Ergebnis des Experiments
Das Unternehmen Anthropic hat in Zusammenarbeit mit Mozilla einen Test gestartet, bei dem das Modell Claude Opus 4.6 den Code des Browsers Firefox analysierte. Innerhalb von zwei Wochen entdeckte die KI 22 Schwachstellen, von denen 14 als kritisch eingestuft wurden. Ein Teil der gefundenen Probleme wurde bereits im Update Firefox 148 (Februar) behoben.
Wesentliche Details
Das Modell begann mit der Analyse des Codes und fand in weniger als 20 Minuten einen Fehler des Typs use-after-free in einer Komponente, die mit der Ausführung von JavaScript zusammenhängt. Im Verlauf der Analyse durchlief Claude etwa 6000 C++-Dateien und sandte über 100 Berichte an das Mozilla-Team.
Anthropic testete auch die Möglichkeit, Exploits — speziellen Code zur Ausnutzung der gefundenen Schwachstellen — zu erstellen. Trotz hunderter Tests und rund 4.000 US-Dollar an API-Kosten gelang es nur in zwei Fällen, funktionierende Exploits zu entwickeln.
"Die Ergebnisse zeigen, dass KI zu einem mächtigen zusätzlichen Werkzeug für die kontinuierliche Überwachung der Sicherheit komplexer Software werden kann, aber klare Nutzungsregeln und Kontrollen benötigt"
— Forscher von Anthropic
"Die meisten gefundenen Probleme wurden bereits im Update Firefox 148 behoben"
— ein Sprecher von Mozilla
Risiken und Einschränkungen
Das Experiment brachte zwei zentrale Erkenntnisse zutage. Erstens kann KI die Suche nach Schwachstellen deutlich beschleunigen und den Aufwand für Code-Reviews reduzieren. Zweitens ist die technische Fähigkeit ambivalent: dieselbe KI, die beim Schließen von Bugs hilft, könnte potenziell auch bei der Erstellung von Exploits unterstützen. In diesem Zusammenhang sind nicht nur technische Ergebnisse wichtig, sondern auch Zugangsregelungen, Audits und Kontrollen für die Nutzung der Modelle.
Auf regulatorischer Ebene kommt eine geopolitische Dimension hinzu: Das Modell Claude wurde auf die "Schwarze Liste" des Pentagons gesetzt, und es gab Berichte, dass einige chinesische Unternehmen ihre eigenen Modelle mit Claude trainiert haben, ohne die Zustimmung von Anthropic. Dies hebt Probleme des geistigen Eigentums und die Risiken der Verbreitung von Technologie ohne Kontrolle hervor.
Was das für die Ukraine bedeutet
Erstens ist dies ein Signal an ukrainische Entwickler und staatliche Stellen: in KI-basierte Werkzeuge zur Suche nach Schwachstellen zu investieren ist vernünftig und wirkungsvoll. Zweitens muss das prognostizierte zunehmende Bereitstehen solcher Werkzeuge in den Händen von Gegnern berücksichtigt werden: die Automatisierung der Fehlersuche könnte Cyberangriffe auf kritische Infrastruktur beschleunigen. Schließlich ist es ein Argument für internationale Zusammenarbeit im Bereich Cybersicherheit sowie für klare Regeln zur Weitergabe und Nutzung von Modellen.
Fazit
Das Experiment von Anthropic und Mozilla ist ein Beispiel dafür, wie künstliche Intelligenz die Praxis der Softwaresicherheit verändern kann: Probleme schneller zu erkennen, aber zugleich neue Herausforderungen für Kontrolle und Ethik zu schaffen. Für die Ukraine bietet sich damit die Chance, den Schutz der digitalen Infrastruktur zu stärken, gleichzeitig erinnert es an die Notwendigkeit einer Politik, die Nützliches vom Gefährlichen trennt.
