Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Anderen KI-Systemen zuvorkommen

Überdies gab Pak zu verstehen, Theori habe potenziellen Angreifern mit der zügigen Offenlegung zuvor kommen wollen. "Da der Patch bereits seit einiger Zeit in der Hauptversion enthalten war und eine CVE-Nummer zugewiesen worden war, befürchteten wir, dass KI-Systeme, die Commits überwachen, die Schwere des Fehlers automatisch erkennen könnten", schrieb der CEO auf X.

Im Bereich der offensiven Sicherheit sei eine solche Vorgehensweise gängige Praxis. Auch Angreifern sei dies bekannt. Daher habe sich sein Team für eine sofortige Offenlegung entschieden. "Mit den heutigen KI-Codierungstools dauert es ohnehin nur Stunden, um aus einer CVE und einem Commit einen funktionierenden Exploit zu machen", erklärte Pak weiter.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Technical Security Officer (w/m/d) IT-Dienstleistungszentrum (ITDZ Berlin), Berlin,Homeoffice (öffnet im neuen Fenster)
Consultant Datenschutz (d/w/m) in Teilzeit, am Standort Berlin MKM Datenschutz GmbH, Berlin (öffnet im neuen Fenster)
Leitung IT (m/w/d) Stiftung Tierärztliche Hochschule Hannover (TiHo), Hannover (öffnet im neuen Fenster)
System Engineer Database/DBA (ORACLE) (w/m/d) Bayerisches Landesamt für Steuern, München,Nürnberg (öffnet im neuen Fenster)
IT-Projektmanager (m/w/d) Vollzeit Klinkhammer Intralogistics GmbH, Nürnberg (öffnet im neuen Fenster)
Product Owner / Technical Consultant (m/w/d) - Konstanz mit remote Anteil SEITENBAU GmbH, Konstanz (öffnet im neuen Fenster)
IT Solution Engineer - Cloud Technology & IT Security | Circular Economy (m/w/d) Raan GmbH, Köln (öffnet im neuen Fenster)
Mitarbeiter/in (m/w/d) für das Sachgebiet Information und Kommunikation mit dem Fokus auf der IT Stadt Bad Urach, Bad Urach (öffnet im neuen Fenster)

Vibe-Coded Advisory stiftet Verwirrung

Die unzureichende Koordination mit den Linux-Maintainern ist jedoch nicht der einzige Vorwurf, dem Theori ausgesetzt ist. Denn die Forscher haben wohl nicht nur KI genutzt, um Copy Fail aufzuspüren, sondern auch für die Erstellung(öffnet im neuen Fenster) der zugehörigen Berichte(öffnet im neuen Fenster). In diesen wurde dabei schon am Tag der Offenlegung der Eindruck erweckt, Updates für betroffene Distributionen seien breit verfügbar.

Laut Dormann(öffnet im neuen Fenster) gab es jedoch zu dieser Zeit für die gängigsten Linux-Varianten noch gar keine entsprechenden Updates – weder bei Red Hat(öffnet im neuen Fenster) noch bei Ubuntu(öffnet im neuen Fenster), Amazon Linux(öffnet im neuen Fenster), Debian(öffnet im neuen Fenster) oder Suse(öffnet im neuen Fenster). Es gab zwar Sicherheitsmeldungen zu Copy Fail, aber noch keine offiziellen Korrekturen. Mittlerweile kommt der in den Kernel eingepflegte Patch aber tatsächlich bei den Distributionen an, so dass immer mehr Nutzer ihn per Update einspielen können.

Hinzu kommt, dass Theori einen Workaround vorgeschlagen hat, der auf einige Systeme wohl gar nicht anwendbar ist. Dormann verweist als Alternative auf die Sicherheitsmeldung von Red Hat(öffnet im neuen Fenster). Diese enthält Boot-Argumente, die sich beispielsweise in die Grub-Konfiguration eintragen lassen, um die anfälligen Systemkomponenten zu deaktivieren, bis der Patch eingespielt werden kann.

  1. Copy Fail und die KI: Forscher patzen bei Offenlegung von Linux-Lücke
  2. Anderen KI-Systemen zuvorkommen
Zur Startseite 21 Kommentare

Relevante Themen

Updates & PatchesKIOpen SourceLinuxSoftwareBetriebssystemeSecuritySicherheitslücke