Der Software-Ingenieur Jeff Kaufman (jefftk) veröffentlichte am 8. Mai den Artikel „AI is Breaking Two Vulnerability Cultures“. Er vertritt die These, dass KI gleichzeitig zwei langfristig nebeneinander bestehende Sicherheits-Patch-Kulturen durchbricht: „coordinated disclosure“ (koordinierte Offenlegung) und „bugs are bugs“ (stille Fehlerbehebung). Die beiden Strategien beruhten auf der Annahme, dass „Angreifer langsam darin sind, Schwachstellen zu erkennen“—diese Voraussetzung wurde durch KI-gestützte automatische Scantechniken bereits durchbrochen. Kaufmans Blog-Originaltext und der Diskussionsbeitrag auf Hacker News erreichten mehr als 200 Pluspunkte an Relevanz, und ist damit einer der meistdiskutierten Sicherheits-Beobachtungsartikel der Woche in der Entwickler-Community.
Zwei Schwachstellen-Kulturen: koordiniertes Disclosure- vs. „stille Fehlerbehebung“
Kaufman ordnet zwei Kulturen in folgendem Rahmen:
Koordinierte Offenlegung (coordinated disclosure)—Entdecker informieren Wartungspersonen privat, gewähren typischerweise ein 90-Tage-Patch-Fenster, und geben dann öffentlich bekannt. Dahinter steckt die Annahme: Angreifer müssen Zeit aufwenden, um die gleiche Schwachstelle unabhängig zu entdecken
„Bugs are Bugs“ stille Fehlerbehebung—Ein gängiger Ansatz in Open-Source-Projekten wie Linux: Patches werden beim Zeitpunkt nicht besonders als Sicherheitsfixes markiert, die Behebung wird durch das Einfließen hoher Commit- bzw. PR-Mengen „überflutet“, um keine Aufmerksamkeit von Angreifern zu erregen
Vergangenheit: Diese zwei Kulturen konnten nebeneinander bestehen, weil Angreifer keine „schnellen, automatischen und kostengünstigen“ Tools hatten, um alle Commit-Historien zu scannen oder gleichzeitig nach derselben Schwachstelle zu suchen. KI verändert diese Grundlage.
Auswirkungen von KI auf „stille Fehlerbehebung“: Commit-Scanning wird billig
Konkrete Auswirkungen von KI auf Linux-Stil Open-Source-Projekte:
Früher: Angreifer mussten einzelne Commits prüfen, dafür brauchten sie viel Personal und Zeit; „im Strom der Veröffentlichungsmengen untergehen“ war eine wirksame Tarnung
Heute: KI kann historisches Commit-Material mit geringen Kosten scannen und automatisch Commits erkennen, die „wie Sicherheitsfixes aussehen“, selbst wenn der Autor es nicht ausdrücklich so bezeichnet
Auswirkung: Die Heimlichkeit stiller Fehlerbehebung verliert rapide an Wirksamkeit, und die Pufferzeit „bis die Patches ausgerollt sind“ wird verkürzt
Kaufman nennt konkrete Beispiele: „Je stärker es reizt, Commits zu untersuchen, desto größer wird der Nutzen“, weil die Bewertung jedes einzelnen Changes „immer günstiger und immer wirksamer“ durch KI wird. Das bedeutet, dass Open-Source-Projekte sich künftig nicht mehr auf den traditionellen Vorteil „Patch-Geschwindigkeit ist schneller als die Aufmerksamkeit der Angreifer“ verlassen können.
Auswirkungen von KI auf „koordinierte Offenlegung“: Das 90-Tage-Embargo wird kontraproduktiv
Der Kern der koordinierten Offenlegung ist das „Embargo“: Entdecker verpflichten sich, vor dem Patch durch die Maintainer nicht öffentlich zu werden—aber KI ermöglicht es mehreren Teams, dieselbe Schwachstelle synchron zu scannen:
Konkretes Beispiel: Ein Forscher namens Hyunwoo Kim meldete eine bestimmte Schwachstelle, und nur 9 Stunden später wurde sie unabhängig voneinander erneut entdeckt
Mehrere KI-unterstützte Scan-Teams können synchron arbeiten; ein langes Embargo gibt dadurch „scheinbare Dringlichkeitslosigkeit“
Wenn andere die Schwachstelle bereits nach 9 Stunden finden können, verschafft ein 90-Tage-Embargo den tatsächlichen Angreifern ein 89-Tage- und 23-Stunden-Angriffsfenster
Kaufmans Fazit: Zukünftig sollten „sehr kurze Embargos“ verwendet werden, und je mehr die KI-Fähigkeiten zunehmen, desto mehr müssen diese Embargos verkürzt werden. Entscheidend ist: Die Beschleunigung durch KI ist nicht einseitig vorteilhaft für Angreifer—auch Verteidiger können KI nutzen, um Patches und Deployments zu beschleunigen, und beide Seiten konkurrieren innerhalb der komprimierten Zeitfenster.
