Den Ausgangspunkt bilden die Sicherheitshinweise, die Google in den vergangenen Wochen zu Chrome veröffentlicht hat. Während dort anfangs nur vereinzelt Lücken als „von Google gemeldet" auftauchten, stieg ihre Zahl mit einem Update auf 16 und mit dem folgenden auf 21. In einem weiteren Hinweis sprang der Wert dann auf 100. In den beiden jüngsten Chrome-Versionen wurden mehr als 70 der behobenen Schwachstellen intern bei dem Technikkonzern gefunden.
Google selbst hat keinen direkten Zusammenhang zwischen diesen Funden und dem Einsatz von KI hergestellt. Indizien liefert das Unternehmen aber dennoch: Als es kürzlich seine Chrome-Prämien für gemeldete Fehler senkte, verwies Google darauf, dass KI und Automatisierung den eigenen Teams helfen, „mit beispielloser Geschwindigkeit" zu arbeiten und Risiken wirksamer als je zuvor zu beheben. Die jüngsten Fortschritte bei KI – sowohl von Google als auch in der Branche insgesamt – erleichterten es erheblich, einen Testfall auf seine Grundursache zurückzuführen, eine passende Korrektur vorzuschlagen und Varianten bekannter Probleme zu finden.
Ähnliche Entwicklungen melden weitere große Organisationen. Mozilla etwa fand mithilfe von Anthropics neuem Modell Claude Mythos über 270 Schwachstellen in Firefox. Auch Microsoft und Palo Alto Networks haben nach eigenen Angaben mit fortgeschrittenen KI-Werkzeugen zur Schwachstellensuche zahlreiche Lücken in ihren Produkten aufgespürt.
Welches KI-Modell Google bei Chrome konkret eingesetzt hat, ist offen. Der Konzern zählt zu den rund 50 Organisationen, denen Zugang zu Claude Mythos gewährt wurde. Daneben arbeitet Google an eigenen KI-gestützten Werkzeugen zur Schwachstellensuche, darunter Big Sleep und CodeMender.
CodeMender beschreibt Google in einem Blogbeitrag dieser Woche als KI-Agenten für Codesicherheit, der ursprünglich von Google DeepMind entwickelt wurde. Gestützt auf Funktionen der Agent Platform und auf fortgeschrittene Gemini-Modelle identifiziere CodeMender eigenständig Schwachstellen im Code, schlage präzise Korrekturen vor, teste diese abgesichert und könne – nach Freigabe – Patches und nötige Änderungen auch über abhängige Systeme hinweg anwenden. Möglich ist allerdings auch, dass Google ausschließlich intern genutzte KI-Werkzeuge eingesetzt hat.
Auf die Fragen von SecurityWeek, wie viele Chrome-Schwachstellen genau per KI gefunden wurden und welches Modell oder Werkzeug dabei zum Einsatz kam, hat Google nicht geantwortet.
