Google: Cyberangriff mittels per KI gefundener Zero-Day-Lücke abgewehrt

Google hat nach eigenen Angaben jüngst einen Cyberangriff verhindert, der auf einer Zero-Day-Lücke beruht hätte, die mithilfe einer KI-Technik gefunden wurde. Das hat die Google Threat Intelligence Group jetzt öffentlich gemacht, ohne dabei aber viele Details zu nennen. Laut der Erläuterung handelte es sich um eine Sicherheitslücke in einem Python-Skript, das es einem Nutzer oder einer Nutzerin ermöglicht hätte, die Zwei-Faktor-Authentifizierung „eines beliebten, quelloffenen, web-basierten Werkzeugs zur Systemadministration“ zu umgehen. Die Informationen zur Lücke seien dem betroffenen Anbieter im Rahmen von Responsible Disclosure offengelegt und die damit verbundenen Aktivitäten unterbunden worden. Bei Google gehe man davon aus, dass die Lücke nicht mit der eigenen KI Gemini entdeckt wurde.

Über den Einzelfall hinaus von Bedeutung

Die Sicherheitsabteilung von Google hat demnach auch keinen direkten Beweis dafür, dass die Lücke mit KI-Hilfe gefunden wurde, darauf schließt man dort lediglich aus bestimmten Indizien. So enthalte der Schadcode eine Vielzahl von informativen Angaben, einen fiktiven CVSS-Wert und ein „strukturiertes, lehrbuchhaftes Python-Format, das für Trainingsdaten generativer Sprachmodelle sehr charakteristisch“ sei. Gleichzeitig handle es sich um eine Art von Lücke, die mit herkömmlichen Werkzeugen nur sehr schwer zu finden gewesen sein. KI-Modelle würden bei der Suche danach aber „brillieren“. Dabei würden verborgene Logikfehler aufgedeckt, „die für herkömmliche Scanner zwar funktional korrekt erscheinen, aus Sicherheitssicht aber schwerwiegende Schwachstellen darstellen“.

Die Bekanntmachung von Google deutet an, dass eine Epoche KI-gestützter Cyberangriffe begonnen haben könnte, vor der seit Wochen gewarnt wird und bei der unklar ist, wie lange sie andauern könnte. Grundlage dafür war primär das KI-Modell Claude Mythos Preview, das bei der Suche nach Lücken so gut sein soll, dass der Hersteller Anthropic es nicht veröffentlichen will. Stattdessen haben nur ausgewählte Firmen Zugriff, die damit die IT-Sicherheit verbessern sollen. Als direkte Konsequenz wurden in mancher Software zuletzt besonders viele Lücken gefunden und geschlossen. Bei Mozilla meint man sogar, dass alle Softwarefehler grundsätzlich auffindbar seien und die Verteidigung gewinnen könnte. Bis dahin dauert es aber noch, und Googles Stellungnahme deutet an, dass böswillige Cyberakteure nun ähnliche Werkzeuge nutzen können.

(mho)