KI: Der größte Pentester der Welt – und warum es so sein muss

Was passiert, wenn Software nicht mehr ausschließlich von Menschen angegriffen wird, sondern von synthetischen Akteuren, die anders „denken“ als wir?

Der Claude-Entwickler Anthropic hat in der vergangenen Woche mit der internen Veröffentlichung eines neuen Modells namens Mythos für Schlagzeilen gesorgt. Dieses soll außergewöhnlich gut darin sein, Bugs und Sicherheitslücken in Software zu identifizieren. Aufgrund dieser Fähigkeiten verzichtet Anthropic derzeit auf eine öffentliche Veröffentlichung und plant stattdessen, mit großen Technologieunternehmen sowie Regierungen zusammenzuarbeiten, um Missbrauch zu verhindern.Der Claude-Entwickler Anthropic hat in der vergangenen Woche mit der internen Vorstellung eines neuen Modells namens Mythos für Schlagzeilen gesorgt. Dieses soll außergewöhnlich gut darin sein, Bugs und Sicherheitslücken in Software zu identifizieren. Aufgrund dieser Fähigkeiten verzichtet Anthropic derzeit auf eine öffentliche Veröffentlichung und plant stattdessen, mit großen Technologieunternehmen sowie Regierungen zusammenzuarbeiten, um Missbrauch zu verhindern.

It remains unclear how realistic and actually exploitable many of these vulnerabilities are… at least for humans.

Anthropic selbst stufte eine 16 Jahre alte FFmpeg-Schwachstelle als nicht kritisch ein und ging davon aus, dass ein funktionierender Exploit nur schwer umzusetzen sei. Mögliche im Linux-Kernel identifizierte Exploits ließen sich aufgrund der mehrschichtigen Sicherheitsmechanismen nicht ausnutzen, und einige davon scheinen bereits gepatcht worden zu sein.Anthropic selbst stufte eine 16 Jahre alte FFmpeg-Schwachstelle als nicht kritisch ein – ein funktionierender Exploit sei nur schwer umzusetzen. Im Linux-Kernel identifizierte Exploits ließen sich aufgrund mehrschichtiger Sicherheitsmechanismen nicht ausnutzen; einige davon waren zudem bereits gepatcht.

Außerdem räumt Anthropic ein, dass die tausenden gemeldeten Issues nicht vollständig verifiziert sind, sondern auf Extrapolationen beruhen. Grundlage dafür ist eine Übereinstimmung von rund 90 % in 198 manuell geprüften Fällen. [1]

Ich bin sehr dankbar, dass viele dieser entdeckten Bugs für Nutzer vermutlich keinen Schaden verursachen werden – sei es, weil bereits Patches existieren, mehrschichtige Sicherheitskonzepte du auf höheren Ebenen abfangen oder andere Schutzmechanismen greifen.Ich bin sehr dankbar, dass viele dieser entdeckten Bugs für Nutzer vermutlich keinen Schaden verursachen werden – sei es, weil bereits Patches existieren, mehrschichtige Sicherheitskonzepte sie auf höheren Ebenen abfangen oder andere Schutzmechanismen greifen.

Dennoch müssen diese Schwachstellen behoben werden. Warum? Weil wir mit KI einen intelligenten Akteur in unsere Welt eingeführt haben, der nicht wie ein Mensch denkt. Neben menschlicher Logik existiert nun brillante KI-Logik. Das haben wir bereits vor über 10 Jahren mit Move 37 von AlphaGo gesehen. [2]