News Autonom Sicherheitslücken ausnutzen: BSI warnt vor Konsequenzen von Modellen wie Claude Mythos

[Andy]

Wenn Anthropics neues Modell Claude Mythos tatsächlich in der Lage ist, autonom Sicherheitslücken zu entdecken und dann auch auszunutzen, steht ein gravierender Wandel bei der IT-Sicherheit bevor. Das BSI nimmt die Ankündigung sehr ernst.

Zur News: Autonom Sicherheitslücken ausnutzen: BSI warnt vor Konsequenzen von Modellen wie Claude Mythos

 

[Fliz]

Die Technik bleibt halt nicht stehen und entwickelt sich immer weiter.. Demnächst braucht man eigene KIs für die Abwehr...

 

[XamBonX]

AI vs. AI ....moment...ich kenn das Spiel....

 

[DerSchalker92]

Aus meiner Sicht heißt das, dass man in vielen Bereichen mehrere Schritte zurückgehen muss, um die Angriffsvektoren zu minimieren, weil sich da in vielen Unternehmen sehr viel Unbedarftheit und Bequemlichkeit eingeschlichen hat. Viele Dienste hängen im Internet, es gibt viele undurchschaubare Abhängigkeiten, die Abschottung von einzelnen Diensten wurde nicht konsequent durchgezogen, BYOD und Sicherheit sind nicht richtig durchdacht worden usw.

Die AI kann nicht zaubern. Wenn man klar voneinander getrennte, transparente Systeme und Dienste hat, dann sind die Gefahren durch diese neuen Lösungen sicherlich überschaubar. Die Frage ist halt, welche IT-Abteilung das leisten kann und ob dadurch noch mehr in die Cloud der Monopolanbieter wandert.

 

[karamba]

Wir gehen in chaotische/disruptive Zeiten. Die Entwicklung von KI ist schneller, als jede Anpassung daran möglich ist. Und gleichzeitig wird die Welt von zu vielen Knallköpfen getrieben, deren Priorität nicht unbedingt Gemeinwohl ist... und die werden teilweise auch noch gewählt.

 

[LachFlash]

Na das ist doch mal richtig Cool. Ich warte schon gespannt auf die nächsten Blockbuster. 🫠

@karamba "und die werden teilweise auch noch gewählt" was ja nun mal so ist, wäre ja langweilig wenn alle die Gleiche Meinung hätten.

 

[gollum_krumen]

@karamba "und die werden teilweise auch noch gewählt" was ja nun mal so ist, wäre ja langweilig wenn alle die Gleiche Meinung hätten.

Wäre aber auch spannend, mal zu erleben, wie frei und potent unsere Gesellschaft sein könnte, wenn Leute programmatisch nach ihren Interessen wählen würden und nicht nach Bauchgefühl auf dem Affektbasar.

 

[grincat64]

Bislang hat Anthropic nicht die Absicht, das neue Spitzenmodell für die Allgemeinheit freizugeben. Stattdessen hat das Unternehmen in dieser Woche das Projekt Glasswing angekündigt, bei dem rund 40 Organisationen beteiligt sind. Dazu zählen Konzerne wie Amazon, Apple, Google und Microsoft sowie Organisationen wie die Linux Foundation und weitere Open-Source-Anbieter.

Lächerlich! Warum schwebt mir gerade der Satz vor "Niemand hat die Absicht eine Mauer zu errichten."
Natürlich nicht für die Allgemeinheit aber ganz sicher für nicht weiter zu benennende Institutionen. Faktisch ist das Kind doch schon in den Brunnen gefallen.

Und wenn ich die Auflistung der Konzerne lese, dann sehe ich bis auf nicht weiter benannte Open-Source-Anbieter und die Linux-Foundation doch nur Konzerne die ganz gezielöt nach genau diesen Lücken suchen würden, um sie für ihre Belange zu nutzen.

Deutschland ist sowieso außen vor, denn wir haben überhaupt nicht die Klasse da mitzuspielen. Diese Möglichkeiten werden andere Länder und Konzerne für sich nutzen. Deutschland könnte, in Ermangelung des Personals und der Technik, einfach nur teuer bezahlen.

