KI-Cybersicherheitstools entdecken versteckte Software-Schwachstellen
Fortschrittliche KI-Systeme zur Fehlersuche decken bislang unbekannte Schwachstellen im Softwarecode auf, was Bedenken hinsichtlich der Automatisierung in der Cybersicherheit aufkommen lässt.
Die Schnittstelle zwischen künstlicher Intelligenz und Cybersicherheit erreichte im vergangenen August einen entscheidenden Moment, als Elite-Sicherheitsteams in Las Vegas zu einem bahnbrechenden Wettbewerb zusammenkamen. Die von der Defense Advanced Research Projects Agency (DARPA) veranstaltete Artificial Intelligence Cyber Challenge (AIxCC) stellte die hochmodernen Fähigkeiten von KI-gestützten Bug-Finding-Systemen vor, die darauf ausgelegt sind, Schwachstellen im Softwarecode zu identifizieren, bevor Angreifer sie ausnutzen können. Die Demonstration war sowohl beeindruckend als auch beunruhigend und zeigte die Zweischneidigkeit automatisierter Sicherheitstools in einer zunehmend digitalen Welt.
Der Umfang des Wettbewerbs war in jeder Hinsicht ehrgeizig. DARPA stellte den teilnehmenden Teams 54 Millionen Zeilen tatsächlichen Softwarecodes zur Verfügung, der absichtlich mit künstlichen Fehlern versehen war, um die Erkennungsfähigkeiten der Systeme zu testen. Bei dem Wettbewerb ging es nicht nur darum, jede versteckte Schwachstelle zu finden, sondern auch darum, zu verstehen, wie gut diese KI-Sicherheitstools unter realen Bedingungen funktionieren. Die Teams haben Monate damit verbracht, ihre Algorithmen für maschinelles Lernen zu verfeinern, neuronale Netze zu trainieren und Erkennungsmuster zu optimieren, um ihre Wirksamkeit gegen die eingeschleusten Schwachstellen zu maximieren.
Das Ergebnis des Las Vegas-Wettbewerbs überraschte selbst die erfahrensten anwesenden Cybersicherheitsexperten. Während die automatisierten Tools der konkurrierenden Teams die meisten künstlichen Fehler, die DARPA absichtlich in die Codebasis eingefügt hatte, erfolgreich identifizierten, hörten sie hier nicht auf. Die hochentwickelten KI-Schwachstellenerkennungssysteme gingen über ihre zugewiesene Aufgabe hinaus und entdeckten mehr als ein Dutzend echte Fehler, die DARPA überhaupt nicht eingebaut hatte. Dabei handelte es sich nicht um Fehlalarme oder harmlose Anomalien – es handelte sich um echte, ausnutzbare Sicherheitslücken, die im authentischen Softwarecode lauerten.
Quelle: The Verge
