Project Glasswing offenbart die wahre Schwachstelle der Cybersicherheit : Warum es sinnlos ist, mit KI Massen an Fehlern zu finden, wenn niemand da ist, der sie schnell genug behebt.

Project Glasswing ist kein weiterer Fall von überzogener Warnrhetorik aus einem Labor. Der wesentliche Unterschied liegt darin, dass das zugrundeliegende Modell Mythos Preview nicht nur einzelne Schwachstellen identifizierte, sondern komplexe Angriffsketten zusammensetzte. Das System verband vier voneinander unabhängige Fehler zu einer Exploit-Sequenz, um sowohl den Browser-Renderer als auch die Sandbox des Betriebssystems zu umgehen. Zudem gelang eine lokale Rechteausweitung unter Linux über Race Conditions, und für den Netzwerkdateidienst von FreeBSD erzeugte das Modell eine Return-Oriented-Programming-Kette mit 20 Gadgets, verteilt über mehrere Pakete. Während Claude Opus 4.6 bei autonomer Exploit-Entwicklung fast vollständig scheiterte, erreichte Mythos in der JavaScript-Shell von Firefox eine Erfolgsquote von 72,4 Prozent.

Besonders alarmierend ist, dass manche der gefundenen Schwachstellen jahrzehntelang unentdeckt blieben. Eine davon existierte seit 27 Jahren in OpenBSD, einem Betriebssystem, das gemeinhin zu den sichersten weltweit zählt. Damit wird klar: Künstliche Intelligenz hebt die Schwachstellenforschung nicht nur auf ein neues Niveau, sie legt zugleich offen, wie sehr bestehende Prüfprozesse an ihre Grenzen stoßen.

Das eigentliche Problem beginnt nach dem Fund

Die beunruhigendste Zahl im Zusammenhang mit Glasswing ist nicht die Menge der Funde, sondern die geringe Reaktionsfähigkeit des Ökosystems. Weniger als ein Prozent der von Mythos entdeckten Schwachstellen wurden gepatcht. Anders gesagt: Die bislang leistungsfähigste Maschine zur Schwachstellenanalyse konnte kritische Softwarefehler in großem Maßstab finden, doch kaum jemand war in der Lage, die Ergebnisse schnell genug aufzunehmen und zu beheben.

Damit verschiebt sich der Engpass fundamental. Glasswing löst das Problem der Erkennung, nicht aber das Problem der Behebung. Genau dieser Unterschied dürfte Sicherheitsverantwortliche künftig stärker beschäftigen als jede neue Entdeckungsrate.

Verteidiger arbeiten nach Kalender, Angreifer nach Maschinentakt

Die strukturelle Schwäche moderner Verteidigung liegt in ihrem Tempo. Sicherheitsprogramme folgen meist einem festen Ablauf:

• Bedrohungsinformationen sammeln
• eine Kampagne aufbauen
• Angriffe simulieren
• Gegenmaßnahmen umsetzen
• den Zyklus wiederholen

Selbst wenn es gut läuft, dauert dieser Prozess etwa vier Tage. Angreifer, die große Sprachmodelle inzwischen in jeder Phase ihrer Operationen einsetzen, bewegen sich dagegen mit Maschinengeschwindigkeit. Periodische Tests und quartalsweise Prüfungen wirken in diesem Umfeld zunehmend wie Relikte aus einer vergangenen Zeit.

Dass autonome Angriffe keine Zukunftsmusik mehr sind, zeigt ein reales Beispiel aus diesem Jahr: Ein Bedrohungsakteur setzte im Rahmen einer Angriffskette gegen FortiGate-Systeme einen eigens entwickelten MCP-Server mit einem großen Sprachmodell ein. Die KI übernahm dabei:

• die automatisierte Einrichtung von Hintertüren,
• die interne Infrastrukturkartierung,
• die autonome Schwachstellenbewertung sowie
• die priorisierte Ausführung offensiver Werkzeuge bis zum Domänenadministratorzugriff.

Das Ergebnis waren 2.516 kompromittierte Organisationen in 106 Ländern, nahezu parallel und weitgehend ohne menschliches Eingreifen.

