Branchenweites "Project Glasswing"
KI gegen Hacker: Apple beteiligt sich an neuer Sicherheitsinitiative
Mit Project Glasswing startet eine branchenübergreifende Initiative, die zentrale Software-Infrastrukturen besser vor Cyberangriffen schützen soll. Zu den beteiligten Unternehmen zählen neben Anthropic und Apple unter anderem auch Amazon, Microsoft und Google. Auch Netzwerkausrüster, Sicherheitsfirmen und Organisationen aus dem Open-Source-Umfeld sind eingebunden.
Apple bringt dabei seine Erfahrung aus der Absicherung eigener Plattformen wie iOS und macOS ein. Gerade diese Systeme stehen regelmäßig im Fokus von Angreifern und gelten zugleich als wichtige Testfelder für neue Schutzmechanismen. Durch die Teilnahme erhält Apple Zugriff auf neue Analysewerkzeuge und kann gleichzeitig eigene Erkenntnisse in das Projekt einbringen.
Ziel der Zusammenarbeit ist es, Sicherheitslücken schneller zu erkennen und zu schließen. Die Partner nutzen dafür ein neues KI-Modell namens Claude Mythos Preview, das speziell für die Analyse von Softwarecode entwickelt wurde.
Claude Mythos entdeckt Sicherheitslücken
Das eingesetzte Modell kann Programmcode eigenständig untersuchen und Schwachstellen identifizieren. In ersten Tests wurden tausende bislang unbekannte Sicherheitslücken gefunden, darunter auch sogenannte Zero-Day-Schwachstellen in Betriebssystemen und Browsern. Einige dieser Fehler bestanden bereits seit vielen Jahren und blieben trotz umfangreicher Prüfungen unentdeckt.
Die Funktionsweise lässt sich vereinfacht so erklären, dass die KI große Mengen Code analysiert, Zusammenhänge erkennt und potenzielle Angriffspunkte simuliert. Dadurch sinkt der Aufwand, Sicherheitsprobleme aufzuspüren. Gleichzeitig wächst jedoch das Risiko, dass solche Technologien auch von Angreifern genutzt werden.
Project Glasswing setzt daher bewusst auf eine defensive Nutzung. Die beteiligten Unternehmen testen das Modell in ihren eigenen Systemen und teilen Ergebnisse mit der Branche. Ergänzend stellt der Initiator Anthropic finanzielle Mittel sowie Nutzungsguthaben bereit, um auch kleinere Organisationen und Open-Source-Projekte einzubeziehen.
Die Initiative ist langfristig angelegt. Neben der technischen Analyse sollen auch neue Standards für den Umgang mit Sicherheitslücken entstehen. Dazu zählen schnellere Update-Prozesse und automatisierte Prüfverfahren. Angesichts der wachsenden Bedeutung von KI in der Softwareentwicklung sehen die Partner hier einen notwendigen Schritt, um bestehende Infrastrukturen widerstandsfähiger zu machen.
Das ist natürlich zu begrüßen. Allerdings müsste auch deutlich mehr gegen Spammer gemacht werden! Die sind die absolute Seuche.
Und gegen Phisher und auch gegen FakeNews.
Was sind FakeNews? Andere Meinung? Sind das FakeNews?
Da kannst du einfach im Duden nachschauen: „in den Medien und im Internet, besonders in den Social Media, in manipulativer Absicht verbreitete Falschmeldungen“
https://www.duden.de/rechtschreibung/Fake_News
KOBRA. Wie lautet die Übersetzung? Hm?
GaGa-Beitrag kannste stecken lassen.
SieS, korrekt und man kann diese sprachliche Manipulation auch tagtäglich in den Medien beobachten:
„Putins unprovozierter Angriffskrieg“ vs „der Iran-Konflikt“
oder
„Putins brutaler Bombenterror tötet X Menschen in Kiew“ vs „Im Libanon starben X Menschen nach Angriffen“
Oder um beim IT-Them zu bleiben:
„Deutsche Firmen bereit für Souveränität tief in die Tasche zu greifen“
vs.
„Deutsche Unternehmen kaum bereit in Souveränität zu investieren“
Und das obwohl beide News-Artikel auf exakt der gleichen Untersuchung beruhen.
