Warum KI die Zahl der Sicherheitslücken so schnell steigen lässt

Serverraum mit abstrakten Sicherheits- und Codeanzeigen
Photo by Markus Spiske on Unsplash

Die Zahl der öffentlich gemeldeten schweren Sicherheitslücken ist im Juni 2026 ungewöhnlich stark gestiegen. Neue Auswertungen von Epoch AI, FIRST und Sicherheitsfirmen deuten darauf hin, dass KI-gestützte Schwachstellensuche aus dem Experimentierstadium herausgewachsen ist. Für Unternehmen ist das nicht automatisch eine schlechtere Sicherheitslage. Es bedeutet aber: Wer Software betreibt, muss Patches, Priorisierung und Schwachstellenmanagement nüchterner organisieren als bisher.

Das Wichtigste in Kürze

  • Epoch AI zählt für Juni 2026 bei 21 großen Organisationen rund 1.500 hoch oder kritisch bewertete CVEs, mehr als das Dreieinhalbfache des früheren Monatsrekords.
  • FIRST hat seine Prognose für 2026 auf etwa 66.000 CVEs angehoben und spricht von einem strukturellen Wandel durch KI-gestützte Suche.
  • Anthropic, Microsoft, Mozilla und andere zeigen, dass KI nicht nur Kandidaten meldet, sondern in gut gebauten Prüfketten auch reale Fehler findet.
  • Der Engpass verschiebt sich von der Entdeckung zur Bewertung: Teams müssen Berichte validieren, doppelte Funde aussortieren und riskante Lücken zuerst schließen.

Mehr Funde heißen nicht automatisch mehr Angriffe

Der wichtigste Punkt wird leicht übersehen: Eine CVE ist zunächst eine öffentliche Schwachstellenmeldung, kein Beweis für einen erfolgreichen Angriff. Wenn bessere Werkzeuge mehr alte Fehler sichtbar machen, steigt die Statistik, obwohl die Fehler vorher schon im Code lagen. Genau das macht die Lage doppeldeutig. Einerseits erfahren Angreifer und Verteidiger schneller, wo Software bricht. Andererseits können Hersteller Lücken schließen, bevor sie als Zero-Day im Umlauf sind.

Epoch AI beschreibt den Sprung besonders klar. Die Organisation betrachtet CVEs von 21 großen Herstellern und Projekten, darunter Microsoft, Google, Apple, Adobe, Cisco, Red Hat, Intel, AMD, Nvidia, Apache, Mozilla und OpenSSL. In diesem Ausschnitt wurden im Juni 2026 etwa 1.500 hoch oder kritisch eingestufte Schwachstellen gemeldet. Vor der neuen Welle lag der Monatsrekord deutlich niedriger. Epoch verknüpft den Anstieg zeitlich mit Anthropic-Projekt Glasswing und ähnlichen Initiativen, bleibt aber vorsichtig: Nicht jeder zusätzliche Eintrag lässt sich sauber einer einzelnen KI oder einem einzelnen Programm zuschreiben.

Diese Vorsicht ist wichtig. Auch ohne KI wächst die CVE-Zahl seit Jahren, weil mehr Software gepflegt wird, mehr Open-Source-Projekte formale Meldungen bekommen und Hersteller ihre Prozesse professionalisieren. FIRST spricht deshalb nicht von einer Apokalypse, sondern von einer strukturellen Verschiebung. Die Organisation erwartet für 2026 nun rund 66.000 CVEs und rät zu ruhigem Kapazitätsaufbau statt Panik. Für Betreiber heißt das: Die Patch-Liste wird länger, aber nicht jede neue Nummer verdient denselben Alarm.

Warum die neue Welle anders ist

Der Unterschied zu früheren Automatisierungswellen liegt in der Art der Suche. Klassische Fuzzer werfen massenhaft Eingaben auf Programme und beobachten Abstürze. KI-Systeme können zusätzlich Code lesen, Hypothesen bilden, Dateien übergreifend vergleichen und Reproduktionsschritte entwerfen. Microsoft beschreibt diesen Wandel treffend: Das Modell allein ist nicht der Kern. Entscheidend ist der Prüfaufbau aus Suchstrategie, Harness, Deduplizierung, Gegenprüfung und Beweisführung.

Genau deshalb sollte man die Entwicklung weder überschätzen noch abtun. Ein Chatbot, der ohne Kontext nach Bugs gefragt wird, produziert schnell Rauschen. Ein spezialisiertes System, das mit Tests, Quellcode, Symbolen und menschlicher Review verbunden ist, kann dagegen echte Schwachstellen in einer Geschwindigkeit finden, die bisher nur sehr großen Sicherheitsteams vorbehalten war. Mozilla berichtete bereits im Frühjahr, dass Firefox mit Hilfe von Frontier-Modellen Hunderte latente Schwachstellen gefunden und geschlossen habe. Das passt zu einem älteren kabel-salat-Bericht über KI-gefundene Firefox-Lücken, geht nun aber über den Einzelfall Browser hinaus.