Aber es war schon ganz am Anfang abzusehen, das uns die KI und später daraus entstandene Modelle den Hals umdrehen würden.

 

[Thaxll'ssillyia]

Ja wo kämen wir dann da hin wenn Behörden nun auch auf aktuellere Software setzen müsste, statt überall ihren uralten Legacy-Kram a la "dafür brauchen Win7, das läuft auf Win11 nicht" weiterverwenden zu können?

Da wäre es auch voll sinnvoll auf Open-Source zu setzen, dann kann wenigstens jeder versierte Bürger sich von der Qualität überzeugen, statt nur zu vertrauen.

 

[Deckimbal]

So kann man das eigene KI-Modell auch profitabel machen:


Die Monetarisierung von KI könnte dem Prinzip „Feuerwehr und Brandstifter” folgen. Zunächst wird ein (kostenloses) KI-Tool veröffentlicht, das Sicherheitslücken aufspürt und potenziell ausnutzen kann. Zeitgleich vertreibt man die passende Lösung: ein KI-System, das genau diese Lücken automatisiert schließt. So wird die Nachfrage nach Absicherung direkt selbst generiert.

 

[LachFlash]

... wie frei und potent unsere Gesellschaft sein könnte, wenn Leute programmatisch nach ihren Interessen wählen würden und ... .

Möchte aber auch nicht jeder und selbst Interessen ändern sich im Laufe eines Lebens.

 

[Magi2202]

Das ganze wird langsam immer mehr die Rolle Rückwärts in die Steinzeit. Firmen die sich keine teure IT leisten können haben ihr wissen dann lokal ohne Verbindung zum Internet oder in der vermeintlich sicheren Cloud, ggf Terminals zur Beschaffung von Informationen aus dem Internet und dem Kundenverkehr. Ich bin gespannt auf den Weg durch diese neue Art der Hürden.

 

[Der Puritaner]

Demnächst braucht man eigene KIs für die Abwehr...

Genau so wird es kommen, früher hat es Tage gebraucht und neu gefundenen Schwachstellen auszunutzen heute braucht es nur noch Minuten oder Sekunden um neue Schwachstellen auszunutzen dazu benötigt zb. die EU mittlerweile eigene KI Agenten um sie abzuwehren!

 

[steirerblut]

Perfekte & sichere Software ist eine Illusion. In einer idealen Welt würde Project Glasswing mehr Entwicklern und vor allem auch Internationalen Unternehmen zur Verfügung stehen. In dieser Welt leben wir aber nichtmal Ansatzweise. Wenn Mythos 16 Jahre Exploits in FFMPG und 27 Jahre alte Bugs in BSD ausfindig und in 2026 anwenden kann ists fürs erste ja nicht schlecht.
Für mich aber die Bestätigung das die Abkehr von Cloud zur lokalen Speicherung privater Daten kurzfristig die bessere Entscheidung ist.

 

[DerSchalker92]

Genau so wird es kommen, früher hat es Tage gebraucht und neu gefundenen Schwachstellen auszunutzen heute braucht es nur noch Minuten oder Sekunden um neue Schwachstellen auszunutzen dazu benötigt zb. die EU mittlerweile eigene KI Agenten um sie abzuwehren!

Aber was heißt denn Abwehr? IT-Sicherheit ist leider meistens eine ziemlich digitale (im Sinne von ja oder nein) Angelegenheit. Wenn Daten weg sind, sind sie weg, wenn Daten verschlüsselt werden, sind sie verschlüsselt etc. Der "Kampf" findet eigentlich immer nur reaktiv statt, z.B. in dem nach Angriffen Software gepatcht wird, Konfigurationen verändert werden usw.

