Auf den Punkt: Anthropics KI-Projekt Glasswing ermöglicht es Herstellern, systematisch ein Mehrfaches der sonst üblichen Sicherheitslücken pro Update zu identifizieren und zu beheben.
Im Mai 2026 beheben führende Softwarehersteller wie Microsoft, Apple, Google und Oracle ein beispiellos hohes Volumen an Sicherheitslücken – ein direkter Effekt des KI-Projekts Glasswing von Anthropic, das effektiv Schwachstellen in Code aufspürt.
Microsoft veröffentlichte am Patch Tuesday im Mai 2026 Sicherheitsupdates für mindestens 118 Schwachstellen in Windows und anderen Produkten. Dies ist das erste Patch-Tuesday-Update seit knapp zwei Jahren, das keine bereits aktiv ausgenutzten Zero-Day-Flaws behandelt und bei dem keine zuvor öffentlich bekannten Lücken enthalten sind. Sechzehn der Schwachstellen erhielten das kritischste Label: CVE-2026-41089 ist ein Stack-basierter Buffer-Overflow in Windows Netlogon ohne erforderliche Benutzerinteraktion, der SYSTEM-Rechte auf Domain-Controllern erteilt. CVE-2026-41096 betrifft die Windows-DNS-Client-Implementierung, und CVE-2026-41103 ermöglicht Credential-Spoofing mit Umgehung von Entra ID.
Ursache der erhöhten Patch-Frequenz ist das Projekt Glasswing von Anthropic, eine KI-Fähigkeit zur automatisierten Schwachstellenerkennung in Code. Apple, ebenfalls früher Teilnehmer, veröffentlichte am 11. Mai Updates mit mindestens 52 Behobenen Lücken, statt durchschnittlich 20. Mozilla gab Firefox 150 mit 271 während Glasswing-Tests entdeckten Sicherheitslücken frei und wechselt seitdem zu wöchentlichen Sicherheits-Releases mit je drei bis fünf CVE-Behebungen pro Update. Google rollte Chrome-Updates mit 127 behobenen Flaws aus (vorheriger Monat: 30), Oracle kündigte einen Wechsel zum monatlichen Patch-Zyklus für kritische Sicherheitsprobleme an, nachdem sein jüngstes Quartal-Update mindestens 450 Flaws adressierte, darunter über 300 fernausnutzbar ohne Authentifizierung.
Für CISOs bedeutet dies: Die Patch-Last nimmt strukturell zu, und Prioritäten nach Kritikalität allein reichen nicht mehr aus – das Volumen erfordert Automatisierung in der Patch-Evaluation und forciertes Rollout-Management, zumal Hersteller auf aggressive wöchentliche oder monatliche Frequenzen übergehen. Die KI-gestützte Vulnerability-Discovery stellt mehr Lücken zur Verfügung, als bisher durch konventionelle Methoden identifiziert wurden, verschärft aber gleichzeitig die Compliance- und Betriebsherausforderungen bei der zeitnahen Remediation.
Quelle: krebsonsecurity.com · Erschienen 12. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.0.