Anthropic nennt für Project Glasswing inzwischen mehr als 10.000 hoch oder kritisch bewertete Funde bei Partnern. In über 1.000 Open-Source-Projekten meldet das Unternehmen 6.202 zunächst hoch oder kritisch eingeschätzte Treffer unter insgesamt 23.019 Hinweisen. Nach unabhängiger Prüfung eines Teils der Funde bestätigten sich laut Anthropic viele, aber nicht alle. Genau diese Zahlen zeigen die neue Realität: KI findet viel. Menschen und robuste Prozesse entscheiden, was davon sicherheitsrelevant, doppelt, bereits behoben oder falsch positiv ist.

Der neue Engpass heißt Triage

Für Sicherheitsverantwortliche verlagert sich damit das Problem. Wer bisher vor allem wissen wollte, ob irgendwo noch unentdeckte Lücken schlummern, bekommt nun möglicherweise mehr Antworten, als das Team abarbeiten kann. Anthropic berichtet selbst, dass einige Maintainer um ein langsameres Offenlegungstempo baten. Ein schwerer Fehler ist nicht mit seiner Entdeckung erledigt. Er muss reproduziert, eingeordnet, koordiniert, gepatcht, getestet, ausgeliefert und bei Kunden installiert werden.

Das macht Priorisierung zur wichtigsten Fähigkeit. Eine kritisch bewertete Lücke in einem internen System ohne erreichbaren Angriffsweg ist anders zu behandeln als ein aktiv ausgenutzter Fehler in einem internetnahen Dienst. Moderne Exposure-Management-Teams müssen CVSS-Werte, Exploit-Prognosen, Asset-Kritikalität, vorhandene Kompensationsmaßnahmen und echte Nutzung im eigenen Netz zusammenbringen. Wer nur nach Schweregrad sortiert, wird in der neuen CVE-Welle untergehen.

VulnCheck sieht in den öffentlichen Daten bereits klare Ausschläge bei Herstellern und Projekten wie Chrome, Mozilla, VMware, Apache und GitHub. Gleichzeitig warnt die Analyse vor einer simplen Erzählung. Einige Meldungen stammen aus besseren internen Prozessen, andere aus KI-gestützter Forschung, wieder andere aus einer breiteren Offenlegungskultur. Diese Mischung ist unbequem, aber gesund: Sie zwingt Unternehmen, ihre Sicherheitsarbeit als laufenden Betrieb zu behandeln, nicht als gelegentlichen Patch-Dienstag.

Was Unternehmen jetzt ändern sollten

Praktisch bedeutet der CVE-Sprung zuerst mehr Disziplin. Unternehmen sollten ihre Software-Inventare aktualisieren, erreichbare Systeme sauber markieren und Patch-Fenster für kritische Komponenten verbindlicher planen. Wer noch keine zentrale Sicht auf eingesetzte Bibliotheken, Container, Endpunkte und SaaS-Abhängigkeiten hat, wird in einer längeren Schwachstellenliste blind sortieren.

Zweitens lohnt sich KI auch auf der Verteidigerseite, aber nur mit Kontrolle. Interne Codebasen, Eigenentwicklungen und kritische Open-Source-Abhängigkeiten können mit KI-gestützten Werkzeugen geprüft werden. Die Ergebnisse gehören jedoch in denselben Prozess wie klassische Sicherheitsfunde: Reproduktion, menschliche Review, Risikobewertung, Regressionstest. Microsofts Hinweis auf den Harness ist hier entscheidend. Nicht das spektakulärste Modell gewinnt, sondern der sauberste Weg vom Verdacht zum belastbaren Fix.

Drittens müssen Betreiber damit rechnen, dass Angreifer ähnliche Fähigkeiten nutzen. Mehr öffentliche CVEs bedeuten mehr Hinweise auf Patch-Lücken. Die Verteidigung gewinnt nur dann, wenn die Zeit zwischen Veröffentlichung und Installation kürzer wird. Für kleine Teams kann das heißen, weniger Systeme selbst zu betreiben, stärker auf automatische Updates zu setzen und externe Angriffspfade konsequent zu reduzieren.

Fazit: Die Bug-Suche wird billiger, die Verantwortung nicht

Die neue CVE-Welle ist kein Grund zur Entwarnung, aber auch kein Grund für Alarmismus. KI macht sichtbar, wie viel technischer Schuld in verbreiteter Software steckt. Das ist unangenehm, doch für Verteidiger langfristig besser als unentdeckte Fehler in produktiven Systemen. Der Maßstab verschiebt sich: Nicht wer die meisten Schwachstellen findet, leistet die beste Sicherheitsarbeit, sondern wer reale Risiken am schnellsten in robuste Patches übersetzt.

Für Leserinnen und Leser ohne eigenes Sicherheitsteam bleibt die Lehre einfach. Systeme aktuell halten, automatische Updates aktivieren, nicht benötigte Dienste abschalten und Anbieter bevorzugen, die transparent mit Schwachstellen umgehen. Die Zahl der CVEs wird 2026 wahrscheinlich hoch bleiben. Entscheidend ist, ob daraus nur mehr Lärm entsteht oder ein reiferer Umgang mit Software-Sicherheit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen