Vulnpocalypse: KI findet Bugs schneller
Palo Alto fand mit KI-Modellen 75 Schwachstellen statt der üblichen 5 pro Monat. Microsoft und Mozilla erleben dasselbe. Die Patch-Flut beginnt.
Vor zwei Tagen haben wir über den ersten KI-generierten Zero-Day-Exploit berichtet: Angreifer, die mit KI eine Schwachstelle fanden. Jetzt kommt die Gegenseite. Und die hat ein unerwartetes Problem im Gepäck.
Die Zahlen
Palo Alto Networks hat am 13. Mai seine monatlichen Security Advisories veröffentlicht. Normalerweise enthält ein solcher Patch-Zyklus weniger als fünf CVEs. Diesmal waren es 26 CVEs, die 75 Schwachstellen abdecken. Der Grund: Das Unternehmen hat seit dem 7. April seinen gesamten Codebase mit Frontier-KI-Modellen gescannt, darunter Anthropic Mythos, Claude Opus 4.7 und OpenAIs GPT-5.5-Cyber. Über 130 Produkte und Plattformen.
Einen Tag vorher hatte Microsoft seinen Patch Tuesday veröffentlicht. 30 kritische CVEs, davon 17 durch ein neues KI-System namens MDASH gefunden. MDASH orchestriert über 100 spezialisierte KI-Agenten über mehrere Modelle hinweg. Laut Microsoft hat das System 96 Prozent aller bestätigten Bugs der letzten fünf Jahre in einer kritischen Windows-Komponente wiedergefunden.
Und letzte Woche Mozilla: 423 Firefox-Bugs im April gefixt. Im März waren es 76. Im Monatsdurchschnitt letztes Jahr: 21,5. Allein Mythos hatte 271 Schwachstellen in Firefox 150 gefunden.
Die FIRST Vulnerability Forecast prognostiziert für 2026 einen Median von 60.000 CVEs. 2025 waren es knapp 50.000. 2024 rund 40.000.
Was gerade passiert
Palo Alto, Microsoft und Mozilla sind Teil von Anthropics Project Glasswing, einer kontrollierten Partnerschaft, die ausgewählten Unternehmen Zugang zu Mythos gibt, bevor das Modell breiter verfügbar wird. Die Idee: Verteidiger sollen einen Vorsprung bekommen.
Die Ergebnisse zeigen, dass das funktioniert. Die Modelle finden echte Schwachstellen, die menschliche Researcher übersehen haben. Kein einzelnes Modell reicht dabei aus. Palo Alto hat festgestellt, dass verschiedene Modelle verschiedene Bugs finden. Microsoft setzt deshalb auf einen Multi-Agenten-Ansatz. Die Konsequenz für alle, die eigene Software betreiben: Wer nur ein Modell einsetzt, sieht nur einen Teil der Schwachstellen.
Man muss hier allerdings beachten, dass die Fehler ja im Code sind, ob sie von Security-Experten gefunden werden oder nicht. Also besteht da immer die Gefahr, dass "die Bösen" diese Fehler auch jetzt schon kennen und ausnutzen. Daher ist es absolut positiv, dass die gefunden werden und das Security-Thema mehr Fahrt aufnimmt.
Das eigentliche Problem: die Patch-Flut
Mehr gefundene Bugs heißt mehr Patches. Und mehr Patches heißt mehr Arbeit.
Katie Moussouris, die 2013 Microsofts Bug-Bounty-Programm mitaufgebaut hat und heute die Security-Beratung Luta leitet, sagt dazu: Bugs finden war schon immer der billige Teil. Triage, Disclosure, Patches bauen, die nichts kaputt machen, und Kunden dazu bringen, sie einzuspielen: Das ist der teure Teil. Und niemand hat ihn für dieses Volumen finanziert.
Dustin Childs von der Zero Day Initiative sieht das ähnlich. Langfristig sinke die Zahl der Schwachstellen, weil der Code sauberer werde. Kurzfristig steige die Belastung für Admins massiv. Und wenn KI-gefundene Patches Dinge kaputt machen, werde das Vertrauen in Patches insgesamt sinken.
Tom Gallagher, VP of Engineering beim Microsoft Security Response Center, hat bereits angekündigt, dass KI-gestützte Bug-Suche die Patch-Tuesday-Releases dauerhaft vergrößern werde.
