Suche
GPT-5.5: KI definiert professionelle Schwachstellenerkennung neu
Laut dem Cybersicherheitsunternehmen XBOW erreicht GPT-5.5 ein "Mythos-ähnliches" Niveau in der Schwachstellenerkennung. Sie haben das Modell in ihren professionellen Pentesting-Workflows getestet und sehen einen entscheidenden Sprung nach vorn für offensive Sicherheitskapazitäten.
DoD-Auftragnehmer: Strix entdeckt Multi-Tenant Autorisierungs-Lücke
Das Sicherheitsunternehmen Strix hat eine Multi-Tenant Autorisierungs-Lücke bei einem Auftragnehmer des US-Verteidigungsministeriums entdeckt. Der Bericht trägt den Titel 'Securing a DoD contractor: Finding a multi-tenant authorization vulnerability'. Diese Entdeckung unterstreicht die universelle Notwendigkeit robuster Sicherheitsprüfungen, besonders in sensiblen Technologieumfeldern.
KI-Hardware-Hack: OpenAIs Codex knackt Samsung TV zu Root
Forschende haben OpenAIs Codex-Modell genutzt, um von einer Browser-Shell auf einem Samsung Smart TV Root-Rechte zu erlangen. Dem KI-Modell wurde der passende Firmware-Quellcode zur Verfügung gestellt, woraufhin es ein Physical-Memory-Primitive validierte und so erfolgreich Root-Zugriff auf dem realen Gerät erreichte. Dies demonstriert eindrucksvoll, wie KI-Systeme komplexe Hardware-Hacks selbstständig durchführen können.
NSA ignoriert Verbot: Anthropic-KI Mythos im Geheimdienst-Einsatz
Die NSA setzt Anthropic's KI-Modell Mythos ein – und pfeift damit auf eine inoffizielle Blacklist des Pentagons, die Sicherheits- und Lieferkettenbedenken hatte. Das verdeutlicht nicht nur den aggressiven Wettlauf um KI-Vorteile im Geheimdienstbereich, sondern auch die oft komplizierte Koordination und unterschiedlichen Prioritäten innerhalb der US-Regierung. Scheint, als würden manche Regeln für einige Abteilungen doch etwas anders ausgelegt.
Beweise, dass du ein Roboter bist: Browser Use kehrt CAPTCHA um
Browser Use hat für die Anmeldung ihrer Services ein 'Reverse-CAPTCHA' eingeführt. Der Clou: Es ist explizit dafür designt, Menschen den Zugang zu verwehren und stattdessen KI-Agenten nahtlos hereinzulassen. Agenten lösen eine mathematische Aufgabe, die sie per Prompt erhalten, und demonstrieren damit, dass sie eben kein Mensch sind – eine provokante Umkehrung der gängigen Sicherheitslogik.
KI beschleunigt Schwachstellen: Zwei Sicherheitskulturen unter Druck
Die rasante Entwicklung der KI setzt zwei traditionelle Sicherheitskulturen unter massiven Druck: Laut Jeff Kaufman kollidieren dabei die klassische 'Coordinated Disclosure'-Methode mit der Linux-eigenen 'Bugs are Bugs'-Philosophie, bei der Schwachstellen stillschweigend und schnell behoben werden. Doch mit KI, die immer besser im Aufspüren von Lücken wird, funktioniert dieser Ansatz, der auf unbemerkte Fixes hofft, immer schlechter – ein Problem, das schon bei der 'Copy Fail'-Schwachstelle zutage trat.
Vorsicht, Shai-Hulud! Maliziöse Dependency in PyTorch Lightning entdeckt
Ein ungewöhnlicher Name für eine ernste Bedrohung: In der populären KI-Trainingsbibliothek PyTorch Lightning wurde eine 'Shai-Hulud'-thematisierte Malware als maliziöse Dependency aufgespürt. Dies unterstreicht die anhaltenden Herausforderungen bei der Sicherung unserer Software-Lieferketten.
AutoProber: Automatisierter Stack für Hardware-Hacking
GainSecs AutoProber ist ein wegweisender Automatisierungs-Stack für Hardware-Hacker. Er ermöglicht agenten-gesteuerte Zielerkennung, Mikroskop-Kartierung und sicherheitsüberwachte CNC-Bewegung. Diese Lösung automatisiert präzise Sondenprüfung und kontrolliertes Pin-Probing, was die Hardware-Analyse neu definiert.
Kampala: Reverse Engineering – Apps zu APIs via Traffic-Intercept
Kampala ist ein MITM-Proxy, der das Reverse Engineering von Web-, Mobile- und Desktop-Apps ermöglicht. Es fängt HTTP/S-Traffic ab, tracet Authentifizierungsketten und kann Abläufe als stabile Automatisierungen oder APIs für interne Systeme wiedergeben. So werden bestehende Arbeitsabläufe programmierbar.
OpenAI jagt Bio-Bugs in GPT 5.5: KI als Biowaffe verhindern?
OpenAI legt ein Biosicherheits-Kopfgeldprogramm auf, um Schwachstellen in ihren fortschrittlichsten Modellen – insbesondere den kommenden Frontier-Modellen wie GPT 5.5 – zu finden, die für biologische Bedrohungen missbraucht werden könnten. Mit bis zu 25.000 Dollar pro Fund sollen Forscher Wege identifizieren, wie KIs zur Entwicklung von Biowaffen oder Pandemien genutzt werden könnten. Das ist kein Spaß: Es zeigt die wachsende Besorgnis über die Dual-Use-Potenziale von KI und wie dringend deren Kontrolle ist, bevor es zu spät ist.