 

[0x8100]

So kann man das eigene KI-Modell auch profitabel machen:

Die Monetarisierung von KI könnte dem Prinzip „Feuerwehr und Brandstifter” folgen. Zunächst wird ein (kostenloses) KI-Tool veröffentlicht, das Sicherheitslücken aufspürt und potenziell ausnutzen kann. Zeitgleich vertreibt man die passende Lösung: ein KI-System, das genau diese Lücken automatisiert schließt. So wird die Nachfrage nach Absicherung direkt selbst generiert.

die sicherheitslücken sind aber nun mal da und würden nicht einfach so von alleine verschwinden, wenn es dieses produkt nicht gäbe. also lieber die lücken finden und beseitigen, als sich in falscher sicherheit wiegen. denn früher oder später holen einen die bugs doch ein und dann hat man sie lieber selbst gefunden und gefixt anstatt des freundlichen hackers von nebenan.

 

[AnotherMonkey]

Jede Wette, dass die nur Fuzzing im großen Stil machen und das jetzt als totale Erfolgsgeschichte verkaufen wollen, um noch mehr Investorengelder zu bekommen. Und wenn man sich die Codequalität normaler Entwickler so anschaut, die noch nie was von Injection, Buffer-Overflows, u.ä. gehört haben, dann wundert es hoffentlich niemanden, dass die da irgendwas finden.

 

[MelbarKasom]

Ok also wenn es so ist wie beschrieben, dann erhalten jede Menge Konzerne, aber auch Open-Source Gruppen sowie Linux-Foundation die Möglichkeit damit "zu spielen" und bei weiterer Entwicklung des Modells in Zukunft nahezu alle denkbaren und für Menschen vielleicht "undenkbaren" Sicherheitslücken zu kennen.
Ich gehe davon aus, dass letztere Gruppe dafür sorgen wird, ganz nach dem open-source Prinzip, das alles veröffentlicht und natürlich auch geschlossen wird, um die Systeme sicher zu halten.
Die Konzerne denk ich mal werden genauso handeln, weil man einfach "zum Opfer" wird, wenn ständig neue Botnetze und Co. dieselbe Sicherheitslücke wieder und wieder penetrieren.

Ok verstanden, soweit so gut. Wie im Artikel angedeutet, wird das natürlich staatlichen Akteuren "stinken", denn ihre Arbeit wird erschwert beim Überwachen. Die Überwachung der User durch die Konzerne dürfte wenig bis gar nicht tangiert werden, da 90% der User eh schon alles über sich preis geben durch den Klick auf "ich akzeptiere die AGB" und Nutzung der Software dieser Konzerne. Die benötigen solche Sicherheitslücken nicht, ihre User liefern sie freiwillig.

Da wird dann in Zukunft die spannende frage sein, ob staatliche Akteure von sehr autoritären Staaten (links/rechts spielt hierbei keine Rolle) eher den Weg Nordkoreas wählen, so dass das Volk völlig vom internationalen Netz abgekoppelt wird, um es zum einen vor unerwünschter Auslandspropaganda oder schlicht "informationen" zu schützen und aber auch um weiterhin eine Vielzahl von Lücken selbst zur Überwachung der eigenen Bevölkerung nutzen zu können.

In weniger autoritären Staaten, oder sogar liberalen Staaten, kann es aber auch zu einem neuen "Überwachungsruck" kommen und wahrscheinlich noch viel tiefgreifendere Eingriffe in die informationelle Selbstbestimmung, denn unabhängig vom politischen Spektrum gieren staatliche Akteure immer, egal wo, nach dem maximal möglichen. Das wird man uns, den Ami's, den Russen, den Türken und auch den Nordost-Suaheli überall gleich verkaufen:" Es dient nur "eurer" (diverse Familienmitglieder/Haustiere hier einfügen) Sicherheit.

 

[Wakasa]

Kennt ihr noch Öff Öff?
Früher habe ich über ihn gelacht. Früher...

 

[tree-snake]

Demnächst braucht man eigene KIs für die Abwehr...

Die Aktien dieser Firmen sind übrigens noch nicht so hoch bewertet ; ) Der Kampf gegen KI wird wohl der nächste Hype nachdem wir alle die jetzt so mächtig gemacht haben