Auf den Punkt: LLMs können den Exploit-Entwicklungsprozess für bekannte Sicherheitslücken stark beschleunigen, wodurch die Patch-Lücke als klassischer Zeitpuffer für Defender schwächer wird.
Anthropic hat untersucht, wie Large Language Models den Exploit-Entwicklungsprozess für bereits bekannte Sicherheitslücken (N-Days) beschleunigen können. Die Ergebnisse zeigen: Ihr Spitzenmodell Claude Mythos Preview entwickelte eigenständig 8 funktionierende Code-Execution-Exploits für Firefox-Patches und 8 vollständige Exploit-Ketten für Windows-Kernel-Patches.
Anthropic hat in einer neuen Studie untersucht, wie Large Language Models die Entwicklung von Exploits für N-Day-Lücken automatisieren können. N-Days sind bereits öffentlich bekannte Sicherheitslücken, die Angreifer ausnutzen können, wenn nicht alle betroffenen Systeme gepatcht sind. Der klassische Exploit-Entwicklungsprozess beginnt mit „Patch Diffing“: Angreifer vergleichen den gesammelten Code vor und nach dem Sicherheitsupdate, um die Lücke zu identifizieren und rückzuengineeren.
Historisch war Patch Diffing ein spezialisiertes, zeitaufwendiges Verfahren. WannaCry trat etwa 59 Tage nach der Veröffentlichung des MS17-010-Patches auf; der öffentliche Exploit für Citrix Bleed benötigte circa zwei Wochen. Eine 2020er-Analyse von Mandiant zeigte, dass 16 von 25 N-Day-Exploits über einen Monat zum Entwickeln brauchten. Diese Verzögerung gab Verteidigern Zeit, Patches auszurollen. Genau diese Zeitkomponente wird durch LLMs potenziell eliminiert.
In der Studie evaluierte Anthropic 18 Sicherheits-Patches für Mozillas SpiderMonkey-JavaScript-Engine (Firefox 148 und 149, veröffentlicht Februar und März) sowie 21 Windows-Kernel-Patches. Claude Mythos Preview, Anthropics leistungsstärkstestes Modell, entwickelte autonome, funktionierende Code-Execution-Exploits für 8 der Firefox-Patches. Bei den Windows-Kernel-Patches erstellte das Modell 8 vollständige Exploit-Ketten, die von niedriger zu maximaler SYSTEM-Berechtigung eskalierten. Selbst Anthropics öffentliche Modelle ohne Sicherheitsmaßnahmen konnten Exploits generieren, wenn auch in geringerer Anzahl.
Für CISOs bedeutet dies eine wesentliche Verkleinerung des zeitlichen Puffers. Mozilla wurde als Best-Case-Szenario gewählt: Browser aktualisieren sich automatisch, der Median der Patch-Lücke lag bei 19 Tagen. Falls LLMs auch solch kurze Gaps schließen können, ist anzunehmen, dass längere Gaps bei Enterprise-Software noch stärker gefährdet sind, wo Remediierung typischerweise Wochen bis Monate dauert. Die Studie unterstreicht, dass Defender ihre Patch-Deployment-Geschwindigkeit erheblich erhöhen müssen.
Quelle: www.anthropic.com · Erschienen 8. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.