Inmitten laufender Diskussionen über das transformative Potenzial von KI in der Cybersicherheit gab Mozilla am Dienstag bekannt, dass Firefox 150 Abhilfemaßnahmen für 271 Schwachstellen enthält. Diese Fehler wurden durch frühen Zugriff auf Anthropic's Mythos Preview identifiziert und zeigen die Leistungsfähigkeit KI-gestützter Schwachstellenentdeckung. Das Firefox-Team erkennt den erheblichen Aufwand an, der erforderlich ist, um den Zustrom von durch KI aufgedeckten Fehlern zu bewältigen, und betont dessen Notwendigkeit für die Benutzersicherheit angesichts der unvermeidlichen Bewaffnung dieser Fähigkeiten durch böswillige Akteure. ### KI's Einfluss auf die Schwachstellensuche Sowohl Anthropic als auch OpenAI haben kürzlich KI-Modelle vorgestellt, die fortschrittliche Cybersicherheitsfunktionen bieten. Diese Modelle versprechen einen Paradigmenwechsel in der Art und Weise, wie Schwachstellen und Fehlkonfigurationen in Softwaresystemen identifiziert werden. Aufgrund der potenziellen Auswirkungen wurde der Zugang zu diesen Modellen eingeschränkt, und Arbeitsgruppen der Branche wurden gebildet, um ihre Auswirkungen zu bewerten. Mozillas Erfahrung zeigt den tiefgreifenden Einfluss von KI-Tools wie Mythos Preview auf die Schwachstellenentdeckung. Laut Bobby Holley, dem Chief Technology Officer von Firefox, „glauben wir, dass die Werkzeuge die Dinge dramatisch verändert haben, denn jetzt haben wir automatisierte Techniken, die, soweit wir wissen, den gesamten Raum der fehlerverursachenden Bugs abdecken können.“ Traditionell verließen sich Firefox und andere Organisationen auf eine Kombination aus automatisierten Techniken wie Software-Fuzzing und manueller Schwachstellenjagd durch interne und externe Forscher. Jetzt verändert KI das Spiel. ### Ein „Bootcamp“ für Softwaresicherheit Holley schlägt vor, dass aufkommende KI-Fähigkeiten alle Software dazu zwingen werden, eine strenge Sicherheitsbewertung zu durchlaufen, um latente Schwachstellen aufzudecken und zu beheben. Unternehmen wie Anthropic und OpenAI scheinen wichtige Akteure zu ermutigen, diese Überholung vor der breiteren Verfügbarkeit durchzuführen. „Jedes Stück Software wird diesen Übergang durchlaufen müssen, denn jedes Stück Software hat viele Fehler unter der Oberfläche verborgen, die jetzt entdeckt werden können“, sagt Holley. „Dies ist ein Übergangsmoment, der schwierig ist und koordinierte Konzentration und viel Biss erfordert, um ihn zu bewältigen.“ Mozilla erhielt Zugang zu Mythos Preview durch direkte Zusammenarbeit mit Anthropic und ist kein formeller Teil des größeren Konsortiums, Project Glasswing. ### Auswirkungen auf Open Source Angesichts ihrer weit verbreiteten Nutzung und oft begrenzten Wartungsressourcen sind Open-Source-Projekte besonders anfällig für KI-gestützte Bug-Hunting. Die Auswirkungen könnten besonders für Abandonware, die nicht mehr aktiv gewartet wird, erheblich sein. Die Sensibilisierung für die Dringlichkeit und den Ressourcenbedarf zur Sicherung von Software im Zeitalter der KI ist für Open-Source-Projekte von entscheidender Bedeutung, sagt Holley. „Ich habe mit technischen Leitern in sehr großen Unternehmen gesprochen, die sagen, dass sie Tausende von Ingenieuren von allem abziehen werden, um in den nächsten sechs Monaten daran zu arbeiten“, sagt er. „Es wird also eine große Herausforderung für die Industrie sein, und die Sorge gilt kleineren Projekten und Open Source. Es ist für diese Maintainer schwierig, nicht nur das Know-how und den Zugang zu haben, um diese Werkzeuge nutzen zu können, sondern auch, um tatsächlich etwas damit zu tun.“ ### Die Ökonomie der Open-Source-Sicherheit In einem kürzlichen Meinungsbeitrag der New York Times argumentierte Mozillas CTO Raffi Krikorian, dass die Ankunft von KI-Cybersicherheitsfunktionen bestehende Ungleichheiten in der Softwaresicherheit verschärfen könnte. „Die zugrunde liegende Ökonomie hat sich nicht geändert“, schrieb Krikorian. „Die wertvollste Softwareinfrastruktur der Welt wird weiterhin von Menschen gepflegt, die kostenlos arbeiten, während die Unternehmen, die darauf aufbauen, niemals für deren Wartung bezahlen mussten. Jetzt ist eine leistungsstarke neue Fähigkeit eingetroffen – und wie wir in der Technologie immer wieder gesehen haben, besteht die Gefahr, dass Organisationen mit Ressourcen sie zuerst erhalten und lernen, sich selbst zu schützen, während andere anfällig bleiben.“ Firefox's Holley betont die Zusammenarbeit innerhalb der Open-Source-Community, um Wissen und Werkzeuge zu teilen. „Letztendlich ist das Open-Source-Zeug ein menschliches Problem“, sagt Holley. „Es gibt nur eine begrenzte Skalierbarkeit mit Technologie – die Industrie und alle müssen zusammenkommen.“