Ein interner Test von Anthropic sorgt aktuell für Aufmerksamkeit in der Sicherheitswelt. Das KI-Modell Claude Opus 4.6 analysierte den Webbrowser Firefox und entdeckte innerhalb von nur zwei Wochen mehr als 100 Sicherheitsfehler. Darunter befanden sich 14 Schwachstellen mit hohem Schweregrad. Besonders bemerkenswert: Den ersten Bug identifizierte die KI bereits nach rund 20 Minuten Analysezeit.
Zum Vergleich: Mozilla musste im gesamten vergangenen Jahr 73 kritische oder hochkritische Sicherheitslücken im Firefox-Browser schließen. Das Experiment zeigt eindrucksvoll, welches Potenzial moderne KI-Systeme bei der automatisierten Sicherheitsanalyse besitzen.
KI wird zum Werkzeug der Sicherheitsforschung
Der Test wurde gemeinsam von Anthropic und der Mozilla Foundation durchgeführt. Ziel war es, zu untersuchen, wie effektiv KI beim Aufspüren von Schwachstellen in komplexer Software sein kann.
Firefox gilt als besonders anspruchsvolles Testobjekt. Der Browser verfügt über ein Bug-Bounty-Programm, das seit mehr als 20 Jahren aktiv ist. Sicherheitsforscher aus aller Welt untersuchen den Code kontinuierlich. Gerade deshalb war es spannend zu sehen, wie sich ein KI-Modell in diesem Umfeld schlägt.
Das Ergebnis zeigt deutlich: KI kann Sicherheitsanalysen massiv beschleunigen.
Beim Exploit-Schreiben stößt die KI noch an Grenzen
Interessanterweise zeigte sich auch eine klare Schwäche des Systems. Während Claude sehr gut darin war, potenzielle Sicherheitslücken aufzuspüren, war es deutlich weniger erfolgreich beim tatsächlichen Ausnutzen der Bugs.
Nur in zwei Fällen gelang es der KI, funktionierende Exploits zu generieren. Selbst diese funktionierten ausschließlich in einer Testversion von Firefox. In realen Browserumgebungen hätten die integrierten Sicherheitsmechanismen die Angriffe blockiert.
Das deutet darauf hin, dass KI aktuell vor allem ein Werkzeug zur Defensiv-Sicherheit ist – zumindest noch.
Sicherheitsforscher warnen vor neuem Wettrüsten
Trotz der positiven Ergebnisse warnen Experten vor möglichen Risiken. Der bekannte Kryptologe Bruce Schneier sieht bereits ein entstehendes Wettrüsten: KI könnte sowohl von Verteidigern als auch von Angreifern eingesetzt werden.
Wenn Sicherheitslücken schneller entdeckt werden können, besteht auch die Gefahr, dass sie ebenso schneller ausgenutzt werden.
Problem der KI-Halluzinationen
Ein weiteres Problem zeigt sich bereits heute in vielen Open-Source-Projekten: automatisierte Fehlmeldungen durch KI-Systeme. Entwickler berichten immer häufiger von Bug-Reports, die sich später als reine Halluzinationen der Modelle herausstellen.
Anthropic versuchte dieses Problem in seinem Test gezielt zu vermeiden. Das eingesetzte System meldete ausschließlich reproduzierbare Schwachstellen an die Firefox-Entwickler. Grundlage dafür ist ein neues Analysewerkzeug namens Claude Code Security, das auf kontextbasierte Analyse statt reinem Musterabgleich setzt.
Dieser Ansatz könnte helfen, die Zahl falscher Warnungen deutlich zu reduzieren.
KI verändert die Zukunft der Software-Sicherheit
Der Test zeigt deutlich, wie stark künstliche Intelligenz die Sicherheitsanalyse verändern kann. KI-Systeme könnten künftig automatisiert große Codebasen prüfen und Entwickler frühzeitig auf Risiken hinweisen.