Ein gemeinsames Experiment von Anthropic und Mozilla zeigt, wie weit KI-gestuetzte Sicherheitsanalyse bereits ist: Die grosse Sprachmodell-Familie Claude Opus 4.6 identifizierte in kurzer Zeit 22 echte Sicherheitsluecken im Browser Firefox, viele davon mit hoher Kritikalitaet. Saemtliche Schwachstellen wurden inzwischen mit dem Release Firefox 148 behoben.
22 verifizierte Sicherheitsluecken in zwei Wochen KI-Analyse
Laut Anthropic fand Claude Opus 4.6 im Firefox-Code 14 Schwachstellen mit hoher, 7 mit mittlerer und 1 mit niedriger Kritikalitaet. Nach Einschaetzung der beteiligten Teams entspricht dies knapp einem Fuenftel aller hochpriorisierten Bugs, die im gesamten Jahr 2025 in Firefox geschlossen wurden – bei einer reinen Analysezeit von rund zwei Wochen.
Bemerkenswert ist die Geschwindigkeit der ersten Treffer: Bereits etwa 20 Minuten nach Start des automatisierten Audits entdeckte die KI eine Use-after-free-Sicherheitsluecke im JavaScript-Engine. Solche Speicherfehler entstehen, wenn bereits freigegebene Speicherbereiche weiterverwendet werden. Angreifer koennen sie haeufig ausnutzen, um Speicher zu manipulieren und im schlimmsten Fall beliebigen Code im Kontext des Browsers auszufuehren.
Jede gemeldete Schwachstelle wurde im Anschluss von menschlichen Sicherheitsexperten in isolierten Testumgebungen reproduziert und bewertet. Dieses Zusammenspiel von automatischer KI-Analyse und manuellem Review ist zentral, um Fehlalarme zu reduzieren und die technische Ausnutzbarkeit realistisch einzuschaetzen.
Technischer Umfang: 6000 C++-Dateien, 112 Reports, 90 weitere Fehler
Im Rahmen des Projekts analysierte Claude Opus 4.6 rund 6000 C++-Quelldateien aus der Firefox-Codebasis und erzeugte 112 einzigartige Hinweise auf moegliche Probleme. Aus diesen Hinweisen filterten die Teams von Mozilla und Anthropic diejenigen Befunde heraus, die sich als echte verwertbare Schwachstellen bestaetigen liessen.
Mozilla berichtet zudem, dass die KI-gestuetzte Analyse weitere rund 90 Defekte ans Licht brachte, die nicht alle klassische Sicherheitsluecken darstellen, aber fuer die Stabilitaet und Wartbarkeit kritisch sind. Dazu zaehlen Assertion-Failures und bestimmte Klassen von logischen Fehlern, die herkoemmliche Fuzzer und statische Analysewerkzeuge haeufig uebersehen.
Damit unterstreicht das Experiment den Mehrwert eines hybriden Sicherheitsansatzes: Fuzzing, statische Analyse und KI-Modelle ergaenzen sich sinnvoll. Waehrend Fuzzer vor allem zufaellige Eingaben generieren und Laufzeitfehler provozieren, koennen KI-Modelle semantische Zusammenhaenge im Code erfassen und gezielt nach plausiblen Fehlerpfaden suchen.
KI-gestuetzte Exploit-Entwicklung: erste Erfolge, klare Grenzen
Ein zweiter Teil des Experiments untersuchte, ob die KI nicht nur Schwachstellen erkennen, sondern auch funktionsfaehige Exploits generieren kann. Dazu erhielt Claude Opus 4.6 detaillierte Informationen ueber bestaetigte Sicherheitsluecken und sollte daraus Angriffsskripte ableiten. Insgesamt wurden mehrere Hundert Exploit-Versuche durchgefuehrt; die API-Kosten werden auf etwa 4000 US-Dollar beziffert.
Das Ergebnis: Die KI konnte fuer nur zwei der Schwachstellen einen praktisch funktionierenden Exploit erzeugen. Einer davon betraf CVE-2026-2796, eine mit 9,8 nach CVSS bewertete Schwachstelle in der JIT-Kompilierung von JavaScript WebAssembly. Allerdings funktionierte dieser Exploit ausschliesslich in einer kuenstlich geschwaechten Testumgebung, in der zentrale Schutzmechanismen wie die Browser-Sandbox bewusst deaktiviert worden waren.
Keine komplexen Exploit-Chains und kein Sandbox-Escape – noch nicht
Anthropic betont, dass Claude Opus 4.6 derzeit nicht in der Lage ist, komplexe Exploit-Chains selbststaendig zu entwerfen, also Ketten mehrerer Schwachstellen, die in Summe einen Sandbox-Escape und eine dauerhafte Codeausfuehrung auf dem System des Opfers ermoeglichen. Genau solche mehrstufigen Angriffe sind jedoch typisch fuer hochentwickelte Zero-Day-Exploits gegen moderne Browser.
Gleichzeitig gehen viele Fachleute davon aus, dass die Luecke zwischen automatischer Schwachstellensuche und vollautomatischer Ausnutzung kleiner werden wird. Mit leistungsfaehigeren Modellen, mehr Trainingsdaten und zusaetzlichen Beispielen realer Exploits duerfte die Qualitaet KI-generierter Angriffsskripte mittelfristig deutlich steigen – eine Entwicklung, die auch Institutionen wie ENISA und NIST in ihren Lageeinschaetzungen zu KI und Cybersicherheit beobachten.
Implikationen fuer Cybersicherheit, AppSec und Unternehmen
Das Experiment von Anthropic und Mozilla verdeutlicht, dass kuenstliche Intelligenz zu einem zentralen Werkzeug der Application Security (AppSec) wird. Fuer komplexe, ueber Jahre gewachsene Codebasen wie Firefox kann KI insbesondere dabei helfen, schwer reproduzierbare Logikfehler, Race Conditions und Speicherfehler schneller aufzuspuehren.
In der Praxis bedeutet dies fuer Entwicklungsorganisationen:
— Integration von KI-gestuetzten Code-Analysen in den Secure-Development-Lifecycle (SDLC), ergaenzend zu Fuzzing und statischer Analyse;
— Nutzung von KI fuer regressionstestsicherheit nach groesseren Refactorings oder neuen Features;
— Aufbau oder Ausbau von Bug-Bounty-Programmen, die sowohl menschliche Forscher als auch KI-gestuetzte Scans einbeziehen.
Parallel dazu entstehen neue Risiken: Dieselben Technologien, die Verteidigern helfen, koennen von Angreifern fuer massstabsgetreue, automatisierte Schwachstellensuche und Exploit-Entwicklung missbraucht werden. Organisationen muessen daher auf schnelles Patch-Management, mehrschichtige Abwehrmassnahmen und Security-by-Design setzen – von der Architektur ueber sicheren Code bis hin zu Härtung und Monitoring.
Insgesamt macht das Firefox-Experiment deutlich, dass KI aus modernen Sicherheitsstrategien nicht mehr wegzudenken ist. Unternehmen, die komplexe Software entwickeln, sollten jetzt damit beginnen, KI-basierte Sicherheitswerkzeuge systematisch einzufuehren, ihre Bedrohungsmodelle zu aktualisieren und interne Teams im Umgang mit diesen Technologien zu schulen. Wer fruehzeitig in diese Kompetenz investiert, verbessert nicht nur die eigene Resilienz, sondern reduziert auch das Risiko, von Angreifern ueberholt zu werden, die dieselben KI-Werkzeuge bereits offensiv einsetzen.
