Erfolge bei der KI-gestützten Schwachstellensuche von Google und Greynoise

Die Verwendung von Künstlicher Intelligenz im Bereich Cyberkriminalität ist kein Geheimnis. Kriminelle haben bereits Wege gefunden um Malware zu ausarbeiten oder Social-Engineering-Anschläge durch raffinierte Texte zu lancieren. Doch nun haben die Firmen Google und Greynoise bemerkenswerte Fortschritte in der Schwachstellensuche unter Einsatz von KI erzielt.



Google's Durchbruch mit dem Big Sleep Agent


In einem aktuellen Blog-Beitrag berichtet Google über die Entwicklung eines Projekts namens Naptime. Die Entwickler prüften, ob Large Language Models (LLMs) die offensive Sicherheit unterstützen können. Aus diesem Projekt entstand der Big Sleep Agent der erfolgreich eine schwerwiegende Puffer-Unterlauf-Schwachstelle in der beliebten SQLite-Datenbank-Engine entdeckte. Diese Zero-Day-Lücke wurde gemeldet und rechtzeitig vor ihrem offiziellen Release geschlossen. So leisteten die Entwickler einen wertvollen Beitrag zum Schutz der Nutzer. Einer der Autoren äußert sich optimistisch und bezeichnet dies als erstes öffentlich dokumentierte Beispiel, in dem KI einen bisher unbekannten Speicherfehler entdeckte.



Greynoise und die Herausforderung des Datenrauschens


Das Sicherheitsunternehmen Greynoise verwendet ein KI-gestütztes System namens Sift. Täglich filtert Sift rund zwei Millionen HTTP-Ereignisse und konzentriert sich auf etwa 50 relevante Vorfälle. Bei der Untersuchung dieser gefilterten Ereignisse wurden gravierende Zero-Day-Sicherheitslücken in hochwertigen Pan-Tilt-Zoom-Kameras (PTZ) des Herstellers ValueHD Corporation identifiziert. Diese Geräte, bekannt unter dem Namen PTZOptics PT30X-SDI/NDI, weisen ernsthafte Sicherheitsrisiken auf – eine Schwachstelle wurde mit CVSS 9.8 als kritisch eingestuft. Die US-amerikanische IT-Sicherheitsbehörde CISA hat die beiden Lücken in den Katalog der Known-Exploited-Vulnerabilities aufgenommen.



Unterschiedliche Methoden zur Identifikation von Schwachstellen


Im Gegensatz zu Greynoise, das LLMs zur Anomalieerkennung nutzt, hat Google einen innovativen Ansatz für die Quellcode-Analyse entwickelt. Diese Methode geht über das einfache Fuzzing hinaus also das Zufügen unpassender Werte in den Code. Die KI ist aktuell noch im Forschungsstadium und basiert auf Exploits für zuvor identifizierte Schwachstellen. Der Ansatz der Variantenanalyse sei effektiver als eine allgemeine Schwachstellensuche. Google hat den Startpunkt der Suche definiert was die Anzahl der Mehrdeutigkeiten reduziert. Die IT-Forscher nehmen also an dass ähnliche Probleme im aktuellen Repository bestehen basierend auf vorherigen Bugs.



Praktische Tests und die nächste Evolutionsstufe


Der Einsatz kleiner Programme mit bekannten Schwachstellen dient derzeit der Evaluierung des Verfahrens. Im Rahmen einer Prüfung wurde die SQLite-Datenbank als Testumgebung gewählt. Dabei kamen aktuelle Quellcode-Commits zum Einsatz. Diese Änderungen umfassten das Entfernen von Dokumentationen. Der KI-Prompt wurde angepasst um den Big Sleep Agent mit spezifischen Informationen zu versorgen. Dieser durchsuchte dann das Repository nach nicht behobenen Problemen. Die KI-Technologie Google Gemini 1.5 Pro kam dabei zum Einsatz. Wer interessiert ist, findet im Blog-Beitrag von Google ausführliche Informationen.



Am Ende des Monats April warnte das Bundesamt für Sicherheit in der Informationstechnik vor den Bedrohungen die Künstliche Intelligenz mit sich bringt. Besonders betroffen seien böswillige Akteure die KI für Social Engineering und die Erstellung von schädlichem Code nutzen. Die Nutzung von Large Language Models wird dadurch ebenfalls auf der Seite der Schutzmaßnahmen effektiver um Angriffe zu erkennen und die Sicherheit zu erhöhen.






Kommentare


Anzeige