KI-Schwachstellen-Entdeckung übertrifft Patch-Bereitstellungszeiten

Das Geschwindigkeitsproblem in der KI-gestützten Sicherheit

Ein Sicherheitsexperte mit Verbindungen zum Mythos-Ökosystem äußert Bedenken hinsichtlich der Verzögerung zwischen KI-entdeckten Schwachstellen und angewandten Patches. Das Kernargument: Selbst wenn KI-Tools wie Mythos Schwachstellen in noch nie dagewesener Geschwindigkeit finden und beheben können, kann die nachgelagerte Bereitstellungspipeline nicht mithalten.

Wichtige Punkte aus der Diskussion

• Mehr Schwachstellen kommen: KI-Modelle wie Mythos sollen Schwachstellen effektiver finden, und mit zunehmender Dynamik werden viele weitere entdeckt werden.
• Exploit-Chaining ist der Game-Changer: Die bedeutende Fähigkeit besteht nicht nur darin, Schwachstellen zu finden, sondern sie sequenziell zu verketten, um kreative Exploit-Ketten zu entwickeln.
• Ungleichgewicht zwischen Finden und Beheben: Der Autor bezweifelt, dass Mythos Behebungen genauso effektiv bereitstellen kann wie es Schwachstellen findet, und sagt voraus, dass es "MEHR FINDEN wird, als es BEHEBEN kann".
• Bereitstellungsengpässe: Selbst bei sofortigen Behebungen stehen Patches vor Verzögerungen bei der Akzeptanz durch Upstream-Projekte, Tests, Genehmigungsprozessen und der nachgelagerten Paketierung.

Daten zum Bereitstellungszeitplan

Die Quelle liefert KI-generierte Zeitrahmen für eine kritische Schwachstelle:

• Upstream-Behebung: 24–48 Stunden nach Bestätigung durch das Kernteam des Projekts
• Downstream-Paketierung: 12–48 Stunden für große Distributionen (Ubuntu LTS, RHEL, Debian Stable) zum Backportieren und Testen
• Verfügbarkeit für Nutzer: 2–5 Tage ab der ersten öffentlichen Bekanntgabe

Echte Patch-Statistiken

Am Beispiel von Log4j:

• Tag 10: Organisationen hatten nur 45 % der gefährdeten Cloud-Ressourcen gepatcht
• Durchschnittliche Behebungszeit: 17 Tage für erkannte und verfolgte Systeme
• Prioritäts-Patching: Nach außen gerichtete Systeme durchschnittlich 12 Tage; interne Systeme hinkten hinterher
• Nach 1 Jahr: 72 % der Organisationen hatten mindestens eine anfällige Log4j-Instanz
• Langfristige Perspektive: Das CSRB des US-Heimatschutzministeriums sagte voraus, dass es ein Jahrzehnt oder länger dauern wird, Log4j vollständig aus der globalen Software-Lieferkette zu entfernen

Die Kernherausforderung

Das Timing-Problem bleibt bestehen, selbst wenn die Finden-zu-Beheben-Raten gleich wären (was sie nicht sein werden). Das gesamte Downstream-System – von Upstream-Projekten bis zur Endnutzerbereitstellung – kann sich nicht mit der erforderlichen Geschwindigkeit bewegen, um KI-entdeckte Schwachstellen vor Ausnutzung zu entschärfen. Dies erzeugt Entwicklerstress und Notfallmodus-Wechsel, die Zeit und Ressourcen verbrauchen.