Black Hat USA: Konferenz thematisiert KI-Herausforderungen und Schwachstellen

Anfang August 2025 wurde das Mandala Bay Hotel in Las Vegas zum Treffpunkt der internationalen Security-Community. Im Rahmen der alljährlich stattfindenden Black-Hat-Konferenz kamen rund 20.000 Teilnehmer zusammen, um aktuelle Schwachstellen, spannende Security-Innovationen und künftige Cyberbedrohungen zu diskutieren. Unser Artikel stellt einige der diesjährigen Highlights vor und unternimmt zusätzlich einen Abstecher zu den auf der DEF CON verliehenen Pwnie Awards.

Lukrative Ransomware-Pakete

Malware und die Motivation ihrer Programmierer haben sich sehr gewandelt. Seien in den Anfängen vor allem Teenager am Werk gewesen, die einfach Spaß haben wollten, rückten ab etwa 2003 finanzielle Absichten in den Fokus, schilderte der finnische Computersicherheitsexperte Mikko Hypponen zum Auftakt der 28. Black Hat USA. Heute werde die Schadcode-Landschaft von Kriminellen dominiert, die ihre lukrativen Geschäfte immer rücksichtsloser abwickelten und sich laufend weiter professionalisierten.

Um das zu unterstreichen, zeigte Hypponen in seiner Keynote eine Art Werbespot der Ransomware-as-a-Service-Gang Global – mit durchdachtem Corporate Design und Einblicken in das schicke Nutzerinterface des Erpresserwerkzeugs. Ein spezielles Feature des Rundum-Sorglos-Erpresserpakets: ein KI-Assistent, der die Lösegeldverhandlungen übernimmt, damit Angreifer sich besser auf neue Opfer konzentrieren können.

Künstliche Intelligenz findet Schwachstellen

Hypponen sieht künstliche Intelligenz als Herausforderung und Chance zugleich – sowohl für Angreifer als auch für IT-Verteidiger. Während erstere jedoch (wenigstens im Schadcode-Bereich) gerade erst mit der Nutzung begönnen, seien KI-gestützte Sicherheitskonzepte bereits fester Bestandteil des Repertoires letzterer.

Wie man große KI-Sprachmodelle (Large Language Models, LLM) effizient zur Schwachstellensuche einsetzen kann, erläuterte Brendan Dolan-Gavitt, Sicherheitsforscher von XBOW. Um Fehlalarme zu vermeiden, etwa weil ein LLM eine nicht wirklich vorhandene Sicherheitslücke halluziniert hat, nutzt Dolan-Gavitts Team spezielle, nicht KI-basierte Validierungsmechanismen. Die bestehen aus eindeutigen UUID-Strings (Universally Unique Identifier), die die Forscher etwa in Programmcode oder auch in SQL-Tabellen von Datenbanken platzieren – in Bereichen, die für Angreifer unzugänglich sein sollten.

Mit der KI spielt XBOW dann eine Art Capture-the-Flag-Spiel: Ist sie in der Lage, den String einzusammeln, ist sie definitiv durch eine Sicherheitslücke geschlüpft. Auf Basis dieser Strategie will das Team beim Testen tausender Webanwendungen auf der Plattform Docker Hub insgesamt 174 echte Schwachstellen gefunden und gemeldet haben; 22 CVE-Nummern (Common Vulnerabilities and Exposures) wurden bereits zugewiesen. Überdies existiere noch ein Rückstau von rund 650 weiteren Lücken, deren Meldung oft an fehlenden Möglichkeiten zur Kontaktaufnahme scheiterte.