{"id":3523,"date":"2025-06-11T12:49:47","date_gmt":"2025-06-11T12:49:47","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3523"},"modified":"2025-06-11T12:49:47","modified_gmt":"2025-06-11T12:49:47","slug":"neues-genai-tool-soll-open-source-sicherheit-erhohen","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3523","title":{"rendered":"Neues GenAI-Tool soll Open-Source-Sicherheit erh\u00f6hen"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?quality=50&strip=all 5666w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Ein neu entwickeltes GenAI-Tool soll helfen, Schwachstellen in gro\u00dfen Open-Source-Repositories zu erkennen und zu patchen.\n

Teerachai Jampanak \u2013 Shutterstock.com<\/p>\n<\/div>\n

Niederl\u00e4ndische und iranische Sicherheitsforscher haben ein neues Tool auf Basis von generativer KI (GenAI<\/a>) ins Leben gerufen, das Plattformen wie ChatGPT erm\u00f6glichen soll, Bugs in Code-Repositories zu erkennen und zu patchen.<\/p>\n

Die Anwendung wurde getestet, indem GitHub nach einer bestimmten Schwachstelle durch Pfad\u00fcberquerung in Node.js-Projekten gescannt wurde, die seit 2010 besteht. Dabei wurden 1.756 anf\u00e4llige Projekte identifiziert, von denen einige als \u201esehr einflussreich\u201c bezeichnet wurden. Bisher konnten 63 Projekte gepatcht werden.<\/p>\n

Die in einem k\u00fcrzlich ver\u00f6ffentlichten Artikel<\/a> beschriebene Entwicklung weist jedoch auch auf eine gravierende Einschr\u00e4nkung bei der Verwendung von KI hin. W\u00e4hrend das automatisierte Patchen durch ein gro\u00dfes Sprachmodell (LLM) die Skalierbarkeit erheblich verbessert, kann der Patch auch andere Fehler verursachen.<\/p>\n

Au\u00dferdem k\u00f6nnte es schwierig sein, die betreffende Schwachstelle vollst\u00e4ndig zu beseitigen, da einige beliebte gro\u00dfe Sprachmodelle (LLMs) nach 15 Jahren davon infiziert sein k\u00f6nnten.<\/p>\n

Der Grund: LLMs werden auf Open-Source-Codebasen trainiert, in denen dieser Fehler verborgen ist.<\/p>\n

Die Forscher fanden heraus, dass ein LLM, das mit einem anf\u00e4lligen Quellcodemuster kontaminiert ist, diesen Code auch dann generiert, wenn es angewiesen wird, sicheren Code zu synthetisieren. Sie fordern daher, dass beliebte anf\u00e4llige Codemuster nicht nur aus Open-Source-Projekten und den Ressourcen von Entwicklern entfernt werden m\u00fcssten, sondern auch aus LLMs.<\/p>\n

Hacker platzieren seit Jahren b\u00f6sartigen Code<\/strong><\/h2>\n

Bedrohungsakteure pflanzen seit Jahren Schwachstellen in Open-Source-Repositories<\/a>, um in Unternehmen einzudringen, die Open-Source-Anwendungen einsetzen. Das Problem: Entwickler kopieren unwissentlich anf\u00e4lligen Code aus Code-Sharing-Plattformen wie Stack Overflow und f\u00fcgen ihn woanders ein, wodurch er in GitHub-Projekte gelangt.<\/p>\n

\u201eAngreifer m\u00fcssen nur ein einziges anf\u00e4lliges Codemuster kennen, um viele Projekte und deren nachgelagerte Abh\u00e4ngigkeiten erfolgreich angreifen zu k\u00f6nnen\u201c, betonen die Forscher.<\/p>\n

Die von ihnen entwickelte L\u00f6sung k\u00f6nnte die Entdeckung und Beseitigung von Open-Source-Sicherheitsl\u00fccken in gro\u00dfem Ma\u00dfstab erm\u00f6glichen.<\/p>\n

Dabei handelt es sich jedoch um kein Tool, wo durch einmaliges Scannen alle Fehler behoben werden. Entwickler forken n\u00e4mlich h\u00e4ufig Repositories, ohne etwas zu den urspr\u00fcnglichen Projekten beizutragen. Das bedeutet, dass alle Repositories mit einem anf\u00e4lligen Codeabschnitt gescannt und korrigiert werden m\u00fcssen, damit eine Sicherheitsl\u00fccke wirklich beseitigt wird.<\/p>\n

Dar\u00fcber hinaus verwendete das in dieser Studie untersuchte Muster f\u00fcr anf\u00e4lligen Code den Pfadnamen der URL direkt und ohne spezielle Formatierung, wodurch eine leicht auszunutzen Schwachstelle entstand. Auf dieses Muster konzentriert sich das Tool; andere Stellen, an denen der fehlerhafte Code platziert ist, werden nicht erkannt.<\/p>\n

Die Forscher haben allerdings vor, das Tool zu verbessern und zu erweitern, insbesondere durch die Integration anderer Muster f\u00fcr anf\u00e4lligen Code und die Optimierung der Patch-Generierung.<\/p>\n

Kritik an dem KI-Projekt<\/strong><\/h2>\n

Robert Beggs, Leiter des kanadischen Incident-Response-Unternehmens DigitalDefence, steht dem Wert des Tools in seiner derzeitigen Form jedoch skeptisch gegen\u00fcber.<\/p>\n