Antirez: KI-Sicherheit ist kein Proof of Work – Qualität zählt
Salvatore Sanfilippo (antirez.com) stellt klar: KI-Cybersicherheit ist kein 'Proof of Work'. Der Schlüssel liegt nicht in mehr GPUs, sondern in der Intelligenz der Modelle. Nur wirklich bessere KI kann komplexe Schwachstellen wie den OpenBSD SACK-Bug erkennen und verstehen, während schwächere Modelle lediglich oberflächliche Muster abgleichen und halluzinieren.
LLMs jagen Bugs: Kernel-Devs schmeißen alte Code-Last ab
Große Sprachmodelle (LLMs) generieren eine Flut von Sicherheitsberichten für den Linux-Kernel, was die Entwickler zunehmend überfordert. Um diese Meldungsflut für oft ungenutzten oder unzureichend gewarteten Code zu bewältigen und ihre "Sanity zu schützen", entfernen Kernel-Entwickler nun gezielt ganze Subsysteme wie ISA-Ethernet-Treiber und das Amateurfunk-Protokoll AX.25. Dies ist eine direkte, defensive Reaktion auf die neue Herausforderung durch AI-generierte Bugs.
Firefox wird zum Fort Knox: KI-Power gegen Sicherheitslücken
Mozilla packt bei der Sicherheit von Firefox richtig an und setzt dabei auf KI: Die "Claude Mythos Preview" hilft, Schwachstellen proaktiv zu identifizieren und den Browser massiv zu härten. Statt rein manueller Prüfungen sorgt die AI für einen smarten, zukunftsorientierten Schutz. Ein cleverer Move, der zeigt, dass KI eben mehr kann als nur Texte generieren.
Claude Code: Symlink-Schwachstelle bricht Sandbox – Gefahr für KI-Systeme
Ups, Anthropic hatte da eine Lücke: Bei Claude Code erlaubte eine Symlink-Schwachstelle (CVE-2026-39861) das Ausbrechen aus der Sandbox. Mal eben konnten Nutzer, die Code im AI-System ausführen durften, außerhalb ihrer eigentlichen Umgebung auf dem Dateisystem schreiben. Ein ziemlich ernstes Ding, das zeigt, wie kritisch die Isolation bei KI-Plattformen ist, die Code-Ausführung anbieten.
Claude als IP-Stack: Wie weit lässt sich KI für Netzwerk-Logic pushen?
In einem faszinierenden Experiment treibt Adam Dunkels die Idee, dass Markdown Code ist, auf die Spitze: Er instruiert Claude Code, als User-Space IP-Stack auf Pings zu antworten. Die LLM soll IP-Pakete byte für byte parsen und replizieren, ein Ansatz, den Dunkels selbst als 'ridikulös' und 'tokenverschwenderisch', aber auch 'lustig' beschreibt. Das generierte Skript zur Paketverarbeitung sieht einen 35-Sekunden-Timeout für das Lesen eines Pakets vor, was die theoretische Natur dieses tiefgreifenden LLM-Einsatzes unterstreicht.
Anthropic's Mythos: Die beste Cybersecurity-KI seit Jahrzehnten ist da.
Josephine Wolff, Professorin für Cybersicherheitspolitik, bewertet Anthropic's KI-Modell Mythos als die beste Cybersicherheits-Neuigkeit seit einem Jahrzehnt. Trotz anfänglicher Bedenken über seine Fähigkeit, Software-Schwachstellen zu finden und auszunutzen, argumentiert Wolff, dass Mythos das potenziell mächtigste Verteidigungswerkzeug darstellt, das wir je hatten.
Vercel-Ausfall: KI und ein Roblox-Cheat bringen Riesenplattform ins Wanken
Man stelle sich vor: Vercel, eine der modernsten Entwicklerplattformen, ging in die Knie – und das nicht durch einen klassischen DDoS, sondern wegen einer absurden Kombination. Ein Roblox-Cheat nutzte KI, um massenhaft einzigartige Seiten zu generieren. Diese Flut umging Vercels Caches komplett und legte die gesamte Plattform lahm.
Ramp Sheets AI: Finanzdaten-Exfiltration durch Agenten-Lücke gefixt
Eine Schwachstelle in Ramp's Sheets AI ermöglichte es der KI, unerlaubt Formeln einzufügen, die externe Netzwerkanfragen auslösten. Dadurch bestand das Risiko der Datenexfiltration sensibler Finanzdaten mittels Indirect Prompt Injection. Ramp wurde informiert und hat das Problem laut eigener Aussage am 16. März 2026 behoben.
Intime Gadgets: Bio-Feedback-Sensoren sammeln dein Privatestes für KI
Eine neue Generation vernetzter Intim-Gadgets mit Bio-Feedback-Sensoren verspricht optimierte Erlebnisse, sammelt dabei aber unbemerkt hochsensible biometrische Daten. Diese Geräte beobachten, messen und zeichnen Reaktionen auf, was die Exportierung intimster Informationen an undurchsichtige Systeme bedeutet. Im Zeitalter der Datensammler wirft dies ernste Fragen zum Schutz der Privatsphäre auf.
OpenClaw vs. MS-DOS: Eine Lektion in fehlender Systemsicherheit
Der Autor setzt sich kritisch mit OpenClaw auseinander und zieht Parallelen zur mangelnden Sicherheit von MS-DOS. Er erinnert daran, wie DOS durch fehlende Isolation direkten Kernel-Zugriff erlaubte und Daten ungeschützt speicherte. Eine detaillierte Anekdote über Wal-Mart's unsichere MS-DOS-Kassensysteme illustriert die Risiken und die 'zero safety' jener Ära.