Auf den Punkt: KI-basierte Schwachstellenerkennung läuft Gefahr, Organisationen mit mehr Sicherheitslücken zu überfluten, als diese validieren und beheben können.
Anthropic integriert 150 zusätzliche Unternehmen in Project Glasswing, sein KI-gestütztes Schwachstellen-Erkennungsprogramm mit Schwerpunkt auf Stromversorgung, Wasser, Gesundheitswesen, Kommunikation und Hardware. Die Initiative offenbart jedoch ein fundamentales Problem: Die Patch-Kapazität der Hersteller wird zum kritischen Engpass.
Anthropic kündigte am Dienstag die Expansion von Project Glasswing an, das KI-Technologie zur automatisierten Schwachstellensuche nutzt. Die 150 neuen Partnerunternehmen konzentrieren sich auf kritische Infrastrukturbereiche: Stromversorgung, Wasserwirtschaft, Gesundheitswesen, Telekommunikation und Hardwareherstellung. Anthropic schätzt, dass ein erfolgreicher Angriff auf die Codebasis dieser Partner für mehr als 100 Millionen Menschen unmittelbare Konsequenzen hätte und globale sowie nationale Sicherheit gefährden könnte.
Project Glasswing wurde am 7. April gestartet und wird von AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, der Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks unterstützt. Okta bestätigte später ebenfalls seine Beteiligung. Fachleute bewerten die Ausweitung grundsätzlich positiv — mehr Unternehmen bei der Schwachstellenidentifikation bedeuten in der Theorie bessere Ergebnisse. Doch ein größeres strukturelles Problem rückt in den Fokus: der Patch-Engpass.
Wenn KI-Tools wie Glasswing die Zahl identifizierter Schwachstellen um das 10- bis 100-Fache erhöhen, können Softwarehersteller diese realistische validieren, priorisieren und zeitnah patchen? Tom Findling, CEO von Conifers.ai, warnt vor hohen Falsch-Positiv-Raten: Organisationen können nicht jede KI-gefundene Lücke als sofort behebbar behandeln. Sie müssen zwischen echten Bedrohungen und Fehlalarmen unterscheiden — ein Schritt, der Wochen bis Monate dauern kann. Besonders problematisch: Selbst Großkonzerne können nur begrenzte Ressourcen für die schnelle Patch-Entwicklung und -Verteilung bereitstellen.
Justin Greis, CEO der Consulting-Firma Acceligence, sieht den Kern des Problems anders: Die Branche hat Cybersecurity lange als Vulnerability-Discovery-Problem behandelt, während sie tatsächlich ein Remediation-Problem ist. Schwachstellen zu finden ist mit moderner KI leicht geworden — sie schnell zu validieren, zu beheben, zu testen und einzuspielen hingegen bleibt aufwendig und langsam. Besonders kritisch wird es, wenn Security-Teams Lücken identifizieren, während IT- oder Business-Teams für Patches verantwortlich sind: In solchen Szenarien können Abstimmungsverzögerungen zu kritischen Sicherheitsfenstern führen.
Für CISOs stellt sich auch eine Vertrauensfrage: Werden automatisiert generierte Patches akzeptabel sein, ohne manuelle Validierung? Vertrauen ist typischerweise nicht die Standardeinstellung von Security-Leadern. Die zentrale Metrik für Organisationen wird damit nicht die Anzahl gefundener Schwachstellen sein, sondern die Zeit zwischen Identifikation und operativer Behebung.
Quelle: www.csoonline.com · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.