Dank KI: Im April so viele Firefox-Lücken geschlossen wie vorher in zwei Jahren

Mozilla hat vor allem dank des neuen KI-Modells Claude Mythos Preview von Anthropic im April genau 423 Sicherheitslücken geschlossen, so viele sind bis vor wenigen Monaten erst in etwa zwei Jahren zusammengekommen. Das geht aus einer Erklärung von drei Verantwortlichen aus dem für den Browser zuständigen Sicherheitsteam hervor. Einen Vorgeschmack auf den enormen Zuwachs hat Mozilla schon vor zwei Wochen zur Veröffentlichung der Firefox-Version 150 gegeben, weitere Bugs wurden danach und davor in kleineren Updates behoben. Aktuell ist die Version 150.0.2. Um die Bandbreite aufzuzeigen, hat das Team jetzt auch mehrere der geschlossenen Lücken vorgestellt, einige waren demnach mehr als 15 Jahre alt.

Von „Unsinn“ zu unersetzbarer Hilfe in wenigen Wochen

Das Sicherheitsteam erinnert jetzt daran, dass KI-Technik schon länger bei der Suche nach Sicherheitslücken zum Einsatz gekommen ist. Bislang war das aber eher ein Problem, viele Open-Source-Projekte haben unter generierten Fehlermeldungen gelitten, die nichts weiter als „Unsinn“ waren. Wie sehr sich diese Dynamik bei Mozilla in den vergangenen Monaten umgekehrt hat, könne „man gar nicht genug betonen“. Das führen die drei zum einen auf die gestiegene Leistungsfähigkeit der KI-Modelle und zum anderen auf deutlich verbesserte Technik zu ihrer Nutzung zurück. Bei Mozilla habe man dafür ein Suchsystem gebaut, bei dem die zugrundeliegenden KI-Modelle einfach getauscht werden können. Als Anthropic dann den Zugriff auf Claude Mythos Preview ermöglicht hat, habe man direkt loslegen können und das Ergebnis sehe man jetzt.

Die drei erklären noch, dass sie bei der Nutzung von KI mit simplen Anfragen begonnen haben, mit der Zeit sei der Prozess aber viel komplexer geworden. Dessen Kern sei aber unverändert: Einer KI würde erzählt, dass es in einem Teil des Quellcodes einen Bug gibt, der müsse gefunden und ein Testfall dazu entwickelt werden. Inzwischen konzentriere man sich dabei auf bestimmte Teile der großen Codebasis und geht davon aus, dass es noch versteckte Lücken gibt. In Zukunft soll der Prozess in die Auslieferung von Patches eingebunden werden. Schon vor Wochen war man bei Mozilla optimistisch, dass die Technik dabei helfen wird, dass die Abwehr im ewigen Kampf gegen Angriffe auf IT die Oberhand behalten wird: „Die gegenwärtige Situation ist zwar gefährlich, bietet aber auch zahlreiche Chancen“, heißt es jetzt.

Anthropic hat Mythos vor einem Monat vorgestellt und dazu erklärt, dass das Modell so gefährlich sei, dass es nur Firmen zur Verfügung gestellt wird, die an IT-Sicherheit arbeiten. Das KI-Modell habe schon tausende hochriskante Zero-Day-Lücken identifiziert, hieß es damals. Gleichzeitig sei die KI-Technik deutlich häufiger in der Lage, einen funktionierenden Exploit für solche Lücken zu entwickeln, teilweise würden dafür sogar mehrere in Verbindung miteinander ausgenutzt. Deshalb hätten nur Firmen Zugriff darauf bekommen, die das Werkzeug nutzen können, um die IT-Sicherheit zu verbessern. Mozilla bestätigt jetzt, dass einige der gefundenen Lücken einen Ausbruch aus der Sandbox umfassen, für einen erfolgreichen Angriff benötigen sie eine weitere Lücke. Solche Bugs seien bislang besonders schwer zu finden gewesen.

Zur Freigabe der Firefox-Version 150 hat sich Mozilla überzeugt gegeben, dass man mit KI-Hilfe tatsächlich alle Sicherheitslücken in einer Software finden und diese damit vollständig absichern kann. Damit wurde den Befürchtungen widersprochen, dass Anthropics KI eine Ära einleitet, in der Kriminelle oder Angreifer in Staatsdiensten ein so leistungsfähiges Werkzeug erhalten könnten, dass die Verteidigung sinnlos wird. Die gegenteilige Vision von Mozilla kann aber nur Realität werden, wenn wirklich jede Software mit KI-Hilfe geprüft und danach rasch abgesichert wird. Ob das überhaupt geschehen kann und wird, ist zumindest fraglich. Dass das aber zumindest versucht wird, zeigt nicht nur das Vorgehen von Mozilla, auch im Chrome-Browser wurden zuletzt besonders viele Sicherheitslücken geschlossen.

(mho)