SchwachstellenKI-SicherheitHackerangriffe

Chinesischer Sicherheitskonzern zeigt KI-gestützte Hacking-Fähigkeiten auf Augenhöhe mit Anthropics Claude

Chinesischer Sicherheitskonzern zeigt KI-gestützte Hacking-Fähigkeiten auf Augenhöhe mit Anthropics Claude
Zusammenfassung

# Chinesische Cybersecurity-Firma beansprucht bahnbrechende KI-gestützte Hacking-Fähigkeiten Das chinesische Cybersecurity-Unternehmen 360 Digital Security Group hat kürzlich Fähigkeiten demonstriert, die an die KI-Verwundbarenentdeckung von Anthropics neuem Claude-Mythos-Modell heranreichen. Das Unternehmen behauptet, mithilfe eines selbstentwickelten Multi-Agent-Kolaborationssystems beim Tianfu-Cup, einem großen chinesischen Hacking-Wettbewerb, insgesamt nahezu 1.000 Sicherheitslücken identifiziert zu haben – etwa die Hälfte davon durch KI-Unterstützung. Die Behauptungen sind erheblich, da Anthropic sein Mythos-Modell – das angeblich Tausende von Verwundbarkeiten autonome entdecken kann – bislang nur wenigen Dutzend Organisationen zur Verfügung gestellt hat. Experten deuten jedoch darauf hin, dass 360s KI-Fähigkeiten zwar beeindruckend sind, möglicherweise aber noch nicht dem vollständigen autonomen Agenten-Ansatz von Mythos entsprechen. Besonders bemerkenswert ist der institutionelle Unterschied: Während westliche Sicherheitsforschung überwiegend dezentralisiert bleibt, verpflichtet chinesische Gesetzgebung private Unternehmen zur Meldung von Vulnerabilities an Behörden, bevor sie öffentlich gemacht werden. Dies könnte China erhebliche Vorteile im geopolitischen Cyber-Wettkampf verschaffen. Für deutsche Unternehmen und Behörden bedeutet dies verstärkte Aufmerksamkeit für KI-gestützte Cyberbedrohungen sowie die Notwendigkeit robusterer Patch-Management-Strategien und internationaler Sicherheitskooperation.

Die Sicherheitsforscher der Welt beobachten mit wachsendem Interesse, wie schnell künstliche Intelligenz zur autonomen Entdeckung von Sicherheitslücken eingesetzt werden kann. Anthropic hatte kürzlich sein Modell Claude Mythos vorgestellt, das nach eigenen Angaben tausende Schwachstellen eigenständig aufgespürt haben soll. Das Modell wird aus Sicherheitsgründen nicht öffentlich bereitgestellt, sondern nur ausgewählten Organisationen über ein Projekt namens Glasswing zur Verfügung gestellt.

Nun zeigt sich: Die Technologie könnte schneller in andere Länder diffundieren als gedacht. Eugenio Benincasa, Cybersicherheitsforscher der ETH Zürich und Spezialist für chinesische Entwicklungen, hat die Aussagen der 360 Digital Security Group analysiert und dokumentiert diese in einem detaillierten Blog-Beitrag.

Besonders bemerkenswert sind die technischen Erfolge des chinesischen Unternehmens: Das Multi-Agent-Collaborative-Vulnerability-Discovery-System des Konzerns trug zu etwa der Hälfte der beim Tianfu Cup 2024 eingereichten Schwachstellen bei. Insgesamt identifizierte 360 Digital Security Group etwa 1.000 Lücken, darunter über 50 kritische Sicherheitsprobleme in Windows, Microsoft Office, Android, OpenClaw und IoT-Geräten.

Eine besonders dramatische Einzelbehauptung betrifft die Schwachstelle CVE-2026-32190, eine kritische Office-Lücke, die 360 zufolge das KI-System innerhalb von Minuten entdeckte – nach acht Jahren, in denen sie unbekannt geblieben sein soll. Allerdings zeigte sich bei einer Windows-Kernel-Schwachstelle (CVE-2026-24293), dass Microsoft die Entdeckung Forschern aus Taiwan und Südkorea zuordnet, was Zweifel an einzelnen 360-Aussagen aufwirft.

Benincasa beurteilt die KI-Fähigkeiten von 360 als beachtlich, sieht aber noch keine vollständige Parität mit Claude Mythos. Ein besserer Vergleich wäre Googles Big Sleep-System, das einzelne Forschungsphasen beschleunigt, anstatt vollständig autonom zu operieren.

Doch es gibt ein größeres strategisches Problem: Chinesische Gesetze verpflichten private Unternehmen und Forscher, Sicherheitslücken zunächst Regierungsbehörden zu melden, bevor sie öffentlich gemacht werden. Dies kanalisiert Spitzensicherheitsforschung direkt in staatliche Geheimdienstpipelines – ein Vorteil, den westliche Demokratien nicht haben.

Zum Vergleich: Anthropics Mythos half Mozilla, über 270 Firefox-Sicherheitslücken zu finden. Allerdings wurden öffentlich nur wenige Dutzend CVEs Anthropic zugeschrieben. Dies zeigt, dass die wahren Fähigkeiten solcher Systeme oft im Verborgenen bleiben.

Ähnliche Artikel