Die Unternehmen Google und Greynoise zeigen, wie Künstliche Intelligenz (KI) zur Erkennung von Sicherheitslücken beitragen kann. Welche bedeutenden Schwachstellen wurden dabei entdeckt?
Dass Kriminelle KI nutzen, um ihre Angriffe effizienter und überzeugender zu gestalten, ist weithin bekannt. Jetzt zeigen Google und Greynoise, dass KI auch auf der anderen Seite des Sicherheitssektors erfolgreich eingesetzt werden kann. Beide Unternehmen berichten von Erfolgen bei der Erkennung bislang unbekannter Schwachstellen mithilfe von KI.
Im Rahmen des Projekts Naptime entwickelte Google den „Big Sleep Agent“, ein KI-basiertes Tool zur Sicherheitsanalyse. Der Big Sleep Agent identifizierte kürzlich eine kritische Zero-Day-Schwachstelle in der quelloffenen SQLite-Datenbank-Engine. Diese Schwachstelle, ein Puffer-Unterlauf, wurde vor einem offiziellen Release gemeldet und konnte so rechtzeitig geschlossen werden. Google wertet dies als weltweit erstes Beispiel für die KI-basierte Entdeckung einer bisher unbekannten, ausnutzbaren Sicherheitslücke in einer etablierten Softwareumgebung.
Auch Greynoise setzt auf KI – ihr System „Sift“ filtert täglich rund zwei Millionen HTTP-Ereignisse auf etwa 50 besonders relevante Ereignisse, die IT-Analysten genauer betrachten können. Mithilfe dieser Vorauswahl wurden jüngst Angriffe auf PTZ-Kameras des Herstellers ValueHD aufgedeckt, die für Netzwerkschnittstellenanforderungen anfällig sind. Diese Untersuchungen führten zur Identifizierung zweier kritischer Schwachstellen, CVE-2024-8957 und CVE-2024-8956, die mittlerweile auch im Katalog der bekannten ausgenutzten Schwachstellen der US-Behörde CISA gelistet sind.
Interessant ist, dass Google und Greynoise trotz ähnlichem Ziel unterschiedliche Ansätze verfolgen. Greynoise verwendet KI-gestützte Large Language Models (LLMs) für die Ereignisfilterung und Anomalieerkennung. Google hingegen setzt auf eine KI-unterstützte Quellcode-Analyse, die sich spezifisch auf Varianten bekannter Schwachstellen fokussiert. Durch gezielte Startpunkte im Code können Unklarheiten in der Schwachstellensuche reduziert werden, was eine präzisere und effizientere Erkennung erlaubt. Der Big Sleep Agent, ausgestattet mit Google’s Gemini 1.5 Pro-KI, wurde erfolgreich an realen Szenarien wie dem SQLite-Projekt getestet, wo er nach ähnlichen, nicht behobenen Problemen suchte. Die Bedeutung der KI im Sicherheitsbereich wird zunehmen, wie das Bundesamt für Sicherheit in der Informationstechnik bereits deutlich machte. KI wird bereits vielfach von kriminellen Akteuren für Social Engineering und Malware-Generierung genutzt. Mit Googles und Greynoise’ erfolgreichen Pilotprojekten kann KI aber ebenso als Gegengewicht dienen und so die Sicherheit in der digitalen Welt erhöhen.