GPT-Images-2.0
Kurzfassung
▾
Quellen
▾
Die Suche nach Schwachstellen im Code durch KI-Modelle ist mittlerweile effizient und hochgradig skalierbar.
Der tatsächliche Arbeitsaufwand hat sich auf die Verifizierung, Priorisierung und Behebung der gefundenen Fehler verlagert.
Ein mehrstufiger Prozess mit voneinander unabhängigen KI-Agenten reduziert falsche Alarme deutlich.
Modelle wie Claude Opus übernehmen am Ende des Ablaufs auch die Erstellung und Prüfung der finalen Patches.
Anthropic: Using LLMs to secure source code
Die KI-gestützte Suche nach Sicherheitslücken im Quellcode ist extrem schnell geworden. Der Engpass liegt nun bei der Überprüfung, Priorisierung und Behebung der Fehler. Anthropic zeigt in sechs Schritten, was sich bewährt hat. Schritt 1: Bedrohungsmodell präzise definieren Bevor eine KI den Quellcode effektiv prüfen kann, muss das Entwicklungsteam zwingend festlegen, was überhaupt eine Schwachstelle darstellt. Ohne ein exaktes Bedrohungsmodell schlägt das System bei harmlosen Vorgängen Alarm oder übersieht echte Lücken. Entwickler können fortschrittliche Modelle wie Claude Opus direkt mit vorhandenen Architekturdokumenten, Handbüchern und alten Fehlerberichten füttern. Die KI erstellt daraus völlig selbstständig einen detaillierten, strukturierten Rahmen. Dieser dokumentiert klar die tatsächlichen Vertrauensgrenzen und die relevanten Angriffsvektoren des spezifischen Projekts, wodurch den Entwicklern enorm viel Zeit bei der manuellen Konzeption gespart wird. + Quelle: Anthropic Schritt 2: Isolierte Testumgebung aufbauen Damit KI-Agenten autonome Tests gefahrlos durchführen können, benötigen sie eine streng abgeschottete Sandbox. Eine strikt isolierte Umgebung, wie beispielsweise eine MicroVM mit gesperrtem Netzwerkzugriff, verhindert zuverlässig, dass die Modelle versehentlich auf produktive Firmendaten zugreifen. Innerhalb dieser sicheren Testumgebung versucht die KI dann für jede entdeckte Lücke einen voll funktionsfähigen Exploit zu kompilieren. Anzeige Schritt 3: Suche nach Fehlern im Code Bei der reinen Suche nach Schwachstellen arbeiten KI-Modelle am effizientesten mit kurzen, offenen Prompts. Zu detaillierte Checklisten schränken die Analysefähigkeiten ein und führen messbar zu weniger neuen Funden. Der KI-Agent greift stattdessen auf etablierte Scanner zurück, um den Code eigenständig zu durchforsten. Dabei unterteilt er das Projekt in kleine Abschnitte und sucht gezielt nach Lücken. Schritt 4: Unabhängige Verifizierung der Funde Nach der erfolgreichen Suche folgt zwingend eine Kontrolle durch einen zweiten KI-Agenten. Dieser Prüfer muss strikt vom ersten Modell getrennt sein und startet in einer komplett frischen Umgebung ohne Zugriff auf den bisherigen Chatverlauf. Der Verifizierungs-Agent arbeitet extrem kritisch und geht standardmäßig davon aus, dass jeder Fund ein Fehlalarm ist. Er sucht gezielt nach vorhandenen Sicherheitsmechanismen, die das erste Modell schlichtweg übersehen hat. Dadurch reduzieren sich Fehlalarme enorm. Schritt 5: Triage und Bewertung der Risiken Da KI-Modelle in kürzester Zeit hunderte mögliche Fehler aufdecken, ist eine strikte Priorisierung unumgänglich. Die KI fasst identische Ursachen zusammen und filtert Duplikate systematisch heraus. Anschließend bewertet das Modell die Schwere der verbliebenen Lücken anhand festgelegter Parameter. Dazu gehören die Erreichbarkeit von außen, die nötigen Nutzerrechte und die Vorbedingungen für einen Angriff. Anzeige Schritt 6: Code-Korrektur und Patching Im finalen Schritt dieses Kreislaufs generiert die KI einen sauberen Patch für den fehlerhaften Quellcode. Um sicherzustellen, dass die Änderung das Problem wirklich löst und keine neuen Fehler einbaut, schreibt das Modell vorab einen strengen Test. Die finale Entscheidung und die genaue Kontrolle der Code-Änderung bleibt weiterhin beim menschlichen Entwickler. Durch diese umfassende Vorarbeit reduziert sich der Zeitaufwand für die gesamte IT-Sicherheit jedoch drastisch. Weitere Informationen zum Guide gibt es direkt bei Anthropic .
Quelle: www.all-ai.de