Findet KI mehr Sicherheitslücken als Menschen? Definitiv.

Anthropics Claude Opus 4.6 hat in nur zwei Wochen mehr kritische Bugs im Firefox-Browser gefunden als die gesamte Security-Community in zwei Monaten. Das verändert die Spielregeln für IT-Sicherheit in Unternehmen.

Stellen Sie sich vor: Sie beauftragen einen neuen Mitarbeiter mit der Sicherheitsüberprüfung Ihrer Software. Nach 20 Minuten meldet er den ersten kritischen Fehler. Nach zwei Wochen hat er über hundert Schwachstellen dokumentiert. Klingt nach einem Traumkandidaten? Dieser Mitarbeiter ist eine KI.

Das Wichtigste in Kürze

• Anthropics KI-Modell Claude Opus 4.6 fand in zwei Wochen über 100 Bugs im Firefox-Browser, davon 14 mit hohem Schweregrad
• Die erste Sicherheitslücke wurde nach nur 20 Minuten entdeckt
• Mozillas Entwickler reagierten umgehend und baten um weitere Ergebnisse
• Sicherheitsexperten warnen: Dieselbe Technologie könnte auch Angreifern in die Hände spielen

Wie schnell findet eine KI den ersten kritischen Bug?

Anthropics Sicherheitsteam wollte wissen, wie sich ihr fortschrittlichstes KI-Modell bei der Analyse komplexer, realer Software schlägt. Die Wahl fiel auf Firefox. Der Browser blickt auf über 30 Jahre Sicherheitsforschung zurück und gehört zu den am intensivsten geprüften Programmen weltweit. Mozillas Bug-Bounty-Programm, eines der ältesten der Branche, zahlt bis zu rund 5.600 € für schwerwiegende Sicherheitslücken.

Das Ergebnis überraschte beide Seiten. Claude Opus 4.6 brauchte gerade einmal 20 Minuten bis zum ersten Fund. Mozillas Ingenieur Brian Grinstead reagierte direkt: Der Bug sei ernst. Ob man telefonieren könne. Und dann die Frage, die alles sagt: „Was habt ihr noch? Schickt uns mehr.„

Was bedeuten 14 kritische Bugs in zwei Wochen?

In den folgenden zwei Wochen identifizierte das KI-Modell insgesamt über 100 Fehler. 14 davon stufte Mozilla als „High Severity“ ein. Bei diesen Schwachstellen hätte ein gezielter Exploit potenziell Millionen Firefox-Nutzer gefährden können. Zum Vergleich: Im gesamten Vorjahr behob Mozilla 73 Bugs der Kategorien „High Severity“ oder „Critical“. Die KI lieferte also in 14 Tagen mehr schwerwiegende Funde als die weltweite Community üblicherweise in zwei Monaten meldet.

Anthropics Forschungsteam filterte die Ergebnisse vor der Weitergabe sorgfältig. Nur reproduzierbare Bugs wurden an Mozilla übermittelt. Diese Vorauswahl erleichterte die Bestätigung durch Mozillas Team erheblich.

Mehr davon

• Ersetzt KI bald Ihren Cutter? Fast.
• Kann KI eine Nebenkostenabrechnung erstellen?
• KI-Texteffekte in Adobe Firefly erstellen: So gestalten Sie kreative Schriftzüge im Browser
• Browser-Vergleich 2026: Die 20 besten Webbrowser für Unternehmen? Nein.

Können KI-Systeme gefundene Lücken auch ausnutzen?

Die gute Nachricht für Unternehmen: Zwischen dem Finden und dem Ausnutzen von Schwachstellen klafft noch eine deutliche Lücke. Logan Graham, Leiter von Anthropics Frontier Red Team, berichtet, dass Claude zwar zwei funktionierende Exploits für eine Testversion des Browsers schrieb. In der realen Firefox-Umgebung hätten die bestehenden Sicherheitsmechanismen diese jedoch blockiert.

Die KI ist also aktuell deutlich besser im Aufspüren als im Ausnutzen von Schwachstellen. Für IT-Verantwortliche in Unternehmen heißt das: Wer KI-gestützte Sicherheitsanalysen einsetzt, verschafft sich einen messbaren Vorsprung. Wer wartet, riskiert, dass weniger wohlmeinende Akteure dieselbe Technologie zuerst nutzen.

„KI-gestützte Bug-Suche ist kein Zukunftsszenario mehr. Wer seine Software heute noch ausschließlich manuell prüfen lässt, verschenkt einen entscheidenden Sicherheitsvorsprung.“ — Markus Seyfferth, Chefredakteur Dr. Web

Wird KI zum Problem für Bug-Bounty-Programme?

Die Medaille hat zwei Seiten. Daniel Stenberg, leitender Entwickler des weit verbreiteten Curl-Projekts, hat sein Bug-Bounty-Programm im Januar eingestellt. Der Grund: eine Flut minderwertiger, KI-generierter Fehlerberichte. Weniger als einer von 20 gemeldeten Bugs im Jahr 2025 war tatsächlich real. KI-Chatbots, so Stenberg, halluzinieren nach wie vor leicht Sicherheitsprobleme herbei, die gar nicht existieren.

Gleichzeitig räumt er ein, dass spezialisierte KI-gestützte Code-Analysewerkzeuge echte Probleme finden. Für Unternehmen ergibt sich daraus eine klare Handlungsempfehlung: KI als Werkzeug für die eigene Sicherheitsstrategie einsetzen, aber die Ergebnisse durch erfahrene Fachleute validieren lassen.

Sind herkömmliche Sicherheitsstrategien noch zeitgemäß?

Gadi Evron, CEO des KI-Sicherheitsunternehmens Knostic, bringt es auf den Punkt: Die bisherigen Methoden der Cyberabwehr können mit der Geschwindigkeit und Frequenz der KI-gestützten Schwachstellenerkennung nicht Schritt halten. Das betrifft nicht nur Großkonzerne. Gerade mittelständische Unternehmen, die auf bewährte Sicherheitsroutinen setzen, müssen ihre Strategie überdenken.

Kommt Ihnen das bekannt vor? Die halbjährliche Sicherheitsüberprüfung durch einen externen Dienstleister galt bisher als ausreichend. In einer Welt, in der eine KI in 20 Minuten den ersten kritischen Bug findet, wirkt dieser Rhythmus wie ein Relikt aus einer anderen Zeit.

Was sollten Entscheider jetzt tun?

Die Entwicklung zeigt einen klaren Trend: KI-gestützte Sicherheitstools werden zum Standard in der Softwareentwicklung. Unternehmen sollten jetzt evaluieren, wie sie diese Technologie in ihre bestehenden Prozesse integrieren können. Der Vorsprung liegt bei denjenigen, die KI defensiv einsetzen, bevor sie offensiv gegen sie eingesetzt wird.

Mehr #Anthropic