429 Lücken auf einen Schlag: Warum die KI-Jagd auf Bugs unsere Software überfordert

Von diesen wurden 22 als kritisch und über 100 als kritisch oder hochriskant eingestuft . Die gefährlichste Lücke war CVE-2026-10881, ein Lese- und Schreibfehler außerhalb des zulässigen Speicherbereichs (Out-of-Bounds) in der ANGLE-Grafikebene, die mit einem CVSS-Score von 9,6 bewertet wurde und eine Aushebelung der Sandbox-Umgebung über eine präparierte HTML-Seite ermöglichen könnte . Viele der kritischen Bugs waren sogenannte Use-After-Free-Schwachstellen, ein immer wiederkehrendes Problem der Speichersicherheit in Browsern .

Google-Ingenieure entdeckten schätzungsweise 371 der Lücken intern; der Rest wurde von unabhängigen Forschern gemeldet. Das Unternehmen zahlte 209.000 US-Dollar an Bug-Bounties aus . Das Fachmagazin SecurityWeek merkte an, die Zunahme an Chrome-Schwachstellen sei wahrscheinlich auf den verstärkten Einsatz von KI bei der Suche zurückzuführen – eine Entwicklung, die Google im April 2026 dazu veranlasste, die Prämien für gefundene Chrome-Bugs zu senken .

Zum Zeitpunkt der Offenlegung gab es keine Hinweise darauf, dass eine der Schwachstellen aktiv ausgenutzt wurde, so Google . Das schiere Ausmaß des Patches wirft jedoch eine grundlegende betriebliche Frage auf: Können selbst die technisch am besten aufgestellten Teams mithalten, wenn KI-gestützte Entdeckungen ihre Bug-Tracker überfluten?

21 Zero-Days in FFmpeg für 1.000 Dollar

Kaum war Chrome 149 auf dem Markt, veröffentlichte das Sicherheits-Startup depthfirst die Ergebnisse eines Einsatzes seines produktiven KI-Agenten gegen FFmpeg, die Open-Source-Multimedia-Bibliothek, die in unzähligen Anwendungen und Geräten die Videoverarbeitung übernimmt .

Der Agent durchsuchte rund 1,5 Millionen Zeilen C-Code und fand 21 bisher unbekannte Zero-Day-Schwachstellen – Lücken, die nie zuvor öffentlich gemacht wurden und in mehreren Fällen 15 bis 20 Jahre lang unentdeckt geblieben waren . Die Mehrzahl waren Heap- und Stack-Overflow-Probleme in verschiedenen Komponenten, vom TS-Demuxer bis zum VP9-Decoder .

Entscheidend ist: Das depthfirst-System meldete nicht nur verdächtigen Code. Es erstellte für jeden Bug konkrete, reproduzierbare Proof-of-Concept-Eingaben und bestätigte so seine Ergebnisse . Die gesamten Rechenkosten des Durchlaufs: rund 1.000 US-Dollar .

Zum Vergleich: Das KI-Modell Mythos von Anthropic hatte zuvor einen 16 Jahre alten H.264-Fehler in FFmpeg für etwa 10.000 US-Dollar aufgespürt . depthfirst wertete sein Ergebnis als vergleichbare Leistung zu einem Zehntel der Kosten . Die Konsequenz ist eindeutig: Die hochkomplexe Entdeckung von Zero-Days, einst das Metier von gut finanzierten Forschungslaboren und Nationalstaaten, nähert sich dem Preisniveau an, das sich jeder mit einer Cloud-Computing-Rechnung leisten kann.

Der übergeordnete Trend: Entdeckung überholt Schadensbehebung

Die Fälle Chrome und FFmpeg stehen nicht allein. Sie sind Teil eines größeren Musters, das sich in den Jahren 2025 und 2026 beschleunigt hat.

Die Anzahl der Entdeckungen explodiert

Der Big Sleep-Agent von Googles Project Zero fand im November 2024 den ersten bekannten, von einer KI entdeckten Produktiv-Zero-Day – einen Stack-Pufferunterlauf in SQLite . Seitdem erhöht sich die Schlagzahl. Die KI-gestützte statische Analyse von ZeroPath fand Ende 2025 sieben FFmpeg-Lücken . Das Mythos-Modell von Anthropic deckte später Schwachstellen in OpenBSD, FreeBSD, Linux, Firefox und kryptografischen Bibliotheken auf, von denen viele 16 bis 27 Jahre im Code geschlummert hatten . Bis April 2026 war Mythos 181 Mal erfolgreich beim Schreiben von Exploits gegen Firefox – eine Verbesserung um das 90-fache gegenüber der vorherigen Modellgeneration .

