KI Claude findet in zwei Wochen über 100 Firefox-Bugs

Die KI-Entwicklungsfirma Anthropic hat in zwei Wochen mehr Schwachstellen im Browser Firefox gefunden als die Community in zwei Monaten. Dies bestätigten jetzt die für Firefox zuständige Mozilla Foundation und Anthropic laut einem Medienbericht. An dem internen Test zeige sich, wie stark KI beim Aufspüren von Sicherheitslücken zur Verbesserung von Software beitragen könne. Sicherheitsforscher aber warnen: Diese Werkzeuge gelangen auch in die Hände jener, die damit nichts Gutes im Schilde führen.

Das aktuelle KI-Modell Claude Opus 4.6 habe bereits binnen 20 Minuten den ersten Firefox-Bug gefunden, berichtet das Wall Street Journal. In zwei Wochen habe das Modell insgesamt über 100 Fehler aufgespürt, davon 14 mit einem hohen Schweregrad. Zum Vergleich: Mozilla patchte im vergangenen Jahr 73 Bugs, die als hochkritisch oder kritisch gelten.

Beim Ausnutzen ist die KI schwächer

Positiv ist, dass das verwendete KI-Modell beim Aufspüren von Sicherheitslücken gewandter gewesen sei als im Ausnutzen, heißt es. So sei es der KI nur in zwei Fällen gelungen, funktionierende Exploits zu schreiben. Diese hätten aber auch nur in einer Testversion von Firefox funktioniert. Unter realen Bedingungen wären diese durch Sicherheitsmechanismen des Browsers gestoppt worden. Sicherheitsforscher warnen dennoch davor, dass KI zum Wegbereiter wird und Bugs schneller gefunden und ausgenutzt werden können. Auch der Kryptologe Bruce Schneier sieht ein Wettrüsten zwischen Angreifern und Verteidigern durch den Einsatz von KI-Tools.

Für Entwickler von Open-Source-Projekten liegen beim Auffinden von Bugs per KI allerdings Freud und Leid nah beieinander. Etliche Entwickler klagen über automatisiert abgegebene Fehlerberichte, die auf Halluzinationen der verwendeten KI-Modelle gründen. Hier sei Anthropics Versuch eine Ausnahme gewesen, da nur reproduzierbare Bugs an die Firefox-Entwickler weitergegeben wurden. Um Fehlalarme zu minimieren, setzt das Unternehmen bei seinem neuen Werkzeug Claude Code Security auf eine kontextbasierte Analyse statt auf einen reinen Musterabgleich. Curl-Entwickler Daniel Stenberg beklagte etwa, dass im Jahr 2025 nur einer von 20 gemeldeten Bugs real existierte.

Firefox sei als Testobjekt ausgewählt worden, da der Browser durch sein Bug-Bounty-Programm, das seit über 20 Jahren besteht, als intensivst geprüfter Browser der Welt gilt. Damit habe man es der KI nicht leicht gemacht, auf Fehler zu stoßen, was ihre Leistungsfähigkeit untermauern sollte.

(mki)