KI verändert die Schwachstellensuche

Ein Jahrzehnt nachdem Prämienprogramme für Schwachstellen von einer Nischenpraxis der Sicherheit zur gängigen Unternehmenspolitik geworden sind, bringt eine neue Welle von KI-Tools die Ökonomie der Schwachstellenforschung durcheinander. Agentische KI-Systeme werden immer besser darin, sowohl Schwächen in Software zu finden als auch Exploits zu entwickeln, und überfluten Offenlegungsprogramme mit mehr Einreichungen, während Organisationen gleichzeitig mehr Fehler selbst aufdecken.

Das Ergebnis ist ein zuspitzendes Wettrüsten zwischen Forschern, Unternehmen und Angreifern. Der unabhängige Sicherheitsexperte Joseph Thacker, der Werkzeuge und Methoden entwickelt hat, um KI in seiner eigenen Arbeit einzusetzen, sagte, dass er grob dreimal so viele Fehler eingereicht habe wie zu diesem Zeitpunkt im letzten Jahr. Er erwartet, dass der Druck zuerst große Unternehmen treffen wird.

"Ich würde vermuten, dass ein Unternehmen wie Google zwei- bis zehnmal so viel für Bug-Prämien ausgeben wird wie im letzten Jahr," sagte Thacker.

Er fügte hinzu, dass große Technologieunternehmen den Anstieg verkraften können, viele andere jedoch nicht. Seiner Ansicht nach finden KI-Systeme bereits die leichteren Schwachstellen, und im nächsten Jahr könnte es weniger leicht zugängliche Bugs geben, da viele davon dann schon gefunden sein werden.

Offenlegungsfristen unter Druck

Die Verschiebung stellt auch langjährige Normen zur verantwortungsvollen Offenlegung infrage. Der Sicherheitsforscher Himanshu Anand schrieb Anfang dieses Monats, dass das 90-Tage-Offenlegungsfenster für eine Welt konzipiert wurde, in der Bugfinder rar und die Exploit-Entwicklung langsam waren, und dass große Sprachmodelle beide Zeitspannen komprimiert hätten.

Diese Kompression könnte Entwickler dazu zwingen, Patches schneller zu veröffentlichen, insbesondere wenn Angreifer in der Lage sind, Fehler schneller zu entdecken und zu weaponisieren als zuvor. Sie könnte Organisationen auch dazu zwingen, zu verbessern, wie schnell sie Fixes intern bereitstellen — ein Prozess, der schon immer schwierig war, weil Patches neue Probleme verursachen können, wenn sie ohne ausreichende Tests ausgerollt werden.

Die Prämienprogramme für Schwachstellen selbst haben sich bereits dramatisch weiterentwickelt. Als Apple sein Prämienprogramm 2016 startete, lag die höchste Belohnung bei 200.000 $. Das Unternehmen erhöhte diese 2019 auf 1 Million $ und dann im letzten Jahr auf 2 Millionen $.

Jetzt, da die KI sowohl das Angebot an Schwachstellen als auch die Geschwindigkeit der Exploit-Erstellung erhöht, sagen Forscher, dass die nächste Phase der Schwachstellenforschung wahrscheinlich sehr anders aussehen wird als die vorherige.

Quellen:

wired.com