20.04.2026 13:14

LLM-basierte Schwachstellensuche

Nachdem sich Open Source Maintainer 2025 noch über eine Flut an minderwertigen Sicherheitshinweisen beschwert hatten, die durch LLM-basierte Schwachstellensuche ausgelöst wurde, so hat sich das Bild 2026 gedreht. Nach massiven Investitionen durch sowohl die Marktführer (Google Big Sleep, Anthropic Mythos, OpenAI Codex Security) als auch vielen Startups ist die Branche an einem Punkt angelangt, wo sowohl die automatisierte Schwachstellensuche in Software (zum Teil inklusive Patcherstellung), als auch Penetration-Testing auf hohem technischem Niveau durch Agentic LLMs durchgeführt werden können. Das hat zur Folge, dass

• in den nächsten Monaten ein Schwall an Schwachstellen gefunden wird. Das wird die Kapazitäten für einen sauberen Coordinated Vulnerability Disclosure(CVD) Prozess, insb. bei Open Source Projekten, überlasten;
• trotz aller Bemühungen diese Werkzeuge nicht nur in den Händen von wohlmeinenden Sicherheitsforschern bleiben werden;
• aus Schwachstellenmeldungen schnell Exploit-Code entwickelt und global eingesetzt wird, womit das Zeitfenster für ein rechtzeitiges Patching immer kleiner wird;
• alle Webseiten nicht mehr nur den jetzt schon üblichen Scans ausgesetzt werden, sondern intensiv auf Schwachstellen abgeklopft werden.

Die zu erwartende erhöhte Geschwindigkeit und das erhöhte Angriffsvolumen bringen weitere Herausforderungen für IT-Sicherheitsverantwortliche. Folgende Maßnahmen werden daher empfohlen:

• Alle Prozesse rund um das Patch-Management, wie Asset Management (incl. indirekte Abhängigkeiten), Priorisierung, Testen und Rollout müssen effektiv und schnell funktionieren.
• Minimierung der Angriffsfläche: Was nicht oder nur eingeschränkt (z.B. nur über eine WAF) von außen erreichbar ist, kann auch nicht einfach durch Internet-weite Scans kompromittiert werden.
• Mit einer erfolgreichen Ausnutzung von Schwachstellen, insb. in Edge-Devices, ist zu rechnen. Gute Netzwerksegmentierung, eine rasche Erkennung und funktionierende Recovery-Prozesse sind hier angebracht.

Bei eigener Softwareentwicklung sollten diese neuen Methoden zur Schwachstellensuche Teil des QA-Prozesses werden.