Die Begeisterung über Glasswing ist berechtigt. Dass ein KI-Modell dort einen Fehler fand, wo Millionen automatisierter Tests versagten, zeigt einen qualitativen Sprung. Doch Sicherheitsexperten warnen vor einer gefährlichen Fokussierung auf Code-Sicherheit, während die eigentliche Bedrohung anderswo lauert.
Das Kernproblem der vergangenen zwei Jahrzehnte: Die Sicherheitsindustrie hat sich auf Enumeratoren konzentriert. Sie brauchte aber Leser. Traditionelle Sicherheitstools funktionieren nach demselben Prinzip: Ein Muster definieren, scannen, flaggen. SIEMs durchsuchen Logs nach Regeln, statische Analyse-Tools vergleichen Code mit bekannten Signaturen, Vulnerability-Scanner checken Softwareversionen gegen CVE-Datenbanken. Alle basieren auf Enumeration – und können nur finden, was sie bereits zu suchen wissen.
Mythos Preview dagegen arbeitet wie ein erfahrener menschlicher Analyst: Es versteht die Intention des Codes, die Beziehungen zwischen Komponenten, was eine Sequenz von Operationen tatsächlich bewirkt. Diese Tiefe war bisher das Privileg seltener, teurer Experten. Ein Modell, das dies skalierbar repliziert, ist tatsächlich etwas Neues.
Doch hier liegt die kritische Einsicht: Das Enumerationsproblem sitzt nicht nur im Code. Es durchzieht alle anderen Sicherheitsschichten. Die meisten Datenverletzungen entstehen nicht durch Zero-Days, sondern durch schlichte Fehlkonfigurationen: Datenbanken auf öffentlich gestellt und vergessen, Zugangsdaten in Breach-Datenbanken, Firewall-Regeln für längst gegangene Mitarbeiter, Admin-Portale mit Standard-Passwörtern, die noch immer im Internet erreichbar sind.
Angreifer folgen dem Weg des geringsten Widerstands. Ein einfacher Port-Scan und ein Credential-Stuffing-Script reichen oft aus. Das erfordert keine KI-Innovation.
Das größere Problem: Sicherheitsteams ersticken in kontextlosen Daten aus einem Dutzend fragmentierter Systeme. Cloud-Ressourcen entstehen in Sprints und werden niemals überprüft. Shadow-IT, SaaS und jetzt Shadow-AI wuchern. Konfigurationsmanagement-Tools kennen nur vordefinierte Zustände. Cloud-Security-Posture-Management-Lösungen prüfen gegen statische Regeln – wieder Enumeration.
Besonders ironisch: In Anthropics eigenem Sandbox-Escape-Szenario war der Exploit mit Code-Schwachstelle kombiniert mit einer Netzwerk-Regel, die niemand je überprüft hatte. Man kann jeden Code-Exploit schließen und verliert trotzdem gegen eine Konfigurationsübersicht von 2019.
Die Lektionen von Glasswing – dass Verständnis besser als Enumeration ist – müssen sich auf die gesamte Sicherheitsarchitektur ausbreiten. Identität, Konfiguration, Posture: Hier liegt für die meisten Teams die echte tägliche Gefahr. Nicht bessere Scanner mit besseren Regeln – sondern Systeme, die verstehen, nicht nur zählen.
Infrastruktur-Teams sollten jetzt ihre Asset-Inventare validieren, bevor die Glasswing-Patches kommen. Die echten Gewinner werden jene Organisationen sein, die verstehen, dass Code-Sicherheit nur der erste Layer ist.