KI-Bug-Jagd: 1.500 Schwachstellen im Juni – Rekord um 3,5-fach
04.07.2026 - 13:48:27 | boerse-global.de
Die Integration Künstlicher Intelligenz in Sicherheits-Workflows hat die Identifizierung von Software-Schwachstellen auf ein nie dagewesenes Niveau katapultiert. Im Juni 2026 meldeten 21 Organisationen rund 1.500 kritische und hochriskante Sicherheitslücken – ein Anstieg um mehr als das 3,5-Fache des bisherigen Monatsrekords.
Automatisierte Jagd nach Bugs auf neuem Niveau
Branchenexperten führen diesen sprunghaften Anstieg auf den Einsatz autonomer Bug-Jagd-Agenten zurück. Auslöser war insbesondere die Vorschau von Anthropics Claude Mythos im April 2026. Dieses Modell und ähnliche Tools aus OpenAIs Daybreak-Programm haben die Kosten für Sicherheitsaudits drastisch gesenkt. Einige Agenten identifizieren Schwachstellen zu geschätzten Kosten von umgerechnet rund 2,80 Euro pro 20.000 Codezeilen.
Das Ausmaß der KI-gesteuerten Fehlersuche verdeutlicht Project Glasswing, eine Initiative von Unternehmen wie Microsoft und Google. Es hat bereits mehr als 10.000 hochriskante oder kritische Schwachstellen aufgespürt. Auch Einzelakteure erzielen beachtliche Ergebnisse: Cloudflare identifizierte 2.000 Schwachstellen, davon 400 mit hohem oder kritischem Risiko.
Die Auswirkungen zeigen sich auch in Open-Source-Projekten. Im April 2026 verzeichnete Mozilla 423 Schwachstellen, von denen 271 vom Mythos-Modell entdeckt wurden. Einige dieser Fehler waren Berichten zufolge 15 bis 20 Jahre alt.
BUGSTONE: Hybridsystem mit beeindruckender Trefferquote
Forscher von IBM haben mit BUGSTONE ein hybrides Framework vorgestellt, das LLM- und LLVM-Technologien kombiniert. Bei der Auswertung von über 1.900 Sicherheitsberichten erreichte das System eine Präzision von 92,2 Prozent. Angewandt auf den Linux-Kernel identifizierte BUGSTONE 22.000 potenzielle Probleme. Eine manuelle Überprüfung von 400 Stichproben bestätigte 246 echte Bugs, darunter Ressourcenlecks und Zeigerfehler.
Infrastruktur unter Druck: 6.000 Arbeitsstunden für einen Monat
Die plötzliche Flut an Meldungen setzt das traditionelle Schwachstellenmanagement massiv unter Druck. Bug-Bounty-Plattformen wie HackerOne melden einen deutlichen Anstieg KI-generierter Falschmeldungen, was den Sichtungsprozess erschwert. Schätzungen zufolge erfordert die Analyse einer einzelnen Schwachstelle etwa vier Stunden Entwicklungszeit. Die Verarbeitung der 1.500 im Juni gemeldeten hochriskanten Fälle würde demnach 6.000 Arbeitsstunden verschlingen.
Die rasante Entwicklung bei KI-Systemen bringt nicht nur neue Möglichkeiten bei der Fehlersuche, sondern auch komplexe rechtliche Anforderungen wie den EU AI Act mit sich. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle neuen Pflichten, Risikoklassen und Fristen für Unternehmen. EU AI Act in 5 Schritten verstehen
Diese Belastung hat einige Open-Source-Betreuer dazu veranlasst, mit der Archivierung ihrer Projekte zu drohen, um den Verwaltungsaufwand zu vermeiden. Branchenbeobachter halten das aktuelle CVE-Verfahren bis Ende 2026 für nicht mehr tragfähig. Ein automatisiertes Patchen könnte sich als neuer Standard durchsetzen.
Sicherheitskontrollen und internationaler Wettbewerb
Die rasante Entwicklung der KI-gestützten Fehlersuche hat regulatorische Eingriffe ausgelöst. Mitte Juni 2026 wurden Anthropics Modelle Mythos und Fable für 19 Tage offline genommen, nachdem Amazon-Ingenieure ein Sicherheitsproblem entdeckt hatten, das für böswillige Zwecke ausgenutzt werden konnte. Seit dem 1. Juli sind die Modelle wieder verfügbar – nachdem Anthropic in Abstimmung mit Bundesbehörden und Partnern wie Microsoft und Google ein neues Sicherheitsklassifizierungssystem implementiert hat.
Dieses System stuft Cyber-Anfragen in vier Kategorien ein – von harmlos bis verboten. Anthropic schlug zudem eine Cyber Jailbreak Severity Scale (CJS) vor, um die potenziellen Auswirkungen von Modellexploits zu bewerten.
Während KI-gesteuerte Analysetools immer mächtiger werden, steigen auch die Risiken durch neue Cyber-Bedrohungen und gesetzliche Anforderungen. Erfahren Sie in diesem kostenlosen Report, welche rechtlichen Pflichten auf Ihr Unternehmen zukommen und wie Sie Ihre IT-Infrastruktur proaktiv absichern. Gratis-Report zu neuen Cyberrisiken anfordern
Während westliche Unternehmen auf Sicherheitsrahmenwerke setzen, verschärft sich der internationale Wettbewerb. Mitte Juni veröffentlichte Zhipu AI mit GLM-5.2 ein Open-Weight-Modell, das bei der Erkennung bestimmter Schwachstellentypen wie Insecure Direct Object Reference (IDOR) hohe Leistungen zeigte. In China entwickelt Qihoo 360 mit Tulongfeng und Yitianzhen Multi-Agenten-Systeme zur Automatisierung von Angriffssimulationen und Exploit-Generierung – als direkte Konkurrenz zur westlichen Sicherheits-KI.
KI-Code bleibt Sicherheitsrisiko
Trotz der Erfolge bei der Fehlersuche bleibt die Technologie selbst eine Quelle neuer Sicherheitsrisiken. Eine Studie von Veracode ergab, dass 45 Prozent des KI-generierten Codes mindestens eine ausnutzbare Schwachstelle aus dem OWASP Top 10-Katalog enthält. Die Anfälligkeit variiert je nach Programmiersprache: Java erreicht 72 Prozent, während Python und JavaScript zwischen 38 und 45 Prozent liegen. Häufige Probleme sind hartcodierte Zugangsdaten und Injection-Fehler.
Zudem sind KI-Entdeckungstools noch nicht vollständig. Während Claude Mythos erfolgreich eine Schwachstelle im Linux-Kernel identifizierte (CVE-2026-43074), übersah das System „Bad Epoll" (CVE-2026-46242). Dieser Use-After-Free-Fehler im Epoll-Subsystem ermöglicht unprivilegierten Nutzern, Root-Zugriff auf Linux- und Android-Systeme zu erlangen – und wurde stattdessen von menschlichen Forschern entdeckt.
