Letzten Monat kündigte **Anthropic** sein neues Modell, Claude Mythos Preview, mit einer einzigartigen Einschränkung an: Seine Fähigkeiten zur Schwachstellenerkennung waren so fortschrittlich, dass es nur einer ausgewählten Gruppe von Unternehmen für interne Scans und Behebungen zur Verfügung gestellt werden würde. Diese Ankündigung, obwohl aufmerksamkeitserregend, unterstreicht einen breiteren Trend: die zunehmende Kompetenz von KI bei der Identifizierung von Software-Schwachstellen. ### Wachsende Leistungsfähigkeit von KI bei der Schwachstellenerkennung Während das Modell von **Anthropic** hochleistungsfähig ist, zeigen auch andere Modelle ähnliche Fähigkeiten. Das britische AI Security Institute stellte fest, dass **OpenAI**s GPT-5.5 vergleichbare Fähigkeiten bietet. Darüber hinaus reproduzierte das Unternehmen Aisle die Ergebnisse von **Anthropic** mit kleineren, kostengünstigeren Modellen. Die eingeschränkte Veröffentlichung von Mythos durch **Anthropic** könnte auch auf praktische Erwägungen zurückzuführen sein. Der Betrieb eines so leistungsstarken Modells ist ressourcenintensiv, und eine allgemeine Veröffentlichung ist möglicherweise nicht machbar. Durch die Einschränkung des Zugangs kann **Anthropic** das Potenzial des Modells hervorheben, ohne es vollständig zu demonstrieren. ### Die zweischneidige Natur von KI in der Cybersicherheit Das Kernproblem ist, dass moderne generative KI-Systeme, einschließlich derer von **Anthropic**, **OpenAI** und Open-Source-Alternativen, immer besser darin werden, Schwachstellen zu finden und auszunutzen. Dies hat erhebliche Auswirkungen auf offensive und defensive Cybersicherheitsstrategien. Angreifer können diese KI-Fähigkeiten nutzen, um Schwachstellen in verschiedenen Systemen zu entdecken und automatisch auszunutzen. Dies könnte zu Sicherheitsverletzungen in kritischer Infrastruktur, Ransomware-Angriffen, Datendiebstahl und Systemkontrolle während Konflikten führen und eine gefährlichere digitale Landschaft schaffen. Umgekehrt können Verteidiger dieselben KI-Tools nutzen, um Schwachstellen zu identifizieren und zu beheben. **Mozilla** nutzte beispielsweise Mythos, um 271 Schwachstellen in **Firefox** aufzudecken. Diese Schwachstellen wurden anschließend behoben, wodurch potenzielle Angriffsvektoren eliminiert wurden. Die Zukunft könnte KI-gestützte Schwachstellenerkennung und -behebung als Standardbestandteil des Softwareentwicklungszyklus sehen, was zu sichererer Software führt. ### Kurzfristige Risiken und langfristiges Potenzial Es ist mit einem Anstieg sowohl von Angriffen, die neu entdeckte Schwachstellen ausnutzen, als auch von häufigen Software-Updates zu rechnen. Viele Systeme bleiben jedoch unveränderlich oder werden nicht regelmäßig aktualisiert, wodurch Schwachstellen ungeschützt bleiben. Derzeit scheint die Ausnutzung von Schwachstellen einfacher zu sein als deren Finden und Beheben, was auf erhöhte kurzfristige Risiken hindeutet. Organisationen müssen ihre Sicherheitsstrategien an diese sich entwickelnde Bedrohungslandschaft anpassen. Mit Blick auf die Zukunft wird erwartet, dass die Fähigkeit von KI, sichere Software zu schreiben, sich kontinuierlich verbessern wird. Letztendlich könnten KI-gestützte Verteidiger einen Vorteil gegenüber KI-gestützten Angreifern erlangen. ### Jenseits der Cybersicherheit: KI und systemische Schwachstellen Die Auswirkungen reichen über die Cybersicherheit hinaus. Die Mustererkennungs- und Schlussfolgerungsfähigkeiten, die KI bei der Analyse von Software effektiv machen, können auf andere komplexe Systeme angewendet werden. Beispielsweise könnte KI Lücken in Steuergesetzen, Umweltvorschriften und Regeln zur Lebensmittelsicherheit identifizieren. Investmentbanken nutzen möglicherweise bereits KI zur Analyse von Steuergesetzen, um nach Strategien zur Geldeinsparung zu suchen. Das Potenzial von KI, komplexe Lücken aufzudecken, wie z. B. solche, die mehrere Gerichtsbarkeiten betreffen, ist erheblich. Dies könnte zu geringeren Staatseinnahmen und regulatorischer Umgehung führen. Im Gegensatz zu Software-Schwachstellen, die schnell behoben werden können, ist die Änderung von Steuergesetzen oder Vorschriften ein langwieriger und oft politisch aufgeladener Prozess. Die "carried interest"-Schlupfloch im US-Steuergesetz, das seit Jahrzehnten ausgenutzt wird, verdeutlicht diese Herausforderung. KI ist bereit, die Gesellschaft zu transformieren. So wie die industrielle Revolution physische Fähigkeiten verstärkte, wird die KI-Revolution kognitive Fähigkeiten verstärken. Die Anpassung an diese neue Realität, die durch eine Flut von Schwachstellen sowohl in Software als auch in anderen komplexen Systemen gekennzeichnet ist, wird herausfordernd, aber unerlässlich sein.