Die Schere zwischen Fund und Abwehr wird zum Abgrund

Neu ist nicht, dass Angreifer oft schneller sind als Verteidiger. Neu ist die Größenordnung. Autonome Systeme wie AISLE entdeckten 13 von 14 Schwachstellen in jüngst koordiniert veröffentlichten Versionen von OpenSSL – Fehler, die Jahre menschlicher Prüfung überstanden hatten. XBOW stieg 2025 zum bestplatzierten Hacker auf HackerOne auf und übertraf damit alle menschlichen Teilnehmer. Parallel dazu sank die mediane Zeit zwischen der Offenlegung einer Schwachstelle und dem ersten beobachteten Exploit: Bei 771 Tagen hatten Unternehmen noch mehr als zwei Jahre Zeit, um Sicherheitsupdates einzuspielen. 2023 lag das Zeitfenster für Patches bereits bei nur noch sechs Tagen. 2024 waren es nur noch vier Stunden. Seit 2025 werden Schwachstellen oft schon ausgenutzt, bevor sie überhaupt öffentlich gemacht werden.

Rechnet man nun noch eine Schwachstellenanalyse auf Mythos-Niveau hinzu, entsteht nicht automatisch eine sicherere Welt. Stattdessen rollt ein Tsunami legitimer Funde heran, der weiterhin menschliche Verifikation, organisatorische Prozesse, die Sicherung der Geschäftskontinuität und Patch-Zyklen erfordert, die sich seit einem Jahrzehnt im Kern kaum verändert haben.

Was ein Glasswing-fähiges Sicherheitsprogramm braucht

Die Gretchenfrage lautet also: Kann ein Sicherheitsprogramm morgen Tausende ausnutzbare Schwachstellen verarbeiten, priorisieren und in konkrete Maßnahmen überführen? Da die ehrliche Antwort in den allermeisten Fällen „nein” lauten wird, muss die nächste logische Frage sein: Was ist für ein Sicherheitsprogramm erforderlich, damit es in Zeiten von Mythos bestehen kann?

Drei Grundpfeiler scheinen dafür essenziell:

• Signalgetriebene Validierung statt Terminlogik: Neue Bedrohungen, Konfigurationsänderungen oder Abweichungen in der Infrastruktur müssen genau in dem Moment überprüft werden, in dem sie auftreten – nicht erst beim nächsten Penetrationstest.
• Umgebungsspezifischer Kontext statt generischer CVSS-Schweregrade: Ein hoher Standardwert sagt aus, wie gefährlich ein Fehler theoretisch sein könnte, nicht ob er in der tatsächlichen Infrastruktur ausnutzbar ist. In einer Welt mit Tausenden neuen Funden bricht kontextfreie Priorisierung zwangsläufig zusammen.
• Geschlossene Behebungsschleife ohne manuelle Übergaben: Der bekannte Ablauf – Scanner findet ein Problem, Analyst bewertet es, ein anderes Team erhält ein Ticket, Wochen später wird gepatcht, niemand validiert erneut – ist zu langsam. Genau an dieser Kette zerfällt das System.

Nicht jede Schwachstelle lässt sich beheben. Nicht jede Härtungsmaßnahme lässt sich umsetzen. Das ist keine Kapitulation, sondern der pragmatische Startpunkt eines belastbaren Sicherheitsprogramms. Entscheidend ist nicht, ob eine CVSS-Kennung formal kritisch ist, sondern ob die Schwachstelle im konkreten Umfeld hier und jetzt ausnutzbar ist.

Warum Validierung zum entscheidenden Hebel wird

Wenn das Finden von Schwachstellen radikal einfacher wird und das Patchen schmerzhaft langsam bleibt, entscheidet die Validierung darüber, welche Funde im eigenen Umfeld tatsächlich relevant sind.

Ein aktueller Ansatz zur Lösung dieses Problems: Mehrere spezialisierte Agenten übernehmen die Prüfung von Bedrohungsinformationen, die Abbildung auf die eigene Umgebung, die sichere Simulation auf Endpunkten und in der Cloud sowie die Anbindung an Behebungsprozesse mit erneuter Validierung. Die technische Idee dahinter ist schlüssig: Verteidiger besitzen einen asymmetrischen Vorteil, weil sie ihre eigene Topologie kennen. Dieser Vorteil nützt aber nur dann, wenn er ebenfalls mit Maschinengeschwindigkeit operationalisiert wird.

Glasswing wird am Ende an einer einzigen Kennzahl gemessen werden: Wie viele Schwachstellen werden behoben, bevor sie ausgenutzt werden? Sichtbarkeit allein reicht nicht mehr aus. Wenn KI Fehler vielfach schneller findet, als Organisationen sie bearbeiten können, wird Validierung zur letzten belastbaren Instanz zwischen einer Unmenge legitimer Funde und einer Flut realer Sicherheitsvorfälle.

THN/Sıla Özeren Hacıoğlu, Security Research Engineer bei Picus Security/Stefan Mutschler

Weitere Artikel zum Thema: 

Firewalls: Die Illusion der Kontrolle

Ganzheitliches Schwachstellen-Management