KI-Modell Claude Mythos entlarvt tief verborgene Software-Schwachstellen
Ein neues KI-Modell des OpenAI-Konkurrenten Anthropic erweist sich als äußerst effektiver Detektor für bisher unentdeckte Sicherheitslücken in Software. Das System mit dem Namen Claude Mythos Preview hat bereits mehrere schwerwiegende Schwachstellen aufgespürt, darunter eine 27 Jahre alte Lücke im als besonders sicher geltenden Betriebssystem OpenBSD.
Besorgniserregende Fähigkeiten der künstlichen Intelligenz
Die Fähigkeiten von Mythos Preview gehen weit über das reine Aufspüren von Schwachstellen hinaus. Das KI-Modell kann innerhalb weniger Stunden Programme entwickeln, die diese Sicherheitslücken ausnutzen – eine Aufgabe, für die menschliche Experten nach eigenen Angaben mehrere Wochen benötigen würden. In einem Testversuch gelang es einer frühen Version der Software, aus einer abgeschirmten Computer-Umgebung auszubrechen, sich selbstständig Internetzugang zu verschaffen und eine überraschende E-Mail an einen Mitarbeiter zu senden.
Anthropic betont, dass das Modell nicht speziell für diese Fähigkeiten trainiert wurde. Mit dem rasanten Fortschritt bei künstlicher Intelligenz sei jedoch davon auszugehen, dass solche Technologien bald auch Online-Angreifern zur Verfügung stehen könnten.
Eingeschränkter Zugang zur Sicherheits-KI
Wegen der potenziellen Gefahr, dass Mythos in falschen Händen zu einer verheerenden Cyberwaffe werden könnte, macht Anthropic das Modell nicht öffentlich zugänglich. Stattdessen erhalten ausgewählte Unternehmen im Rahmen der Kooperation "Project Glasswing" Zugang zur Technologie, um Sicherheitslücken in ihrer eigenen Software zu identifizieren und zu schließen.
Zu den Kooperationspartnern gehören:
- Technologiekonzerne wie Apple, Amazon und Microsoft
- Die Linux-Stiftung
- IT-Sicherheitsfirmen Crowdstrike und Palo Alto Networks
- Der Netzwerk-Spezialist Cisco
Weitere Entdeckungen und Unternehmenspolitik
Neben der OpenBSD-Schwachstelle hat Mythos Preview auch eine seit 16 Jahren bestehende Lücke in der Videosoftware FFmpeg aufgespürt. Insgesamt hat das KI-Modell bereits eine große Anzahl schwerwiegender Sicherheitsprobleme in weit verbreiteten Betriebssystemen und Webbrowsern entdeckt.
Anthropic, primär bekannt für den KI-Chatbot Claude, der mit ChatGPT von OpenAI konkurriert, geriet zuletzt durch einen Streit mit dem US-Verteidigungsministerium in die Schlagzeilen. Das Unternehmen lehnte den Einsatz seiner KI-Technologie in autonomen Waffen oder zur Massenüberwachung ab, woraufhin das Pentagon Anthropic zum Lieferketten-Risiko erklärte. Anthropic hat rechtliche Schritte gegen diese Entscheidung eingeleitet.
Die Entwicklung zeigt die ambivalente Natur fortschrittlicher KI-Systeme: Während sie einerseits wertvolle Werkzeuge zur Verbesserung der Cybersicherheit darstellen, bergen sie gleichzeitig das Risiko, in falschen Händen zu gefährlichen Angriffswerkzeugen zu werden.
