SchwachstellenKI-SicherheitHackerangriffe

KI-Modell Claude Mythos entdeckt 271 Sicherheitslücken in Firefox

KI-Modell Claude Mythos entdeckt 271 Sicherheitslücken in Firefox
Zusammenfassung

Das neue KI-Modell Claude Mythos von Anthropic hat in Mozilla Firefox insgesamt 271 Sicherheitslücken entdeckt, von denen drei in der diese Woche veröffentlichten Firefox-Version 150 mit CVE-Nummern registriert wurden. Die Mehrheit der gefundenen Schwachstellen sind Probleme geringerer Schweregrade, die nicht die Kriterien für eine öffentliche CVE-Registrierung erfüllen. Mozilla betont dabei ausdrücklich, dass alle entdeckten Lücken auch von einem erfahrenen menschlichen Sicherheitsforscher hätte finden können – es entstehe also kein völlig neuer Typus von Bedrohungen. Das Mythos-Modell wird aktuell nur einer kleinen Gruppe großer Unternehmen durch Googles Project Glasswing zur Verfügung gestellt und nicht öffentlich angeboten. Für deutsche Unternehmen und Behörden hat diese Entwicklung erhebliche Implikationen: Sie signalisiert, dass fortgeschrittene KI-Systeme innerhalb weniger Wochen vulnerabilities in kritischen Infrastrukturen aufdecken können, die menschliche Pentester ein Jahr lang nicht finden würden. Dies verstärkt die Notwendigkeit für deutsche Organisationen, ihre Sicherheitsmaßnahmen grundlegend zu überdenken und KI-gestützte Angriffsmöglichkeiten in ihre Risikomodelle zu integrieren.

Die Entdeckung unterstreicht das disruptive Potenzial von fortgeschrittenen KI-Systemen in der Cybersicherheit. Mozilla betont jedoch eine wichtige Einschränkung: Firefox-CTO Bobby Holley erklärte, dass alle 271 gefundenen Fehler theoretisch auch von Elite-Sicherheitsforschern hätten entdeckt werden können. Das Unternehmen sieht derzeit noch keine völlig neuartigen Schwachstellenklassen, die menschliche Experten übersehen würden.

Die Mehrheit der 271 Lücken sind offenbar weniger kritische Probleme. Sie fallen nicht unter die CVE-Schwelle für öffentliche Bekanntmachung – darunter Defense-in-Depth-Verbesserungen, Härtungsmaßnahmen oder Fehler in nicht ausnutzbaren Code-Pfaden.

Anthropics Entscheidung, Claude Mythos zunächst nur eingeschränkt freizugeben, zeigt die Vorsicht gegenüber dieser Technologie. Das Unternehmen bietet das Modell ausschließlich durch Project Glasswing – ein kontrolliertes Programm für ausgewählte Organisationen – an. Die Teilnehmerliste liest sich wie ein Who’s Who der Tech-Branche: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Microsoft, Nvidia und Palo Alto Networks gehören dazu.

Palo Alto Networks hat bereits beeindruckende Ergebnisse veröffentlicht. Das Unternehmen berichtet, dass Claude Mythos in weniger als drei Wochen die Äquivalenz eines einjährigen Penetrationstests erbrachte. Besonders bemerkenswert ist die Fähigkeit des Modells, Schwachstellen zu verketten – mittlere und niedrige Schweregrade werden zu kritischen Exploits kombiniert. Auch logikbasierte Fehler, die traditionelle Tools übersehen, werden erkannt.

Doch diese Fortschritte bergen auch Risiken. Lee Klarich, Chief Product and Technology Officer bei Palo Alto Networks, warnt: „Innerhalb von sechs Monaten werden fortgeschrittene KI-Modelle mit tiefem Cybersicherheits-Know-how zum Standard. Organisationen, die keine angemessenen Schutzmaßnahmen implementiert haben, werden mit einer völlig neuen Risikokategorie konfrontiert.”

Ein zusätzlicher Besorgnis erregender Aspekt: Es gibt bereits Berichte über unbefugten Zugriff auf Claude Mythos. Während Anthropic das Modell restriktiv verwaltet, könnten andere KI-Unternehmen weniger vorsichtig sein. Dies könnte dazu führen, dass ähnlich leistungsstarke Systeme ohne angemessene Zugangskontrolle verfügbar werden – mit potentiell verheerenden Konsequenzen für kritische Infrastruktur.

Ähnliche Artikel