KI-Chatbot findet Hunderte Sicherheitslücken

    Bekomme ich gerade per Push up rein und macht mich etwas Sprachlos.

    Demnach hat die künstliche Intelligenz (KI) bereits mehr als 500 bisher nicht bekannte schwerwiegende Schwachstellen in Sammlungen von Open-Source-Programmen entdeckt, heißt es in einem Blogeintrag des Unternehmens  . Anthropic hatte zuvor allerdings davor gewarnt, dass Online-Angreifer für ihre Attacken ebenfalls auf künstliche Intelligenz setzen.

    KI-Chatbot findet Hunderte Sicherheitslücken und löst Kurssturz aus
    ChatGPT-Konkurrent Anthropic hat Claude Opus 4.6 vorgestellt. Die KI soll umfassende Marktanalysen durchführen. Zunächst hat sie jedoch 500…
    www.spiegel.de

    0-Days \ red.anthropic.com

    Quote from /su

    Demnach hat die künstliche Intelligenz (KI) bereits mehr als 500 bisher nicht bekannte schwerwiegende Schwachstellen in Sammlungen von Open-Source-Programmen entdeckt

    Das ist eigentlich nichts Neues, da hat man vor 2 Jahren schon vor gewarnt. Die Firewall wird zum KI-Schlachtfeld werden, drinnen wie draußen ^^

    Wieviele dieser 500 Sicherheitslecks sind verlässlich tatsächlich schwere Probleme und wieviele davon sind nur "KI-Rauschen" ?

    Keine Alternativen ? Kein Mitleid !

    Entschuldigung, Sicherheitslücken sind normal, weil Software immer ein "lebendes Produkt" ist, welches beim Kunden reift. ;) Das ist einfach so.

    Die spannende Frage ist immer nur, wie schnell, und vor allem mit welcher Priorität ein entsprechender Anbieter seine Lücken schließen kann und schließen will.

    Vierzig Jahre (und ein paar Monate) Windosgeschichte sind doch Beweis genug. ;)

    Aus meinem Notizsystem
    Witz des Jahrhunderts. "Es wird nach 1528437 Virenstämmen gesucht."
    Meldung eines Viren-Scanners eines mir unbekannten Betriebssystems.

    Edited 2 times, last by Lnhrd (February 7, 2026 at 2:42 PM).

    Apple zum Beispiel ist dafür bekannt, dass immer zahlreiche Fehler enthalten sind. Dort legt man nicht so sehr Wert darauf, alle Lücken zu schließen. Aber die wirklich kritischen Lücken, die den Kunden gefährlich werden können, die werden mit dem recht großen Software-Team in Cupertino sehr wohl angegangen.

    Und bei der Bash war mal zwei Jahre eine sehr heftige Lücke, reingerissen durch einen engagierten Hobbyisten, der wohl nicht so recht wusste, was er da angerichtet hat. Und aufgefallen ist das erst zwei Jahre später.

    Bekannt geworden ist das unter dem Namen Shellshock, über die es sogar eine Wikipedia-Seite gibt.

    Da Android nicht die Bash sondern mksh benutzt, waren Milliarden an Android-Handys nicht betroffen. ;)

    Bei solchen Meldungen frage ich mich immer wieder, wer hat den Auftrag gegeben um z.B. sowas zu untersuchen? Frage 2: Wem nützt es?

    Dann habe ich mal die KI gefragt wer Anthropic finanziert. Ich zitiere die KI

    ... Anthropic selbst wird von Investoren und Partnern aus der Tech-Industrie unterstützt – darunter große Firmen wie Microsoft und Amazon...

    Leide ich unter Verfolgungswahn?

    Wähle den richtigen, nicht den einfachsten Weg!

    Quote from aef100

    Leide ich unter Verfolgungswahn?

    Ja, denn es ist durchaus üblich das große Firmen so etwas sponsern, ansonsten wäre auch Linux nicht das was es ist.

    Zuviel Paranioa ist nicht gesund. ;)

    Quote from K-P

    Ja, denn es ist durchaus üblich das große Firmen so etwas sponsern, ansonsten wäre auch Linux nicht das was es ist.

    Zuviel Paranioa ist nicht gesund. ;)

    Sponsern ist OK, aber wer hat den Auftrag gegeben und wieso? ;)

    Wähle den richtigen, nicht den einfachsten Weg!

    Quote from aef100

    Sponsern ist OK, aber wer hat den Auftrag gegeben und wieso? ;)

    Was ist wenn sie sich selber den Auftrag gegeben haben?

    Quote

    Anthropic ist ein Unternehmen für KI-Sicherheit und -Forschung, das an der Entwicklung zuverlässiger, interpretierbarer und steuerbarer KI-Systeme arbeitet.

    Es muss nicht immer einen externen Auftraggeber geben. =O

    Manchmal ist es besser nicht nur die KI zu fragen, sondern selber zu suchen und zu finden.

    K-P

    Was wäre wen z.B. Grok mal Microsoft oder Google-Software unter die Lupe nimmt?

