Vor einem Jahrzehnt begannen Programme zur Offenlegung von Schwachstellen und „Bug-Bounties“, die Art und Weise zu verändern, wie Institutionen die Sicherheitsforschung angehen, und verschoben sich von Feindseligkeit hin zur Anerkennung der Notwendigkeit externer Eingaben und schneller Patches. **Apple** beispielsweise begann 2016 mit einer Spitzenbelohnung von 200.000 US-Dollar, die im letzten Jahr auf 2 Millionen US-Dollar anstieg. Die Verbreitung von agentischer KI wird dieses etablierte System jedoch voraussichtlich stören. ### Die KI-Flut Da agentische KI-Modelle immer besser darin werden, Software-Schwachstellen autonom zu identifizieren und Exploits zu entwickeln, erleben Programme zur Offenlegung von Schwachstellen einen Zustrom von Einreichungen. Diese Zunahme fällt mit der Entdeckung interner Fehler durch Organisationen zusammen und verändert die Ökonomie von Bug-Bounties sowohl für Institutionen als auch für Forscher. „Ich habe wahrscheinlich dreimal mehr Bugs eingereicht als im letzten Jahr um diese Zeit – ich vermute, dass ein Unternehmen wie **Google** zwei- bis zehnmal so viel für Bug-Auszahlungen ausgeben wird wie im letzten Jahr“, sagt der unabhängige Sicherheitsforscher **Joseph Thacker**, der KI bei seiner Bug-Jagd einsetzt. Thacker merkt an, dass Tech-Giganten den erhöhten Druck zwar bewältigen können, die meisten Unternehmen jedoch nicht. Er erwartet einen zukünftigen Rückgang der Einreichungen, da die KI die „Low-Hanging Fruits“ findet, was Unternehmen möglicherweise dazu veranlasst, die Auszahlungen wieder zu erhöhen. ### Die 90-Tage-Offenlegungsfrist unter Druck Die Effektivität von KI bei der Exploit-Entdeckung und dem automatisierten System-Scanning könnte Entwickler unter Druck setzen, Patch-Veröffentlichungen zu beschleunigen, was sich potenziell auf etablierte Standards wie 90-Tage-Offenlegungsfristen auswirkt. Wie der Sicherheitsforscher **Himanshu Anand** schrieb: „Das 90-tägige Fenster für verantwortungsvolle Offenlegung wurde für eine Welt geschaffen, in der Bug-Finder selten und die Exploit-Entwicklung langsam war. Diese Welt ist vorbei. LLMs haben beide Zeitpläne komprimiert.“ Diese Dringlichkeit könnte zu Verbesserungen führen, wie schnell Organisationen Schwachstellenbehebungen bereitstellen, und die komplexe Herausforderung der Patch-Verbreitung und ihrer potenziellen unbeabsichtigten Folgen angehen. ### KI-gestützte Angriffe auf dem Vormarsch Die Dringlichkeit realer, KI-gestützter Angriffe wächst, wobei sowohl ausgeklügelte als auch weniger versierte Akteure KI nutzen, um ihre Fähigkeiten zu erweitern und Kosten zu senken. **Google**-Forscher beobachteten kürzlich, wie Cybercrime-Akteure versuchten, eine mit KI entwickelte **zero-day**-Schwachstelle auszunutzen, um die Zwei-Faktor-Authentifizierung auf einer Open-Source-Systemadministrationsplattform zu umgehen. „Wir alle gingen davon aus, dass es bereits geschah, und dies ist unser erster Beweis dafür, dass es geschieht“, sagt **John Hultquist**, leitender Analyst der Google Threat Intelligence Group, bezüglich Angreifern, die KI zur Entdeckung und Ausnutzung neuartiger Schwachstellen einsetzen. Hultquist betont die erheblichen Auswirkungen, wenn mehr Kriminelle Zugang zu Zero-Day-Exploits erhalten, angesichts der bereits hohen Erfolgsquote derer, die sie derzeit nutzen. ### Bug-Bounty-Programme passen sich an Für Forscher, die durch Bug-Hunting Einkommen erzielen, verschiebt sich die Landschaft. Das Kommandozeilen-Tool **Curl** beendete sein Bug-Bounty-Programm (das über den Drittanbieterdienst **HackerOne** lief) im Januar aufgrund einer Flut von qualitativ minderwertigen, KI-generierten Einreichungen. „Wir sind auf hartem Wege zu dem Schluss gekommen, dass ein Bug-Bounty den Menschen zu starke Anreize gibt, ‚Probleme‘ im bösen Glauben zu finden und zu erfinden, die zu Überlastung und Missbrauch führen“, schrieb die Gruppe. **Linus Torvalds** bemerkte, dass die **Linux**-Sicherheits-Mailingliste aufgrund des hohen Volumens und doppelter KI-Bug-Berichte „fast vollständig unüberschaubar“ geworden sei. **Daniel Stenberg**, Gründer von Curl, bemerkte jedoch eine Verbesserung der Einreichungsqualität mit einer zunehmenden Anzahl hochwertiger Berichte, die von KI unterstützt wurden. Im April kündigte Google eine Überarbeitung seiner Vulnerability Reward Programs für Chrome und Android an und passte die Auszahlungen an, um sich auf die anspruchsvollsten und wirkungsvollsten Schwachstellen zu konzentrieren. „Da sich die Landschaft der Sicherheitsforschung mit KI weiterentwickelt, nehmen wir Änderungen an unseren Programmen vor, um sicherzustellen, dass wir die anspruchsvollsten und wirkungsvollsten Schwachstellen in unseren Produkten belohnen“, schrieb das Unternehmen. Jonathan Dunn, Kardiologe und Bug-Bounty-Jäger, glaubt, dass hochqualifizierte Bug-Jäger weiterhin Schwachstellen finden und dafür belohnt werden. Er betonte auch die Notwendigkeit, ethische Forscher zu incentivieren, sich auf öffentliche Infrastrukturen und kritische Systeme zu konzentrieren, die andernfalls möglicherweise nicht ausreichend beachtet werden.