Cybersicherheit: Claude Mythos behebt 271 Schwachstellen in Firefox
Anfang des Monats stellte Anthropic mit Claude Mythos ein KI-System vor, das durch seine Fähigkeiten beim Auffinden und Ausnutzen von Sicherheitslücken gleichermaßen Interesse wie Bedenken auslöste. Mozilla hat nun in einem Blog-Eintrag erläutert, welche Rolle das Werkzeug bereits jetzt bei der Absicherung von Firefox spielt.
Erster Erfolg schnell erkennbar
Bereits bei ersten Analysen mit Opus 4.6 Anfang Februar konnte das KI-Modell zur Behebung von 22 sicherheitskritischen Schwachstellen in Firefox 148 beitragen. Im Rahmen der Zusammenarbeit mit Anthropic erhielten die Entwickler zudem Zugriff auf eine frühe Vorschauversion von Claude Mythos, mit der sie eine spätere Firefox-Iteration detailliert untersuchten, die schließlich als Version 150 veröffentlicht wurde. Dabei identifizierten und beseitigten Mozilla und Anthropic gemeinsam insgesamt 271 Schwachstellen, die allein während der ersten Auswertung entdeckt wurden.
Möglichkeiten werden erweitert
Diese Ergebnisse nähren die Erwartung, mit der rasanten Entwicklung auf Angreiferseite Schritt halten zu können, die ebenfalls zunehmend auf automatisierte Werkzeuge beim Auffinden von Schwachstellen setzen. Bisher lag der Konsens daher eher in der Feststellung, dass es ein unrealistisches Ziel wäre, Exploits vollständig eliminieren zu können. Gleichzeitig weist Mozilla darauf hin, dass die Angriffsfläche moderner Software so groß ist, dass sie mit herkömmlichen Mitteln nur schwer umfassend abgesichert werden kann. Die bisherigen Möglichkeiten waren zudem stark durch verfügbare personelle Ressourcen begrenzt.
Keine Wunderwaffe gegen Cyber-Kriminalität
Gleichzeitig betont Mozilla, dass auch Claude Mythos kein Wunderwerk ist und ebenso keine unendlichen Möglichkeiten besitzt – womit bei den Überprüfungen schnell die Realität wieder gegriffen hat. Bei diesen habe sich schnell gezeigt, dass das Modell keine Schwachstellen aufdecken konnte, die nicht auch von menschlichen Experten mit ausreichend Zeit und Ressourcen gefunden worden wären. Der entscheidende Unterschied liege demnach vor allem im Tempo und in der Skalierbarkeit der Kontrolle. Mozilla widerspricht damit der Einschätzung einiger Experten, wonach künftige KI-Systeme völlig neue Arten von Sicherheitslücken identifizieren könnten, die über das aktuelle Verständnis von Entwicklern hinausgehen.
Das passt zu Analysen wie der von Red Hat. Der Anbieter der Linux-Distribution bewertet ebenfalls vor allem die Menge an Sicherheitslücken und -berichten als herausfordernd. Für IT-Anbieter wäre es künftig daher bedeutend, Ressourcen so zu priorisieren, dass bei Tausenden Meldungen zuerst die kritischen und gefährlichen Schwachstellen behoben werden.