Nachverfolgbare konkrete Ereignisse: Ob große Projekte wie der Linux Kernel und Project Zero die Richtlinien für den Veröffentlichungszeitplan aktualisieren; der kommerzielle Fortschritt von KI-automatisierten Schwachstellenscan-Tools (Semgrep, CodeQL usw.); sowie die konkreten Gegenstrategien, die Sicherheitsabteilungen von Unternehmen für „KI als zweischneidiges Schwert“ planen.
Der Artikel „Jeff Kaufman: AI bricht gleichzeitig zwei Sicherheitslücken-Kulturen und 90-Tage-Embargos werden zum Nachteil“ erschien zuerst bei 鏈新聞 ABMedia.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
US-Richter entscheidet, dass DOGE-Kürzungen nach Nutzung von ChatGPT und DEI-Begriffen rechtswidrig seien, und blockiert die Durchsetzung am Donnerstag
Laut ABC News hat ein US-Bundesrichter am Donnerstag entschieden, dass die von Elon Musk unterstützten DOGE vorgenommenen Kürzungen rechtswidrig waren. Die US-Bezirksrichterin Colleen McMahon in New York sagte, das Personal habe ChatGPT genutzt und Keyword-Suchen einschließlich „DEI“, „Equity“, „Inclusion“ und „LGBTQ“ verwendet, um zu helfen, Förderprogramme über die National Endowment for the Humanities zu beenden. Die Richterin untersagte der Trump-Regierung, die umstrittenen Streichungen durc
GateNews30M her
Ein EZB-Beamter sagt: KI-Risiken lösen am Samstag eine Überprüfung der Finanzinfrastruktur aus
José Luis Escrivá, Mitglied des EZB-Rats und Gouverneur der Banco de España, sagte am Samstag, dass Zentralbanken angesichts des Anstiegs der künstlichen Intelligenz die Widerstandsfähigkeit der Finanzinfrastruktur und den Cybersecurity-Schutz überprüfen müssen. „Jüngste Entwicklungen in der künstlichen Intelligenz zwingen uns, die Robustheit unserer Finanzinfrastruktur und unserer Cybersecurity neu zu bewerten“, sagte Escrivá bei einer Veranstaltung in Tarragona. Er betonte außerdem die Rolle d
GateNews1Std her
Cloudflare-Aktie stürzt am 8. Mai nach den Q1-Ergebnissen um 23,62% ab, nachdem ein Stellenabbau für 1.100 Beschäftigte angekündigt wurde
Die Aktie von Cloudflare fiel am 8. Mai um 23,62% auf 196,13 US-Dollar je Aktie, nachdem das Unternehmen die Ergebnisse für das erste Quartal veröffentlicht hatte und etwa 1.100 Entlassungen ankündigte. Während der Umsatz im Q1 von 640 Millionen US-Dollar die Erwartungen übertraf und mit 34% Wachstum im Jahresvergleich zunahm, blieb die Umsatzprognose für das zweite Quartal von 664–665 Millionen US-Dollar hinter der vorherigen Markterwartung von 666 Millionen US-Dollar zurück. Die Entlassungen,
GateNews2Std her
Helsing will Mittel bei einer Bewertung von 18 Milliarden US-Dollar einwerben
Laut Financial Times plant Helsing, ein deutsches KI-Drohnen-Startup, eine neue Finanzierungsrunde bei einer Bewertung von ungefähr 18 Milliarden US-Dollar.
GateNews3Std her
Google DeepMind AI-Co-Mathematiker erreicht 47,9 % bei FrontierMath Tier 4, schlägt GPT-5.5 Pro, löst 3 zuvor unlösbare Probleme
Google DeepMind hat „AI Co-Mathematician“ veröffentlicht, einen Multi-Agenten-Mathematik-Forschungsassistenten, der auf dem FrontierMath-Tier-4-Benchmark 47,9% Genauigkeit erreicht und damit den bisherigen Rekord von GPT-5,5 Pro von 39,6% vom 9. Mai übertrifft. Das System löste 23 von 48 Aufgaben, darunter 3, die alle vorherigen Modelle nicht lösen konnten. Die auf Gemini 3,1 Pro basierende Architektur nutzt ein hierarchisches Design: Ein Projekt-Koordinator-Agent verteilt Aufgaben an Sub-Agente
GateNews3Std her
Das Belohnungssystem von OpenAI bewertet versehentlich Denk-Ketten auf 6 Modellen, darunter GPT-5.4
Laut dem Alignment-Team von OpenAI hat das Unternehmen kürzlich einen kritischen Trainingsfehler entdeckt, der 6 große Sprachmodelle betrifft, darunter GPT-5.4 Thinking: Das Belohnungsmechanismus bewertete versehentlich Gedankenketten des Modells – also den internen Denkprozess, bevor Antworten generiert werden. GPT-5.5 war nicht betroffen. Der Vorfall verstößt gegen ein grundlegendes KI-Sicherheitsprinzip, wonach Gedankenketten niemals bewertet werden dürfen, da dies dazu führen könnte, dass Mo
GateNews4Std her
