Von 63 Tagen auf Stunden:: Die neuen Werte in der Rechnung für Cybersicherheit
Künstliche Intelligenz verschiebt die Ökonomie der Schwachstellenforschung. GPT-5.4-Cyber, GPT-5.5 und Claude Mythos zeigen: Nicht das Finden von Lücken ist der Engpass, sondern ihre verifizierte Behebung.
Schwachstellenforschung war lange ein Handwerk für Spezialisten: Code lesen, Binärdateien zerlegen, Hypothesen testen, Exploits bauen, Gegenmaßnahmen prüfen. Dieser Prozess dauerte oft Wochen oder Monate. Die neue KI-Modellgeneration verkürzt ihn dramatisch. OpenAI beschreibt GPT-5.4-Cyber als Modell für legitime Sicherheitsarbeit, das unter anderem Binäranalyse und defensive Workflows erleichtert. GPT-5.5 legt bei agentischer Programmierung, Werkzeugnutzung und komplexer Analyse weiter zu.
Der Engpass wandert
Das Entscheidende ist nicht, dass KI-Modelle Sicherheitslücken finden. Entscheidend ist, dass sie es zunehmend konsistent tun und dabei den menschlichen Aufwand senken. Top-Talente können sich stärker auf kritische Befunde, Ausnutzbarkeit und Absicherung konzentrieren, während Routineanalyse, Reproduktion und Vorarbeit automatisiert ablaufen. Damit entsteht eine neue Ökonomie: Schwachstellenforschung wird billiger, schneller und skalierbarer.
Anthropics Claude Mythos Preview zeigt, wie weit diese Entwicklung bereits reicht. Im Glasswing-Programm erhalten ausgewählte Verteidiger Zugriff auf das Modell, um Schwachstellen in kritischer Software zu finden und zu beheben. Anthropic spricht davon, dass Mythos bereits Tausende Zero-Day-Schwachstellen in kritischer Infrastruktur identifiziert habe.
Verteidigung zuerst, aber nicht dauerhaft exklusiv
Programme wie OpenAIs Trusted Access for Cyber und Anthropics Project Glasswing sind wichtige Schutzmaßnahmen. Die Idee dahinter: Nicht jeder bekommt sofort Zugriff auf besonders leistungsfähige Cybermodelle. Stattdessen erhalten zunächst ausgewählte Sicherheitsteams Zugang, die diese Modelle für Verteidigung, Forschung und Absicherung nutzen sollen. Gleichzeitig setzen die Anbieter auf Kontrollen, Identitätsprüfung und klare Nutzungsregeln.
Doch dieser Schutz ist nur vorübergehend. Der Abstand zwischen streng kontrollierten Spitzenmodellen und frei verfügbaren Open-Weight-Modellen wird kleiner. Sobald ähnliche Fähigkeiten auch in weniger streng abgesicherten Modellen auftauchen, verändert sich die Lage deutlich. Dann können nicht nur gut ausgestattete Forschungsgruppen oder staatliche Akteure komplexe Angriffe vorbereiten, sondern auch deutlich mehr Angreifer mit weniger Fachwissen.
Damit verschiebt sich das Risiko von einzelnen hoch spezialisierten Angriffen hin zu Masse und Geschwindigkeit. Ein Modell, das Programmcode versteht, Testumgebungen bedienen und mögliche Angriffspfade vorschlagen kann, ist für Verteidiger wertvoll. In den falschen Händen kann es aber auch helfen, Schwachstellen schneller zu finden, Angriffe zu automatisieren und Exploits breiter einzusetzen. Genau vor dieser Entwicklung warnt Anthropic im Zusammenhang mit Glasswing: Angriffe könnten zahlreicher, schneller und technisch anspruchsvoller werden.
Patch-Zyklen aus einer langsameren Zeit
Besonders gefährlich ist die Kollision dieser Geschwindigkeit mit alten Betriebsmodellen. Die Zeit zwischen Offenlegung und Ausnutzung einer Schwachstelle ist seit Jahren geschrumpft. Mehrere Auswertungen verweisen auf einen Rückgang von rund 63 Tagen im Jahr 2018 auf wenige Tage in den Jahren 2023 und 2024; in einzelnen Fällen beginnt Ausnutzung inzwischen bereits vor der offiziellen Offenlegung.
Damit geraten klassische Patch-Routinen unter Druck. Wer im Wochen- oder Monatsrhythmus priorisiert, testet und ausrollt, arbeitet in einem Takt, der nicht mehr zur Angriffsgeschwindigkeit passt. Der neue Maßstab lautet nicht: Wurde die Schwachstelle erkannt? Sondern: Wurde sie überall behoben, technisch verifiziert und dauerhaft überwacht?
Die Datenbasis bröckelt
Hinzu kommt ein strukturelles Problem: Viele Sicherheitswerkzeuge stützen sich auf die National Vulnerability Database. Diese leidet seit Anfang 2024 unter einem erheblichen Rückstau. Das National Institute of Standards and Technology (NIST) erklärte im April 2026, es könne den Rückstand trotz höherer Produktivität nicht abbauen und werde ältere, nicht angereicherte Einträge in eine Kategorie ohne geplante Analyse verschieben.
Für Unternehmen bedeutet das: Wer Priorisierung allein an offiziellen Bewertungen ausrichtet, sieht Risiken zu spät oder gar nicht. Gerade in einer Phase, in der künstliche Intelligenz Entdeckung und Ausnutzung beschleunigt, wird verzögerte Kontextinformation selbst zum Risiko.
Verifizierte Remediation wird Pflicht
Die eigentliche Reifeprüfung liegt deshalb nicht im nächsten Scanner und nicht im nächsten Bericht. Sie liegt in operativer Exzellenz: kontinuierliche Sichtbarkeit über alle Systeme, Risikobewertung aus mehreren Quellen, schnelle Verteilung von Fixes und ein technischer Nachweis, dass die Maßnahme wirklich greift.
Künstliche Intelligenz verändert damit nicht nur die Schwachstellenforschung. Sie verändert die Verteidigungsökonomie. Gewinnen wird nicht, wer die meisten Lücken meldet, sondern wer ihre Behebung in nahezu Echtzeit belegen kann. Alles andere ist Dokumentation eines Rückstands.
Melissa Bischoping, Head of Threat Research & Intelligence bei Tanium
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
