Sprachmodelle finden Sicherheitslücken schneller und bauen aus Patches in Minuten funktionierende Angriffe. Ein erfahrener Forscher fordert ein Ende der etablierten Offenlegungspraxis.
Wer eine kritische Sicherheitslücke findet, meldet sie dem Hersteller und gibt ihm üblicherweise bis zu 90 Tage Zeit für einen Patch, bevor er an die Öffentlichkeit geht. Dieses Modell, bekannt durch Googles Project Zero, beruht laut Himanshu Anand auf vier Annahmen, die heute alle nicht mehr stimmen.
- Erstens, dass der Finder der Lücke aller Wahrscheinlichkeit nach allein darauf gestoßen ist.
- Zweitens, dass andere Forscher, selbst wenn sie dieselbe Lücke entdecken, deutlich länger dafür brauchen.
- Drittens, dass der Hersteller in Ruhe einen Patch entwickeln kann, ohne dass Angreifer parallel daran arbeiten.
- Viertens, dass es nach Veröffentlichung des Patches noch Tage bis Wochen dauert, bis Angreifer daraus einen funktionierenden Exploit gebaut haben.
Anand arbeitet seit über zehn Jahren in der IT-Sicherheit, aktuell als Firewall Security Analyst beim Internetdienstleister Cloudflare, zuvor bei Symantec. Mit seinem Team Water Paddlers wurde er dreimal in Folge Finalist beim Hacking-Wettbewerb DEF CON. In einem ausführlichen Blogpost zeigt er anhand dreier Erlebnisse, wie KI-Sprachmodelle alle vier Annahmen aushebeln.
Viele Finder, kein Vorsprung
Im April meldete Anand eine kritische Lücke in einem Onlineshop, mit der sich Einkäufe für null Euro abschließen lassen. Die Antwort des Herstellers: Er sei der elfte Melder in sechs Wochen. Ein Triage-Mitarbeiter, den Anand zitiert, beschreibt das Muster. Sobald jemand eine Lücke per KI-Werkzeug entdecke, kämen binnen Tagen Wellen fast identischer Meldungen herein. Wenn zehn ehrliche Melder dieselbe Lücke finden, so Anands Frage, wie viele finden sie und schweigen? Damit fallen die Annahmen eins und zwei. Die Lücke ist nicht exklusiv, und parallele Finder brauchen keine Extra-Zeit.
Beispiel zwei betrifft das verbreitete Webframework React. Nach der Veröffentlichung mehrerer Sicherheitspatches lud Anand den Quellcode-Vergleich herunter und ließ sich von einem Sprachmodell helfen, daraus einen funktionierenden Angriff zu bauen. Zeitaufwand 30 Minuten. Früher brauchten erfahrene Reverse Engineers dafür Tage. Damit fällt Annahme vier. Das Zeitfenster zwischen Patch und Exploit, früher das Sicherheitsnetz für Administratoren, ist verschwunden.
Dirty Frag bricht das Embargo
Den deutlichsten Beleg liefert laut Anand der Linux-Kernel. Ende April veröffentlichte das Team Xint Code die Lücke "Copy Fail", gefunden durch einen einstündigen KI-Scan. Ein 732 Byte kurzes Skript verschafft Angreifern auf nahezu jeder Linux-Distribution seit 2017 Administratorrechte. Innerhalb von Tagen nutzten iranische Akteure die Lücke, um gekaperte Server für Überlastungsangriffe einzuspannen.
Eine Woche später folgte die Lücke "Dirty Frag" des Forschers Hyunwoo Kim. Kim hatte mit den Linux-Distributionen ein fünftägiges Embargo vereinbart, in dem sie gemeinsam Patches vorbereiten wollten. Diese Sperrfrist wurde innerhalb von Stunden durch Dritte gebrochen, die dieselbe Schwachstellenklasse unabhängig entdeckt und veröffentlicht hatten. Als die Details öffentlich kursierten, existierte für keine Distribution ein Patch. Microsofts Defender-Team bestätigte aktive Angriffe binnen 24 Stunden.
Damit fällt auch Annahme drei: Der koordinierte Vorsprung der Hersteller existiert nicht mehr, weil sich die Information schlicht nicht mehr eindämmen lässt.
Drei Rollen, drei neue Pflichten
Anand leitet aus den Beobachtungen konkrete Forderungen für drei Gruppen ab. Hersteller sollen kritische Bugs nicht in normalen Sprint-Zyklen abarbeiten, sondern als P0-Notfall sofort fixen. Die Uhr beginne im Moment der Meldung, nicht beim Triage-Termin. Forscher sollen auf kürzeren Offenlegungsfristen bestehen, statt aus Höflichkeit 90 Tage zu warten. Wer eine Lücke findet, sei statistisch nicht mehr der Einzige. Und Administratoren sollen Patches nicht mehr im monatlichen Wartungsfenster einspielen, sondern sofort.
Entwicklerteams wiederum sollten Sprachmodelle defensiv in ihre Entwicklungspipelines einbauen, etwa um Patch-Diffs automatisch zu analysieren, eigene Abhängigkeiten kontinuierlich zu scannen und eingespielte Patches auf Wirksamkeit zu prüfen. Angreifer hätten diesen Schritt längst vollzogen, schreibt Anand. "Im Moment gewinnen die Angreifer dieses Rennen."
KI-News ohne Hype – von Menschen kuratiert
Mit dem THE‑DECODER‑Abo liest du werbefrei und wirst Teil unserer Community: Diskutiere im Kommentarsystem, erhalte unseren wöchentlichen KI‑Newsletter, 6× im Jahr den "KI Radar"‑Frontier‑Newsletter mit den neuesten Entwicklungen aus der Spitze der KI‑Forschung, bis zu 25 % Rabatt auf KI Pro‑Events und Zugriff auf das komplette Archiv der letzten zehn Jahre.