Die Idee eines automatisierten Tools zum Scannen und Patchen von Schadcode gebe es schon seit einiger Zeit, betonte er.Allerdings werde in der Studie noch nicht gekl\u00e4rt, wer verantwortlich sei, wenn ein fehlerhafter Patch ein \u00f6ffentliches Projekt besch\u00e4dige. Beggs bezweifelt au\u00dferdem, dass ein Repository-Manager immer erkennen kann, dass ein KI-Tool eine potenzielle Schwachstelle in eine Anwendung einf\u00fcgen will.<\/p>\n

Zudem ist unklar, inwieweit das Tool nach der Behebung Tests durchf\u00fchrt, um sicherzustellen, dass der Patch keinen weiteren Schaden anrichtet. In dem Papier hei\u00dft es, dass letztendlich die Projektverantwortlichen daf\u00fcr verantwortlich sind, dass der Patch korrekt ist. Der KI-Teil des Tools erstellt einen Patch, berechnet einen CVSS-Score und \u00fcbermittelt einen Bericht an die Projektverantwortlichen.<\/p>\n

\u201eIch pers\u00f6nlich w\u00fcrde das Tool nicht verwenden, da es mit der \u00c4nderung von Quellcode zu tun hat\u201c, erkl\u00e4rte Beggs. \u201eIch glaube nicht, dass k\u00fcnstliche Intelligenz bereits so weit ist, dass sie den Quellcode f\u00fcr eine gro\u00dfe Anzahl von Anwendungen verwalten kann\u201c, f\u00fcgte er hinzu.<\/p>\n

Er r\u00e4umte jedoch ein, dass wissenschaftliche Artikel in der Regel nur einen ersten Ansatz f\u00fcr ein Problem darstellen.<\/p>\n

Open-Source-Entwickler k\u00f6nnen Teil des Problems sein<\/strong><\/h2>\n

Im Laufe ihrer Arbeit entdeckten die Forscher auch eine beunruhigende Tatsache: Open-Source-App-Entwickler ignorieren manchmal Warnungen, dass bestimmte Code-Schnipsel anf\u00e4llig sind.<\/p>\n

Der anf\u00e4llige Code, den die Forscher in m\u00f6glichst vielen GitHub-Projekten beheben wollten, stammte aus dem Jahr 2010 und ist in GitHub Gist zu finden, einem Dienst zum Austausch von Code-Schnipseln. Der Code erstellt einen statischen HTTP-Dateiserver f\u00fcr Node.js-Webanwendungen. \u201eTrotz seiner Einfachheit und Beliebtheit scheinen viele Entwickler nicht zu wissen, dass dieses Codemuster anf\u00e4llig f\u00fcr Pfad\u00fcberquerungsangriffe ist\u201c, schreiben die Forscher.<\/p>\n

Selbst diejenigen, die das Problem erkannt hatten, stie\u00dfen auf Widerstand von anderen Entwicklern. Die Behauptung, dass der Code fehlerhaft sei, wurde mehrfach zur\u00fcckgewiesen.<\/p>\n

Unabh\u00e4ngig davon tauchte der Code-Schnipsel in einer gedruckten Version eines Dokuments auf, das 2015 von der Mozilla-Entwickler-Community erstellt und sieben Jahre sp\u00e4ter korrigiert wurde. Die anf\u00e4llige Version wanderte jedoch Ende 2015 auch zu Stack Overflow. Obwohl der Ausschnitt mehrere Aktualisierungen erhielt, wurde die Schwachstelle nicht behoben. Tats\u00e4chlich war der Code-Ausschnitt zum Zeitpunkt der Ver\u00f6ffentlichung der aktuellen Forschungsergebnisse immer noch anf\u00e4llig.<\/p>\n

Das Gleiche geschah den Forschern zufolge 2016 bei einer anderen Stack-Overflow-Frage (mit \u00fcber 88.000 Aufrufen), in der ein Entwickler vermutete, dass der Code eine Schwachstelle enthielt. Diese Person konnte das Problem jedoch nicht \u00fcberpr\u00fcfen, sodass der Code erneut als sicher eingestuft wurde.<\/p>\n

Die Forscher vermuten, dass das Missverst\u00e4ndnis \u00fcber die Schwere der Sicherheitsl\u00fccke darauf zur\u00fcckzuf\u00fchren ist, dass Entwickler beim Testen des Codes in der Regel einen Webbrowser oder den Linux-Befehl \u201ecurl\u201c verwenden. Diese h\u00e4tten das Problem verschleiert. Angreifer seien jedoch nicht an die Verwendung von Standard-Clients gebunden, so die Forscher.<\/p>\n

Beunruhigend sei au\u00dferdem, dass \u201ewir auch mehrere Node.js-Kurse gefunden haben, in denen dieser anf\u00e4llige Code-Schnipsel zu Trainingszwecken verwendet wurde\u201c, f\u00fcgen die Forscher hinzu. (jm)<\/p>\n

Lesetipp: 9 unverzichtbare Open Source Security Tools<\/a><\/p>\n

<\/a><\/p>\n

\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?quality=50&strip=all 5666w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2024\/11\/shutterstock_2322281155.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Ein neu entwickeltes GenAI-Tool soll helfen, Schwachstellen in gro\u00dfen Open-Source-Repositories zu erkennen und zu patchen. Teerachai Jampanak \u2013 Shutterstock.com Niederl\u00e4ndische und iranische Sicherheitsforscher haben ein neues Tool auf […]<\/p>\n","protected":false},"author":0,"featured_media":3524,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3523","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3523"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3523"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3523\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3524"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3523"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3523"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3523"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}