Tja, sprachliche Manipulation ist allgegenwärtig, ob Framing, Agenda Setting, Narrative oder andere Propaganda-Techniken. Selbst hier bei iFun wenn wieder „offenbar“ für das neueste Gurman-Gerücht genutzt wird.
Dann ist es ja nur eine Frage der Zeit bis Hacker die KI nutzen um doch wieder rein zu kommen
Für eine Code-Analyse braucht man natürlich zunächst den Code. Bei proprietäre Software ist schwer dranzukommen. Auch ohne KI würde man in proprietärer Software massenhaft Schwachstellen finden, wenn man die Möglichkeit zum Suchen hätte. Audits waren bisher meist zu aufwändig und wurden nicht gemacht. Dank KI kann man das jetzt in Angriff nehmen. Freie Software hat naturgemäß erheblich mehr Reviews hinter sich, sofern sich jemand für den Code interessiert und falls er verdaulich ist (Hacker dürften hier im der Mehrzahl der „Reviewer“ sein).
richtig. Und dir größte Gefahr sind die Mega Tech Konzerne die sich unentgeltlich das gesammelte Wissen einverleiben.
Hacker nutzen bereits KI. Und das schon deutlich effizienter als div. Sicherheitsexperten…
Das Wettrüsten geht weiter
Die einzelnen Firmen müssten das doch machen seit es KI gibt, oder?
Die Prompunterschiede zwischen lies meinen Text Korrektur und untersuche meinen Code auf Schwachstellen erscheinen mir marginal
Müsste es nicht heißen „KI gegen KI“? Die KI sucht Sicherheitslücken die sie (selbst) zuvor programmiert hat?
Dann müsste man die KI so promtent, dass sie nicht sich selbst austrickst. In etwa so: Erstelle einen Code, den du selbst nicht knacken kannst.
XD
Nein müsste es nicht. Denn die KI sucht Sicherheitslücken die Menschen zuvor programmiert haben. Oder meinst du die zum Teil 20 Jahre alten Lücken stammen von einer KI?
„…Einige dieser Fehler bestanden bereits seit vielen Jahren und blieben trotz umfangreicher Prüfungen unentdeckt. … Die beteiligten Unternehmen testen das Modell in ihren eigenen Systemen und teilen Ergebnisse mit der Branche.“
In all diesen Unternehmen sitzen an prominenter Stelle Leute aus dem US-Militär und/oder den 3-Buchstaben-Agencies und die haben natürlich ein Interesse daran, dass die bisher gesammelten Exploits auch bestehen bleiben und nicht gefixed werden. Genauso haben sie ein Interesse daran bestimmte neue Exploits & Schwachstellen unter Verschluss zu halten um sie gegen „Feinde“ einsetzen zu können.
Das sollte man immer im Hinterkopf behalten.
Entscheidend sind zwei Dinge:
Mythos wurde nicht dafür entwickelt und es braucht nicht zwingend den Code.
Ja Unternehmen und Hacker machen das seit Beginn der LLM Brogrammierära, doch nie war ein Model derart fähig. Dieses neue Modell übersteigt alle vorherigen Modelle aller Anbieter um 30-50%. Dieser Sprung ist so gewaltig, dass Anthropic deshalb aus Sicherheitsgründen nicht veröffentlicht und nur sehr eingeschränkt Unternehmen und Organosatioenen zur Verfügung stellt.
Ziel ist es „den Guten“ zuerst die Möglichkeit zu geben, die Sicherheitslücken zu schließen, bevor ähnlich gute Modell von anderen Modellen veröffentlicht werden.
Mythos hat in praktisch allen aktuellen Betriebssystemen schwerwiegende Sicherheotslücken entdeckt, auch auf allen Apple Plattformen.
Vielleicht wäre es gut gewesen zu schreiben, dass die Initiative von Anthropic aus geht, die ihr neues LLM Mythos nur wenigen Firmen bereitstellen, damit Sicherheitslücken zuerst gefunden und geschlossen werden können, bevor ein so mächtiges Werkzeug der Allgemeinheit bereitgestellt wird. Neben Apple sind das auch Google, Microsoft, Nvidia. Mythos stellt einen Meilenstein hinsichtlich der Verbesserung der Sprachmodelle beim Verstehen von Quellcode und aufspüren von Fehlern und Sicherheitslücken dar.