schnellsten wachsendes Cyberrisiko. Die Zahl entsprechender Sicherheitslücken (CVEs) stieg 2025 um 34,6 Prozent – fast doppelt so stark wie bei allgemeiner Software.

Die zunehmende Automatisierung von Cyberangriffen erfordert von Unternehmen eine proaktive Absicherung, die über herkömmliche IT-Maßnahmen hinausgeht. Erfahren Sie in diesem Experten-Report, wie Sie Sicherheitslücken schließen und Ihre Firma ohne hohe Investitionen vor den Bedrohungen des Jahres 2024 schützen. Gratis-E-Book: Cyber Security Bedrohungen abwenden

Autonome KI-Agenten analysieren Millionen Codezeilen in Stunden. Das macht das latente Risiko veralteter Software zu einer akuten Gefahr. Experten raten Betreibern kritischer Systeme daher dringend: „Richten Sie die KI auf Ihre eigenen Systeme“, um Schwachstellen zu finden, bevor es die Angreifer tun.

Ausblick: Der Krieg Maschine gegen Maschine

Im Frühjahr 2026 vollzieht sich ein grundlegender Wandel: von der einfachen Bedrohungserkennung hin zum Maschine-gegen-Maschine-Krieg. Autonome Agenten wie „XBOW“ meldeten 2025 über 1.000 gültige Schwachstellen und stehen damit an der Spitze globaler Bug-Bounty-Ranglisten. Die Ära menschlich geführter Sicherheitsaudits neigt sich dem Ende zu.

Die neuen „agentischen“ Fähigkeiten erlauben es der KI nicht nur, einen Fehler zu finden. Sie kann eigenständig Korrekturen vorschlagen und Testläufe in Software-Pipelines starten. Das verschafft den Verteidigern einen dringend benötigten Vorteil in Geschwindigkeit und Umfang.

Doch die hohe Erfolgsquote offensiver Modelle wie Mythos deutet auf eine volatile Phase hin. Die Integration dieser „digitalen Wächter“ in den gesamten Entwicklungszyklus wird zur Überlebensfrage. Nur Software, die von Grund auf sicher designed ist, kann in der neuen Ära bestehen.

de | boerse | 69189873 |