    Lücken gibt es immer, aber muss das auch öffentlich gemacht werden? Da kann man doch die Programmierer direkt benachrichtigen.

    Ich weiß nicht. Für mich hat das alles ein "Geschmäckle".

    Wähle den richtigen, nicht den einfachsten Weg!

    Quote from aef100

    Ich weiß nicht. Für mich hat das alles ein "Geschmäckle".

    Quote from K-P

    Ich sach ja, zuviel Paranoia ist ungesund. :D

    Ich würde dir empfehlen das Internet abzuschalten und sämtliche IT-Geräte sofort zu verschrotten.... dann bist Du sicher. 8o

    Bleibt bitte beim Thema. Es geht hier ja nicht darum, ob KI gut sind oder schlecht, bzw ob ihr sie gut findet oder nicht. Es geht gezielt darum, dass Sicherheitslücken (angeblich) gefunden wurden durch KI.

    Wir sollten hier nicht jedes Thema zu KI ausarten lassen, weil jemand ein Problem mit KI hat bzw diese ablehnt.

    Wenn solche Tools verantwortungsvoll eingesetzt werden, könnte das die Sicherheit von Open Source Software verbessern. Kleine Projekte mit begrenzten Ressourcen könnten tatsächlich stark profitieren, wenn KI ihnen hilft, kritische Lücken schneller zu finden und zu schließen.

    Aber es gibt durchaus berechtigte Bedenken:

    Wie viele der gemeldeten "Schwachstellen" sind tatsächlich gefährlich und wie viele nur False Positive Rauschen, das Maintainer unnötig belastet und User verunsichert?

    Dieselbe KI, die Bugs findet, kann auch von Angreifern genutzt werden, um automatisiert Exploits zu entwickeln.

    Wenn diese Form der "Sicherheit" von gewinnorientierten Firmen abhängt, wer kontrolliert dann die Funktionsweise der proprietären KI Tools, die Open Source Infrastruktur analysiert und wer legt fest was überhaupt sicher ist?

    Quote from micha_cgn

    Wenn diese Form der "Sicherheit" von gewinnorientierten Firmen abhängt, wer kontrolliert dann die Funktionsweise der proprietären KI Tools, die Open Source Infrastruktur analysiert und wer legt fest was überhaupt sicher ist?

    Guter Punkt, auch wenn ich ihn vielleicht anders aufnehme, als du ihn gemeint hast? Was ich nicht denke, was passiert: KI sagt da ist eine Lücke, echte Fachleute oder zumindest Menschen mit ausreichenden Fähigkeiten analysieren das und sagen dann "Nein, ist keine Sicherheitslücke. Dann wird das trotzdem von allen als Lücke eingestuft und gilt als solche.

    Das halte ich eigentlich für ausgeschlossen. Was eher möglich wäre, ist ein mehr oder weniger großes PR-Desaster. Wenn dann ne KI plötzlich meldet, dass es eine 0-day in Programm XY gibt. Große Firmen wie MS und Co können da vielleicht noch irgendwie gegensteuern, aber da es ja hier um Open Source geht, ist da vielleicht schnell ein Schaden entstanden, was die Reputation angeht. Vielleicht behalten die Leute einfach lange im Kopf, dass da doch mal was war, auch wenn es vielleicht Fehlalarm war. Möglich ist ja auch - was ja durchaus schon passiert ist - dass sich "neue" Reports dann auf alte Versionen beziehen, die längst gefixt sind. Und trotzdem ist dann plötzlich ein Schaden da.

    Wenn eine Sicherheitslücke geschlossen wird, ist es mir persönlich egal, ob die von Mensch oder Maschine gefunden wurde. Aber gefundene Lücken sollten so oder so erst mal überprüft werden, bevor sie veröffentlicht werden.

    Das was ich in meinem zweiten Absatz geschrieben habe, steht ja von der Sache her eigentlich auch im Artikel. Aktienkurse die fallen, etc. ABER.. ich habe irgendwie so meine Probleme mit dem Artikel.

    Quote

    Im Wettlauf der KI-Entwickler weitet Anthropic, ein Konkurrent des ChatGPT-Entwicklers OpenAI, die Fähigkeiten seiner Software Claude auf mehr Bereiche aus.

    oder auch

    Quote

    Wissen wie Finanzexperten

    Das klingt ja fast wie ein Werbetext für Claude. Auch der Hinweis, dass Anthropic bereits in der letzten Woche nur durch sein Angebot einen Kurssturz ausgelöst habe. Dann noch der - im Kontext zum Titel des Artikels - extrem wichtige Hinweis "Die KI kann auch Powerpoint und Excel". Dann wird nochmal auf das Abo für 100 EUR hingewiesen. Was hat das alles mit den Sicherheitslücken zu tun?

    In meiner Wahrnehmung passt der gesamte Text irgendwie so gar nicht zum Titel. Der Titel ist ein Aufmacher, dann geht man gar nicht weiter darauf ein und man schreibt stattdessen über sonstigen Fähigkeiten und den Preis der KI.

    Irgendwie fishy das Ganze.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login