KI erkennt Fehler in Minuten. Der Beweis, dass sie real sind, erfordert noch immer einen Menschen.
Sicherheitsteams ertrinken in KI-generierten Berichten über Sicherheitslücken, die überzeugend wirken, aber zusammenbrechen, sobald jemand versucht, sie nachzuvollziehen. Die alte Regel gilt immer noch: zeige deine Arbeit oder vergiss es.

Wichtige Punkte
- KI-gestützte Sicherheitstools können eine gesamte Codebasis in Minuten scannen – eine Aufgabe, die früher einen erfahrenen Analysten eine Woche kostete.
- Bug-Bounty-Plattformen, die Forscher für die Entdeckung echter Softwarefehler belohnen, melden einen Anstieg von KI-generierten Berichten, die sich als Fälschungen entpuppen.
- Der Maintainer des Open-Source-Projekts curl hat öffentlich beschrieben, wie er von poliert aussehenden Fehlerberichten überwältigt wird, die bei Tests nicht standhalten.
- Ein gültiger Sicherheitsfund erfordert eine funktionierende Demonstration, nicht nur eine schriftliche Beschreibung, und das ist schon immer der Fall gewesen.
- Kleinunternehmer, die unaufgeforderte E-Mails über „kritische Fehler" erhalten, sollten vor jeglichen Maßnahmen um eine Live-Demonstration auf einem Testkonto bitten.
Wie zuerst von ThreatVectr berichtet, prallt die Sicherheitsforschungswelt hart gegen ein einfaches Problem: KI-Tools sind sehr gut darin, Sicherheit auszustrahlen, und Sicherheit ist nicht dasselbe wie Korrektheit.
So sieht der neue Arbeitsablauf tatsächlich aus. Ein Sicherheitsforscher öffnet ein KI-gestütztes Tool, das ein großes Sprachmodell nutzt (dieselbe Technologie, die Chatbots wie ChatGPT antreibt), um Software-Code zu lesen. Das Tool fasst zusammen, was das Programm tut, kennzeichnet verdächtig aussehende Funktionen und entwerft sogar beispielhafte Angriffe, sogenannte Payloads, die der Forscher gegen ein Live-System abfeuern kann. Was früher Tage dauerte, dauert jetzt einen Nachmittag.
Diese Geschwindigkeit ist wirklich nützlich. Das bestreitet niemand.
Das Problem liegt in dem, was danach passiert. Ein großes Sprachmodell weiß nicht, wenn es rät. Es wird eine Sicherheitslücke in sicherer, technischer Sprache beschreiben, einen Funktionsnamen erfinden, der im tatsächlichen Code nicht existiert, und einen Angriff vorschlagen, der nie auf einem echten System getestet wurde. Jeder dieser Berichte landet dann in jemandem Posteingang.
Was kostet das echte Menschen?
Es kostet Zeit, und das ist das, was Sicherheitsteams am wenigsten haben. Jeder falsche Bericht muss geprüft werden, was bedeutet, dass ein menschlicher Analyst ihn sorgfältig lesen, versuchen muss, den beschriebenen Fehler nachzuvollziehen, und dann erklären muss, warum er nicht existiert. Multipliziere das mit hunderten von KI-generierten Einreichungen jede Woche und du hast die einzige Ressource aufgebraucht, die du schützen wolltest.
Freiwillige, die beliebte Open-Source-Software pflegen – Tools, die Millionen von Menschen und Unternehmen jeden Tag nutzen – spüren dies am stärksten. Der Maintainer von curl, einem weit verbreiteten Datenübertragungstool, hat öffentlich erklärt, dass KI-generierte Halluzinationen (Erfindungen, die ein Modell mit vollständiger Sicherheit produziert) die Zeit für echte Arbeit aufzehren.
Bug-Bounty-Plattformen berichten vom selben Muster. Belohne Forscher für echte Funde und plötzlich gibt es einen finanziellen Grund, die Warteschlange mit KI-entworfenen Vermutungen zu überfluten.
Der Standard, der wirklich zählt, hat sich nicht geändert. Ein gültiger Fund bedeutet eine funktionierende Demonstration: exakte Schritte, exakte Softwareversion und im Idealfall ein Proof-of-Concept, ein kurzes Code-Stück oder eine spezifische Eingabesequenz, die den Fehler zuverlässig auslöst. Prosa ohne Beweis ist nur eine Vermutung im Laborkittel.
Die eine ehrliche Erkenntnis: Wenn jemand dein Unternehmen anmailt und behauptet, einen kritischen Fehler auf deiner Website gefunden zu haben, bitte ihn, ihn in einer Testumgebung zu demonstrieren. Legitime Forscher erwarten diese Forderung. Menschen, die auf einen schnellen Gewinn aus sind, gehen selten so weit.



