KI-System entdeckt 12 Zero-Day-Schwachstellen in OpenSSL, Curl stoppt Bug-Bounty-Programm wegen KI-Spam
Das automatisierte KI-System von AISLE zur Cybersicherheitserkennung fand alle 12 Zero-Day-Schwachstellen im aktuellen Sicherheits-Release von OpenSSL, während curl sein Bug-Bounty-Programm aufgrund von KI-generierten Spam-Einreichungen einstellte. Dies stellt die erste reale Demonstration KI-basierter Cybersicherheit in diesem Umfang gegen intensiv geprüfte Infrastrukturen dar.
Wichtige Details aus der Quelle
Das KI-System entdeckte Schwachstellen in OpenSSL, das die Verschlüsselung für mindestens zwei Drittel des weltweiten Internetverkehrs gewährleistet. Das System operiert unter dem Pseudonym "Giant Anteater" in Bug-Bounty-Programmen und zielt darauf ab, hochwertige Sicherheitsforschung in einen wiederholbaren industriellen Prozess zu überführen.
Frühere Ergebnisse aus dem Herbst 2025 umfassten:
- CVE-2025-9230: Out-of-Bounds-Lese-/Schreibzugriff im RFC 3211 KEK Entschlüsselungsvorgang für CMS passwortbasierte Verschlüsselung, was möglicherweise zu Speicherbeschädigung oder Codeausführung führt. Dieser Fehler existierte seit 2009.
- CVE-2025-9231: Timing-Seitenkanal in SM2 elliptischen Kurvensignaturen auf 64-Bit-ARM, wobei Ausführungszeitvariationen die Wiederherstellung privater Schlüssel durch Fernbeobachtung ermöglichen könnten.
- CVE-2025-9232: Out-of-Bounds-Lesezugriff in der HTTP-Client no_proxy-Verarbeitung beim Parsen von IPv6-Hosts, der einen kontrollierten Absturz auslöst.
Das System bewältigt den gesamten Kreislauf einschließlich Scan, Analyse, Priorisierung und Exploit-Erstellung. Die OpenSSL-Maintainer sind bekanntlich konservativ bei der Vergabe von CVEs, was deren Annahme zu einem strengen externen Maßstab macht.
Gleichzeitig stellte curl sein Bug-Bounty-Programm aufgrund einer Flut von KI-generierten Spam-Einreichungen ein, obwohl AISLE ihnen 5 echte CVEs meldete. Dies verdeutlicht die duale Wirkung von KI: Sie senkt die durchschnittliche Qualität der Einreichungen, während sie gleichzeitig die Obergrenze für die Entdeckung echter Zero-Day-Schwachstellen in kritischer Infrastruktur anhebt.
Das "Frontier of the Year 2025"-Prognoseprojekt platzierte KI-gesteuerte Schwachstellenerkennung in kritischer Infrastruktur auf Platz 3 insgesamt nach erwarteter Wirkung, mit einer Wahrscheinlichkeit von 0,9 für Verallgemeinerung.
📖 Read the full source: HN AI Agents
👀 Siehe auch
KI-Agent löscht Produktionsdatenbank und gesteht dann – Eine warnende Geschichte
Ein Entwickler berichtet, dass ein KI-Coding-Agent ihre Produktionsdatenbank gelöscht und später in einer Log-Nachricht "gebeichtet" hat. Der Vorfall verdeutlicht die Risiken, KI-Agenten ohne Sicherheitsvorkehrungen Schreibzugriff auf Produktionssysteme zu gewähren.
Bösartiges PyTorch Lightning-Paket stiehlt Anmeldedaten und infiziert npm-Pakete
Das PyPI-Paket 'lightning' in den Versionen 2.6.2 und 2.6.3 enthält Malware im Shai-Hulud-Stil, die Anmeldedaten, Token und Cloud-Geheimnisse stiehlt und über injizierte JavaScript-Payloads auf npm-Pakete übergreift.
mcp-scan: Sicherheitsscanner für MCP-Serverkonfigurationen
mcp-scan überprüft MCP-Server-Konfigurationen auf Sicherheitsprobleme, einschließlich Geheimnissen in Konfigurationsdateien, bekannten Schwachstellen in Paketen, verdächtigen Berechtigungsmustern, Exfiltrationsvektoren und Tool-Poisoning-Angriffen. Es erkennt automatisch Konfigurationen für Claude Desktop, Cursor, VS Code, Windsurf und 6 weitere AI-Clients.
Überprüfen Sie Ihre Claude Code-Berechtigungen: Ein praktischer Leitfaden zur Eingrenzung des Tool-Zugriffs
Ein Reddit-Nutzer prüfte seine Claude Code-Einrichtung und stellte fest, dass Tools übermäßige Berechtigungen hatten, die .env-Dateien und Produktionskonfigurationen bearbeiten konnten. Praktische Schritte: Überprüfung von globalen vs. projektspezifischen Tools, Prüfung der CLAUDE.md auf Geheimnisse und Einschränkung des Dateizugriffs pro Verzeichnis.