Künstliche Intelligenz (KI) wird zunehmend auch zum Treiber von Bug-Bounty-Programmen. Sicherheitsexperten greifen auf Large Language Models (LLMs) zurück, um:

die Suche nach Schwachstellen zu automatisieren,

Reverse Engineering von APIs zu bewerkstelligen, und

Code-Basen schneller denn je zu durchleuchten.

Allerdings gehen diese Effizienz- und Geschwindigkeitsgewinne in der Praxis mit neuen Problemen einher.

Die Bug-Bounty-Filterblase

“Wir haben beobachtet, dass KI als Echokammer und Verstärker für Personen fungiert, die glauben, etwas entdeckt zu haben. Das führt in eine Abwärtsspirale der Bestätigungsverzerrung”, erklärt etwa Inti De Ceukelaire, Chief Hacker Officer bei der Bug-Bounty-Plattform Intigriti. Sicherheitsteams, die sich mit externen Schwachstellenmeldungen befassen, sollten KI-generierte Reports deshalb skeptisch betrachten, rät der Sicherheitsexperte. Um fehlerhafte, KI-generierte Bug-Reports zu erkennen, helfen nach Meinung von De Ceukelaire Bug-Bounty-Plattformen mit integrierten Triage-Services: “Solche Plattformen können die Erfolgsbilanz von Research-Experten über einen längeren Zeitraum messen und auch KI-Fehler identifizieren.”

Doch selbst wenn Triage an dieser Stelle helfen kann: Besonders Bug-Bounty-Programme, die nicht mit Ressourcen im Übermaß gesegnet sind (Stichwort: Open Source), werden auch dadurch zusätzlich belastet. Ein Beispiel liefert etwa das quelloffene Projekt Curl (ein Befehlszeilen-Tool, das etwa dazu genutzt wird, Dateien herunterzuladen). Projektleiter Daniel Stenberg beklagt in einem Blogbeitrag, dass er und sein Team inzwischen viel zu viel Zeit damit verbringen, sich mit minderwertigen, von KI-Tools erstellten Bug Reports zu befassen: “Das Curl-Sicherheitsteam besteht aus sieben Personen. Jeder Report beschäftigt drei bis vier Personen für den Zeitraum von 30 Minuten bis hin zu drei oder vier Stunden.”

Dass die Ergebnisse, die KI-Tools beim Bug Hunting liefern, bislang eher gemischt ausfallen, bestätigen auch andere Security-Praktiker. Etwa Bobby Kuzma, Manager bei der Security- und Compliance-Beratung ProCircular: “Wenn sie richtig angewendet und validiert werden, können KI-Tools aussagekräftige Ergebnisse liefern. Aber es gibt auch Bug-Bounty-Programme, die dadurch von einem Übermaß an Meldungen überflutet werden, die – um es vorsichtig auszudrücken – Schrott sind.”

Dass die Menschen, die diese KI-Tools bedienen, wissen, was sie tun, sieht auch Trevor Horwitz, CISO bei der britischen Investment-Research-Plattform TrustNet, als Voraussetzung für erfolreiches Bug Hunting an: “Die besten Ergebnisse erzielen nach wie vor Menschen, die wissen, wie man die Tools einsetzt. KI kann für Geschwindigkeit und Skalierbarkeit sorgen, aber erst menschliches Urteilsvermögen sorgt für nachhaltige Ergebnisse.”

Gal Nagli, Head of Threat Exposure beim Cloud-Sicherheitsanbieter Wiz, sieht das ähnlich: “Der wahre Wert der KI liegt darin, erfahrene Forscher zu unterstützen. Besonders, wenn es darum geht, authentifizierte Portale zu testen oder umfangreiche Code-Basen und JavaScript-Dateien zu analysieren. Das hilft, Schwachstellen aufzudecken, die ohne KI bisher zu komplex oder zu subtil waren, um sie erkennen zu können.”

Vollautonome Agenten hätten in diesem Bereich noch immer Schwierigkeiten, so der Wiz-Manager – besonders in Szenarien, in denen es auf den menschlichen Kontext ankomme. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.