In der vergangenen Woche hat Anthropic Erfolge des KI-Schwachstellenscanners basierend auf Claude Opus 4.6 vermeldet, mehr als 100 Sicherheitslücken in Firefox hat sie demnach aufgespürt. Das lässt OpenAI nicht auf sich sitzen. Die bislang als „Aardvark“ laufende KI zur Schwachstellensuche, die seit vergangenem Jahr als private Beta-Version einem eingeschränkten Kreis zugänglich war, ist nun als Forschungs-Vorschauversion „Codex Security“ verfügbar.
Das teilt OpenAI auf seiner Webseite mit. Die Firma bezeichnet den KI-Schwachstellenscanner als „Application Security Agent“. Sie soll weitreichenden Kontext von Projekten erfassen und Schwachstellen erkennen, die andere Tools nicht aufspüren können. Die gefundenen Lücken sollen mit vorgeschlagenen Korrekturen zur besseren Sicherheit des Systems beitragen und Nutzern und Nutzerinnen das Rauschen von unbedeutenden Fehlern ersparen.
Bewerten von Schwachstellen
Kontext ist wichtig, um reale Bedrohungen durch Schwachstellen einzuordnen, erklärt OpenAI. Hier liefern die meisten KI-Tools jedoch Funde mit geringer Bedeutung oder gar falsch-positive Meldungen, was Security-Teams viel Zeit bei der Einordnung koste. Davon kann der Entwickler Daniel Stenberg mit seinem Projekt curl ein Lied singen: Zunächst hat er aufgrund der zahlreichen Glücksritter-Meldungen ohne Hand und Fuß das Bug-Bounty-Programm auf HackerOne komplett eingestampft. Ende Februar kehrte er mit curl jedoch wieder dorthin zurück – die Bug-Verwaltung uferte aus, wichtige Funktionen fehlen ohne eine Plattform wie HackerOne.
Zur Funktion des KI-Schwachstellensuchers schreibt OpenAI, dass das System zunächst einen Kontext aufbaut und automatisch die sicherheitsrelevante Struktur erkennt und daraus ein Bedrohungsmodell ableitet. Das basiert darauf, was das System macht, wem es vertraut und wo es die größten Angriffsflächen bietet. Das lässt sich dann anpassen. Mit diesen Informationen sucht die KI nach Schwachstellen und schätzt den tatsächlichen Bedrohungsgrad in der Praxis ein. Nach Möglichkeit startet sie auch Tests der Funde in Sandbox-Umgebungen. Das reduziert Fehlalarme. Außerdem fallen dabei auch Proof-of-Concept-Codes ab, die den Entwicklern Hilfestellung bei der Einordnung und der Korrektur bieten. Codex schlägt zudem Korrekturen für erkannte Probleme vor.
Codex Security soll daher bessere Ergebnisse liefern und den Flaschenhals des Review-Prozesses aufweiten, der durch die beschleunigte Entwicklung etwa mittels KI-Hilfe auftritt. In den ersten Tests konnte die KI einige relevante Sicherheitslücken aufdecken, erklärt OpenAI. OpenAI hat mit Codex Security die Quellen einiger Open-Source-Projekte analysiert. Am Ende der Mitteilung hat das Unternehmen 15 Schwachstellen mit ihren CVE-Einträgen gesammelt, die die Codex-Security-KI aufgespürt hat. Viele davon erhalten eine Risiko-Einordnung nach CVSS-System „mittel“, einige wurden jedoch auch als hochriskant einsortiert. Einige Open-Source-Projektbeteiligte haben seitdem Zugang zu „Codex for OSS“ erhalten, mit kostenlosem Zugang zu ChatGPT Pro und Plus, Code Review sowie Codex Security. Dieses Programm will OpenAI noch auf mehr Open-Source-Projekte ausweiten.
(dmk)
English (US) ·