Veröffentlicht am
Künstliche Intelligenz hat es einfacher gemacht, E-Mails zu schreiben, Tabellenkalkulationen zu erstellen und Urlaube zu planen, wie die große Beliebtheit der verschiedenen KI-Modelle zeigt.
Einem aktuellen Google-Bericht zufolge ist es dadurch auch erheblich einfacher geworden, bisher nicht kartierte oder unvorhersehbare Lücken in der Software unserer Systeme zu erkennen.
Die Threat Intelligence Group von Google sagte, sie habe zum ersten Mal Hacker erwischt, die KI nutzten, um eine sogenannte Zero-Day-Schwachstelle zu entdecken und auszunutzen, also eine Sicherheitslücke, von deren Existenz der Softwareentwickler noch nichts wusste und für die es keine Lösung gibt.
Das Ziel war ein beliebtes webbasiertes Systemverwaltungstool, und die Schwachstelle ermöglichte es Angreifern, die Zwei-Faktor-Authentifizierung zu umgehen, die zweite Sicherheitsebene, von der die meisten Menschen glauben, dass sie ihre Konten schützt.
Google sagte, es habe den Angriff entdeckt, bevor er in großem Umfang eingesetzt werden konnte, und den Softwarehersteller stillschweigend alarmiert.
„Der kriminelle Bedrohungsakteur hatte geplant, es in einem Massenausbeutungsereignis einzusetzen, aber unsere proaktive Gegenentdeckung könnte seinen Einsatz verhindert haben“, heißt es in dem Bericht.
„Bedrohungsakteure im Zusammenhang mit der Volksrepublik China (VRC) und der Demokratischen Volksrepublik Korea (DVRK) haben ebenfalls großes Interesse daran gezeigt, KI zur Erkennung von Schwachstellen zu nutzen.“
Ein Riss, den die Entwickler nicht gesehen haben
Die Zero-Day-Schwachstelle ist kein herkömmlicher Fehler. Herkömmliche Sicherheitsscanner suchen nach Abstürzen und Speicherfehlern, das Software-Äquivalent einer Rechtschreibprüfung sucht nach dem digitalen Äquivalent eines Tippfehlers – aber diese Schwachstelle war in der Logik des Codes verborgen, eine subtile, fest codierte Annahme des Entwicklers, die kein automatisierter Scanner erkannt hätte.
Es ist die Art von Fehler, bei der oberflächlich betrachtet alles richtig aussieht, die zugrunde liegende Argumentation jedoch fehlerhaft ist. Stellen Sie sich einen Banktresor mit einem funktionierenden Schloss vor, das sich dennoch für jemanden öffnen lässt, der weiß, dass die Ausnahme besteht, weil der Designer, ohne es zu merken, eines eingebaut hat.
Das ist genau die Art von Widerspruch, die KI gut finden kann. „Frontier-LLMs zeichnen sich dadurch aus, dass sie diese Art von Fehlern auf hoher Ebene und fest codierten statischen Anomalien identifizieren“, heißt es in dem Bericht weiter.
Obwohl Grenz-LLMs Schwierigkeiten haben, sich in der komplexen Unternehmensautorisierungslogik zurechtzufinden, „verfügen sie über eine zunehmende Fähigkeit, kontextbezogene Überlegungen anzustellen … und die Widersprüche ihrer fest codierten Ausnahmen zu (erfassen)“, heißt es abschließend.
Diese Fähigkeit kann es Modellen ermöglichen, ruhende Logikfehler aufzudecken, die für herkömmliche Scanner funktionell korrekt erscheinen, aus Sicherheitsgründen jedoch fehlerhaft sind.
Nicht nur ein Trick
Während die Zero-Day-Schwachstelle das wichtigste Ergebnis war, ist die Lektüre des vollständigen Berichts unangenehm.
Chinesische und nordkoreanische staatlich geförderte Hacker nutzen KI, um im industriellen Maßstab nach Schwachstellen zu suchen, und senden automatisierte Eingabeaufforderungen, um nach Schwachstellen in allem zu suchen, vom Heim-Router bis zum Unternehmensnetzwerk.
Google beobachtete, wie eine nordkoreanische Gruppe „Tausende sich wiederholender Eingabeaufforderungen verschickte, die verschiedene CVEs rekursiv analysieren und PoC-Exploits validieren“ und so das aufbaute, was der Bericht als „robusteres Arsenal an Exploit-Fähigkeiten bezeichnet, deren Verwaltung ohne KI-Unterstützung unpraktisch wäre“.
Unterdessen nutzen mit Russland verbundene Gruppen KI, um Malware zu entwickeln, die sich im Handumdrehen neu schreibt, um der Erkennung zu entgehen – eine Fähigkeit, die bisher erhebliches menschliches Fachwissen erforderte.
KI verändert auch Phishing. Anstatt generische E-Mails massenhaft zu verschicken, verwenden Angreifer jetzt KI, um Unternehmenshierarchien abzubilden, bestimmte Ziele mit Zugriff auf sensible Daten zu identifizieren und „hochpräzise Phishing-Köder zu erzeugen, die auf Personen mit Administratorrechten zugeschnitten sind“, wie es in dem Bericht heißt, die weit über „die Massentaktiken des traditionellen Massen-Phishing“ hinausgehen.
Der umfassendere Wandel, warnt Google, geht von KI als Forschungsinstrument hin zu KI als einer Art aktivem Kämpfer im Sicherheitsbereich.
„Der LLM ist nicht länger nur ein passiver Berater, sondern ein aktiver Teilnehmer in der Angriffskette, der in der Lage ist, komplexe Toolsets zu orchestrieren und taktische Entscheidungen in Maschinengeschwindigkeit zu treffen.“
Googles eigene KI-Tools haben den Zero-Day erkannt, bevor er Schaden anrichten konnte, was hier der Lichtblick am Horizont ist. Das Unternehmen setzt selbst KI-Agenten ein, um Schwachstellen schneller zu finden und zu beheben, als es menschliche Teams könnten.
