KI-Sicherheitstools sind jetzt günstig und öffentlich verfügbar – das verändert, wie Hacker Schwachstellen finden
Forscher haben gezeigt, dass leistungsstarke KI-Tools zur Erkennung von Softwarefehlern nicht mehr in geheimen Labors weggeschlossen sind – sie sind für jeden mit einer Kreditkarte zugänglich. Das bedeutet, dass die Fähigkeit, kritische Sicherheitslücken in allem von Banking-Apps bis hin zu sozialen Medien zu entdecken, sich ausbreitet und potenziell die digitale Sicherheitslandschaft für alle verändert.
Als ein großes KI-Unternehmen, Anthropic, ein leistungsstarkes System namens 'Claude Mythos' zur Erkennung von Softwarelücken – Schwachstellen, die Hacker ausnutzen können – vorstellte, behandelten sie es wie ein gefährliches Geheimnis. Sie teilten es nur mit einer ausgewählten Gruppe großer Tech-Firmen und Regierungsbeamter und warnten, es sei zu riskant für die öffentliche Nutzung. Die Idee war, dass nur wenige, streng geprüfte Organisationen ein solch mächtiges Tool haben sollten. Aber eine neue Studie von Vidoc Security macht diese Warnung zu einer öffentlichen Realitätsprüfung. Sie haben bewiesen, dass ähnliche Ergebnisse mit KI-Modellen erzielt werden können, die jeder online zugreifen kann, wie GPT-5.4 und Claude Opus, für weniger als 30 Dollar pro Versuch.
Wie KI Fehler wie ein Detektiv findet
Die Suche nach einem Softwarefehler ist wie die Jagd nach einem einzelnen lockeren Ziegel in einer riesigen, ständig sich verändernden Mauer. Traditionell erfordert das hochqualifizierte menschliche Experten, die Millionen von Codezeilen manuell prüfen. KI verändert diesen Prozess. Sie kann die gesamte 'Mauer' blitzschnell scannen und Bereiche markieren, wo die Struktur verdächtig wirkt. Die Forscher haben der KI nicht einfach eine Frage gestellt; sie haben einen mehrstufigen Prozess entwickelt. Zuerst teilte eine Planungs-KI eine große Software-Datei in kleinere Abschnitte auf. Dann untersuchte eine Erkennungs-KI jeden Abschnitt auf Muster, die häufig zu Fehlern führen. Sie konnte auch verwandte Dateien prüfen, um zu sehen, ob ein Problem in einem Bereich einen anderen beeinflusst.
- Sie testeten das an realen, weit verbreiteten Programmen: einem Dateifreigabesystem, einem sicheren Betriebssystem, Videoverarbeitungssoftware (wie die, die YouTube-Videos abspielt), und Bibliotheken, die digitale Signaturen handhaben (wie die elektronischen 'Siegel' auf offiziellen Dokumenten).
- In mehreren Durchläufen identifizierten die öffentlichen KI-Modelle erfolgreich dieselben spezifischen Fehler, die Anthropics exklusives System gefunden hatte.
- Ein Modell entdeckte sogar unabhängig einen bekannten Fehler in einem sicheren Betriebssystem dreimal hintereinander.
Der Unterschied zwischen Finden und Ausnutzen
Die Studie klärt einen entscheidenden Unterschied: Eine Schwachstelle zu finden ist nicht dasselbe wie eine Waffe zu bauen. Anthropics privates Modell tat mehr als nur den Fehler zu erkennen; es erarbeitete, wie ein Angreifer verschiedene Teile der Lücke kombinieren könnte, um fern ein Computer zu übernehmen. Die öffentlichen Modelle in diesem Test fanden das Loch, erstellten aber nicht automatisch einen schrittweisen Angriffsplan. Das ist derzeit der 'Graben' oder Schutzwall. Der günstige, weit verbreitete Teil ist die Entdeckung. Der teure, schwierige Teil bleibt, diese Entdeckung in eine zuverlässige, vertrauenswürdige Behebung oder eine tief verstandene Bedrohung umzuwandeln.
Wichtige Erkenntnisse
- Entdeckung ist demokratisiert: Der erste, kritische Schritt zur Erkennung von Softwarelücken ist jetzt mit bezahlbaren, öffentlichen KI-Tools zugänglich.
- Die Barriere hat sich verschoben: Der Vorteil liegt nicht mehr nur im besten KI-Modell, sondern in der Expertise, Erkenntnisse zu validieren und ihren realen Einfluss zu verstehen.
- Die Zeitachse beschleunigt: Während Anthropic schätzte, dass ähnliche Fähigkeiten in 6–18 Monaten aus anderen Labors kommen würden, zeigt diese Forschung, dass die Entdeckungsfähigkeit bereits da ist.
Was bedeutet das für normale Menschen?
Das heißt nicht, dass Hacker sofort jedes System knacken. Aber es bedeutet, dass die Tools zur Erkennung potenzieller Schwachstellen in der Software, die dein Online-Banking, deine Social-Media-Accounts und sogar Behördendienste antreiben, günstiger und häufiger werden. Für Softwarefirmen und Security-Teams steigt der Druck, Fehler schneller zu finden und zu beheben, dramatisch. Für alle anderen unterstreicht es die Wichtigkeit, aktualisierte Software und starke, einzigartige Passwörter zu nutzen, da die zugrunde liegende Sicherheit der digitalen Welt intensiver als je zuvor abgeklopft wird.
— Editorial Team