Das Zeitfenster
Lee Klarich, CTO von Palo Alto Networks, schätzt das Fenster auf drei bis fünf Monate. Danach seien die KI-Fähigkeiten breit genug verfügbar, dass auch Angreifer systematisch damit arbeiten. Sein Vier-Punkte-Plan:
Erstens, den eigenen Code mit KI scannen, inklusive Open-Source-Abhängigkeiten. Wer es nicht tut, lässt jemand anderen seine Bugs finden. Zweitens, die Angriffsoberfläche verkleinern: nur das ins Internet stellen, was dort sein muss. Drittens, ML-basierte Erkennung einsetzen, die auch auf neue Angriffsmuster reagiert. Und viertens, Security Operations automatisieren. Wenn Angriffe in Minuten ablaufen, reichen manuelle Prozesse nicht.
Was das für euer Team heißt
Für Unternehmen, die keine eigene Security-Forschung betreiben (also die meisten), heißt das vor allem eines: Die Zahl der einzuspielenden Patches wird in den nächsten Monaten deutlich steigen. Nicht weil die Software schlechter wird, sondern weil Schwachstellen sichtbar werden, die vorher niemand gefunden hat.
Wer sein Patch-Management noch manuell betreibt, wird das Volumen nicht bewältigen. Automatisierte Patch-Pipelines, priorisiert nach Angriffsoberfläche und Exploit-Wahrscheinlichkeit, werden zur Pflicht.
Wer eigene Software entwickelt oder Open-Source-Projekte pflegt: KI-gestützte Code-Analyse ist kein Nice-to-have mehr. Tools wie Semgrep, CodeQL oder die KI-Features in GitHub Advanced Security finden heute Schwachstellen, die ein menschliches Review übersieht. Irgendwann scannt ein Angreifer euren Code mit denselben Modellen.
Und ein Punkt, der leicht untergeht: Moussouris hat recht, dass das Finden der billige Teil ist. Die Teams, die Patches einspielen, sind schon heute am Limit. Mehr CVEs bei gleicher Teamgröße heißt: entweder automatisieren oder akzeptieren, dass Lücken länger offen bleiben.
Update (Juni): Glasswing wächst auf rund 150 Organisationen
Am 2. Juni hat Anthropic Project Glasswing deutlich ausgeweitet. Statt der ursprünglichen Handvoll Partner bekommen jetzt rund 150 weitere Organisationen aus mehr als 15 Ländern Zugang zu Mythos, gezielt auch Betreiber kritischer Infrastruktur in Energie, Wasser, Gesundheit, Kommunikation und Hardware. Die ersten rund 50 Partner haben laut Anthropic seit April über 10.000 Schwachstellen hoher oder kritischer Schwere gefunden.
Anthropic sagt inzwischen selbst, was Katie Moussouris hier schon im Mai festgehalten hat: Das Finden ist nicht mehr der Engpass, sondern das Verifizieren, Melden und Patchen. Dazu kommt die Einschätzung, dass billige, schnelle Modelle mit ähnlichen Cyber-Fähigkeiten in sechs bis zwölf Monaten auch bei anderen Anbietern verfügbar sein dürften. Das deckt sich mit dem Zeitfenster von drei bis fünf Monaten, das Palo Altos CTO im Mai genannt hat: Der Vorsprung der Verteidiger ist begrenzt. Begleitend hat Anthropic ein eigenes Werkzeug namens Claude Security (auf Basis von Claude Opus 4.8) öffentlich verfügbar gemacht.
Für Teams ändert das nichts an der Marschrichtung, sondern verschärft sie nur: Wer eigene Software ausliefert, sollte jetzt anfangen, Code und Abhängigkeiten selbst KI-gestützt zu scannen und das Patch-Management zu automatisieren, bevor es jemand anderes mit denselben Modellen tut.
- 04.06.2026: Update-Abschnitt zur Ausweitung von Project Glasswing auf rund 150 Organisationen (Anthropic, 02.06.2026) ergänzt.
Quellen8
- Palo Alto Networks Blog - Defender's Guide: Frontier AI Impact on Cybersecurity, May 2026 Updatepaloaltonetworks.com
- CNBC - AI-driven cyberattacks will start to be the new norm in months, Palo Alto warns (13.05.2026)cnbc.com
- The Register - Welcome to the vulnpocalypse (14.05.2026)theregister.com
- Axios - Palo Alto Networks says Mythos, GPT-5.5 found 85 bugs in weeks (13.05.2026)axios.com
- Microsoft Security Blog - Defense at AI Speed: Multi-Model Agentic Security System (12.05.2026)microsoft.com
- Microsoft MSRC Blog - A Note on Patch Tuesday (13.05.2026)microsoft.com
- Help Net Security - May 2026 Patch Tuesday forecast (08.05.2026)helpnetsecurity.com
- Anthropic - Expanding Project Glasswing (02.06.2026)anthropic.com