Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

KI und Cybersecurity: Curl-Entwickler sieht keine Gefahr durch Mythos

Nachdem Anthropics KI-Modell Mythos Curl auf Sicherheitslücken überprüft hatte, kam laut dessen Entwickler eine sehr kurze Liste zurück.
/ Mike Faust
8 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Für Daniel Stenberg sind die Mythos zugeschriebenen Fähigkeiten lediglich Marketingphrasen. (Bild: SEBASTIEN BOZON / AFP via Getty Images)
Für Daniel Stenberg sind die Mythos zugeschriebenen Fähigkeiten lediglich Marketingphrasen. Bild: SEBASTIEN BOZON / AFP via Getty Images

Der Entwickler des Open-Source-Kommandozeilentools Curl, Daniel Stenberg, zeigt sich von den Fähigkeiten des KI-Modells Mythos zum Auffinden von Sicherheitslücken nicht begeistert. Wie er in einem Blogbeitrag(öffnet im neuen Fenster) schreibt, sei er zu dem Schluss gekommen, dass es sich bei den Aussagen von Anthropic zu den Fähigkeiten des Modells in erster Linie um Marketing handele und dieses keinen bedeutenden Durchbruch im Bereich der KI-Sicherheit darstelle.

Stenberg erläutert, dass er Curl über die Linux Foundation zur Teilnahme am Projekt Glasswing beantragt hatte, mit dem Anthropic Cybersicherheitsexperten Zugang zu Mythos gewährt. Anstelle eines direkten Zugriffs auf das Modell sei Mythos von einer anderen Person zur Untersuchung der Codebasis von Curl verwendet worden und Stenberg habe erst später einen Bericht erhalten.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Der Bericht, der anhand eines Mythos-Scans des Git-Repositories von Curl erstellt wurde, habe lediglich fünf Punkte beinhaltet, die als bestätigte Sicherheitslücken deklariert worden seien. Stenberg hatte eine deutlich umfangreichere Liste erwartet. Dennoch begannen er und sein Sicherheitsteam, die Punkte zu überprüfen.

Mythos ist zu guter Arbeit fähig

Nach mehreren Stunden blieb laut Stenberg nur noch eine einzige bestätigte Sicherheitslücke übrig. Drei der angeblichen Sicherheitslücken konnten als Fehlalarm identifiziert werden, die durch Mängel im Curl-Code verursacht worden waren; sie waren bereits in der API-Dokumentation des Projekts vermerkt. Den vierten Punkt stufte das Team als Bug ein.

Die verbliebene Schwachstelle wurde als Sicherheitslücke mit niedrigem Schweregrad eingestuft. Abseits der Sicherheitslücken fand Mythos allerdings auch zahlreiche weitere Fehler, an deren Behebung das Curl-Team jetzt arbeitet. Stenberg merkt an, dass deren Beschreibung durch Mythos gut gelungen und das KI-Modell zu guter Arbeit fähig sei. Für einen Durchbruch halte er es allerdings nicht.

Im Fall des Browsers Firefox fand Mythos 271 Sicherheitslücken. Mozilla erwiderte, dass auch menschliche Sicherheitsforscher diese hätten finden können. Dass die KI völlig neue Wege finde, Sicherheitslücken zu entdecken, glaube man bei Mozilla nicht.

Zur Startseite 8 Kommentare

Relevante Themen

AnthropicKIOpen SourceSoftwareSecuritySicherheitslückeDatensicherheitMythos