Project Glasswing zeigt eindrucksvoll, wie stark KI die IT-Sicherheit verändern kann. Doch was passiert, wenn Schwachstellen schneller gefunden werden, als Entwickler sie schließen können?
Mit Claude Mythos Preview hat das Sicherheitsprojekt Project Glasswing erste bemerkenswerte Zwischenergebnisse geliefert. Das KI-Modell erkennt kritische Schwachstellen in Software mit einer Geschwindigkeit, die klassische Prüfprozesse deutlich übertrifft. Für Unternehmen, Open-Source-Projekte und Betreiber kritischer Infrastrukturen ist das zunächst eine gute Nachricht: Sicherheitslücken werden schneller sichtbar.
Gleichzeitig entsteht dadurch ein neues Problem. Die Erkennung ist nicht mehr der langsamste Teil der Sicherheitskette. Der Engpass verschiebt sich zum Menschen.
Mozilla fand beim Test von Firefox 150 insgesamt 271 Sicherheitslücken. Das entspricht etwa zehnmal mehr Treffern als bei älteren KI-Modellen. Auch Cloudflare meldete rund 2.000 identifizierte Fehler auf den eigenen Systemen. Besonders bemerkenswert: Die Genauigkeit der KI soll laut den Testern sogar über den Quoten menschlicher Experten gelegen haben.
Damit wird deutlich, wie groß das Potenzial solcher Systeme ist. KI kann Security-Teams entlasten, Prüfungen beschleunigen und Risiken sichtbar machen, die bisher möglicherweise lange unentdeckt geblieben wären. Gerade bei komplexer Software, großen Codebasen und sicherheitskritischen Anwendungen kann das ein enormer Vorteil sein.
Doch jede gefundene Schwachstelle erzeugt Folgearbeit. Sie muss geprüft, bewertet, priorisiert und schließlich geschlossen werden. Genau hier geraten viele Teams an ihre Grenzen. Open-Source-Entwickler berichten bereits davon, dass die Menge automatisierter Meldungen kaum noch zu bewältigen ist. Einige Teams baten sogar darum, das Tempo der Schwachstellenmeldungen zu reduzieren.
Ein Beispiel zeigt die Tragweite: Bei der weitverbreiteten Verschlüsselungsbibliothek wolfSSL, die auf Milliarden Geräten eingesetzt wird, demonstrierte die KI, wie Angreifer gefälschte Zertifikate für Bankseiten erstellen könnten. Solche Schwachstellen sind hochkritisch. Gleichzeitig dauert das Patchen vergleichbarer Fehler im Durchschnitt etwa zwei Wochen.
Deshalb bleibt Claude Mythos Preview vorerst nicht allgemein verfügbar. Das Missbrauchspotenzial ist zu hoch. Ohne belastbare Schutzmechanismen könnten Angreifer solche Modelle nutzen, um automatisiert Sicherheitslücken zu finden und Schadcode zu entwickeln.