In den letzten Wochen bin ich immer wieder über Diskussionen rund um neue KI-Modelle im Sicherheitskontext gestolpert, insbesondere über Systeme wie Anthropics „Mythos“. Spannend fand ich dabei vor allem, dass dieses Modell zunächst nur ausgewählten Herstellern zur Verfügung gestellt wurde, damit sie bestehende Sicherheitslücken schließen können, bevor die breite Öffentlichkeit Zugriff erhält. Allein diese Vorgehensweise zeigt schon, wie ernst das Thema genommen wird.

Auf den ersten Blick wirkt es beeindruckend, fast schon beängstigend: Eine KI, die innerhalb weniger Stunden eine umfangreiche Codebasis analysieren, Schwachstellen identifizieren und sogar funktionierende Exploits entwickeln kann. Das klingt nach einem Szenario, in dem plötzlich jedes Softwareprodukt akut gefährdet ist, sobald ein solches System frei verfügbar wird.

Viele Sicherheitslücken sind nämlich weder besonders tief versteckt noch außergewöhnlich komplex. Häufig wurden sie schlicht übersehen oder bewusst als akzeptables Risiko eingestuft. Genau solche Schwachstellen lassen sich aber bereits heute von bestehenden LLMs identifizieren, erklären und oft sogar mit passenden Proof-of-Concept-Skripten versehen. Der eigentliche Unterschied bei neueren Systemen wie Mythos liegt vermutlich eher in größeren Kontextfenstern und einer besseren Ausdauer bei langwierigen Analysen als in völlig neuen Fähigkeiten. Die Grundlage ist also längst vorhanden, was bedeutet, dass Software schon heute angreifbar ist und nicht erst durch die Veröffentlichung solcher Modelle.

In diesem Zusammenhang habe ich selbst ein kleines Experiment gemacht und ein internes Tool mit einer KI scannen lassen. Die gefundenen Sicherheitsprobleme waren sauber und nachvollziehbar identifiziert, allerdings nichts, was mir nicht bereits bekannt gewesen wäre. Ich hatte diese Schwachstellen vor einigen Jahren bewusst als unkritisch eingestuft, als das Tool entstanden ist. Interessant ist nun, dass sich solche Probleme heute in wenigen Minuten beheben lassen, wenn man die Unterstützung von KI nutzt. Das zeigt sehr deutlich, dass künstliche Intelligenz nicht nur eine potenzielle Bedrohung darstellt, sondern bereits jetzt ein äußerst hilfreiches Werkzeug im Sicherheitsbereich sein kann.

Die größte Herausforderung – und gleichzeitig auch die größte Chance – sehe ich allerdings im Bereich der Legacy-Software. Über die Jahre sammelt sich bei vielen Entwicklern eine Vielzahl an Projekten, Tools, Systemen und Frameworks an, die irgendwann aus dem Fokus geraten sind, aber oft noch produktiv genutzt werden. Auch ich erkenne bei mir selbst viele Altlasten: alte Installationen, nicht aktualisierte Systeme, veraltete Plugins oder Frameworks, die irgendwo noch im Einsatz sind. Gerade bei solchen Konstrukten kann ein System wie Mythos zum dringend benötigten Weckruf werden.

Vielleicht ist es genau dieser „Arschtritt“, den viele gebraucht haben, um sich endlich wieder um ihre bestehenden Systeme zu kümmern. Statt sich auf dem Gedanken „Never change a running system“ auszuruhen, sollte man beginnen, genau diese Systeme regelmäßig zu überprüfen, zu aktualisieren oder zumindest besser abzusichern. Denn ein System, das heute noch läuft, könnte morgen bereits ein ernsthaftes Risiko darstellen.

Ich habe mir jedenfalls vorgenommen, meine eigenen Altlasten genauer unter die Lupe zu nehmen. Dazu gehört, alte Ubuntu-LTS-Versionen zu identifizieren und zu aktualisieren, genauso wie Container-Umgebungen konsequenter zu pflegen. Ein simples „docker compose pull“ sollte eigentlich viel öfter Teil der Routine sein, als es in der Praxis häufig der Fall ist. Stabilität ist wichtig, aber sie darf nicht auf Kosten der Sicherheit gehen.

Spannend bleibt auch die Frage, wie große Hersteller und Plattformen auf diese Entwicklung reagieren werden. Ob beispielsweise ältere Betriebssysteme noch einmal zusätzliche Sicherheitsupdates erhalten oder ob der Druck steigt, konsequent auf neuere Versionen zu wechseln, wird sich zeigen. Ebenso interessiert mich, wie Projekte im Legacy-Umfeld, etwa rund um ältere E-Commerce-Plattformen, mit dieser neuen Realität umgehen werden. Wenn die Sicherheitsprobleme im Fundament selbst liegen, stoßen Workarounds irgendwann an ihre Grenzen.

Am Ende steht eine grundlegende Frage im Raum: Wie werden Unternehmen und Entwickler künftig zwischen Bequemlichkeit, Kosten und Sicherheit abwägen? KI macht es einfacher denn je, Schwachstellen zu finden – auf beiden Seiten. Genau deshalb sollte man die aktuelle Entwicklung weniger als plötzliche Bedrohung verstehen, sondern vielmehr als längst überfällige Erinnerung daran, dass Sicherheit kein Zustand ist, sondern ein fortlaufender Prozess.