Der Chrome-149-Patch selbst ist ein direkter Ausdruck dieser neuen Geschwindigkeit. Die im Juni 2026 angekündigten 429 Korrekturen hatten die Gesamtzahl der im gesamten Jahr 2025 veröffentlichten Chrome-Sicherheitspatches bereits übertroffen, wie SecurityWeek berichtete .

Die Schadensbehebung wird zum Flaschenhals

Fehler zu finden ist schnell. Sie zu beheben, ist immer noch ein menschlicher Prozess. Chrome 149 beweist, dass selbst Google mit seinen enormen Entwickler-Ressourcen und seinem ausgereiften Schwachstellen-Management vor einem riesigen Arbeitsrückstand stehen kann . Für kleinere Open-Source-Maintainer ist die Situation prekärer. Das winzige Kern-Team von FFmpeg muss nun von mehreren KI-Tools – nicht nur von depthfirst, sondern auch von Googles Big Sleep, Anthropics Mythos und anderen – massenhaft gelieferte Schwachstellen sichten, validieren und Patches entwickeln . Das FFmpeg-Projekt hat sich bereits gegen das gewehrt, was es als KI-generierte Bug-Reports von geringer Qualität ansieht, und bezeichnete einige Einreichungen von Google AI als "CVE-Schund", als die Befunde obskuren Code für 30 Jahre alte Videospiele betrafen .

Die Ökonomie begünstigt Angreifer

Ein gut ausgestatteter Verteidiger kann jetzt mehrere KI-Modelle gegen seine eigene Codebasis laufen lassen, bevor er Software ausliefert, und viele tun dies. Aber die gleiche Ökonomie gilt für jedermann. Eine Studie der University of Illinois (UIUC) bezifferte die durchschnittlichen Kosten einer KI-gestützten Exploit-Entwicklung auf 8,80 US-Dollar pro Schwachstelle mit GPT-4, verglichen mit geschätzten 25 US-Dollar für einen erfahrenen menschlichen Forscher . Der 1.000-Dollar-FFmpeg-Durchlauf von depthfirst senkte die Kosten pro Zero-Day auf rund 48 US-Dollar – und weitere Hardware- und Modellverbesserungen werden diesen Betrag wahrscheinlich noch weiter drücken .

Verteidiger sehen sich weiterhin mit manuellen, zeitraubenden Patches und Bereitstellungen konfrontiert. Die Asymmetrie wächst.

Was Unternehmen jetzt tun sollten

Die rasche Zunahme und Kostensenkung der KI-gestützten Schwachstellensuche erfordert eine praktische Reaktion, keine Panik. Sicherheitsteams sollten davon ausgehen, dass Bedrohungsakteure – staatliche wie nichtstaatliche – diese Modelle bereits gegen die von ihren Unternehmen genutzte Software einsetzen.

Praktische Schritte umfassen das vorrangige Ausführen von KI-Sicherheitsagenten gegen die eigene Codebasis, denn die beste Verteidigung ist, schwerwiegende Bugs zu finden und zu beheben, bevor es die Angreifer tun. Die Verkürzung der Patch-Latenz ist ebenso entscheidend – die Zeitspanne zwischen öffentlicher Bekanntgabe und Patch-Installation ist im KI-Zeitalter das gefährlichste Zeitfenster. Daher sollten Sie das Scannen Ihrer Software-Lieferkette und das Anwenden von Updates am Tag der Veröffentlichung priorisieren. Es ist auch unerlässlich, die Offenlegung von Schwachstellen als Überlastungsproblem zu behandeln: Den meisten Teams fehlt die Kapazität, eine plötzliche Flut von KI-generierten Berichten zu sichten. Der Aufbau oder die Einführung automatisierter Validierungspipelines, die Signal vom Rauschen trennen können, wird bald eine Voraussetzung für die Wartung sicherer Software sein.

Eine Zeitenwende

Der Mega-Patch Chrome 149 und die FFmpeg-Kampagne von depthfirst sind keine Ausnahmen. Sie sind Wegweiser. KI-Modelle finden jetzt Fehler, die jahrzehntelange menschliche Überprüfungen und Millionen automatisierter Fuzz-Tests überlebt haben – und das kostengünstig und in großem Maßstab. Wie ein Forschungsbericht der Cloud Security Alliance feststellte, können selbst KI-Modelle unterhalb des Spitzenniveaus jetzt Zero-Days finden .

Der Engpass ist nicht mehr die Entdeckung. Es ist alles, was danach kommt. Bis die Schadensbehebungs-Seite der Gleichung aufholt – durch bessere Automatisierung, schnellere Bereitstellungspipelines oder neue Architekturansätze für Software-Sicherheit – ist jeder rekordbrechende Patch und jeder extrem günstige Entdeckungslauf eine Warnung, die die Branche nicht ignorieren darf.