Anthropic präsentiert »Best Practices« für die Überprüfung von Code.
Modelle wie Claude Opus oder Mythos decken Fehler rasant auf. Die wahre Herausforderung bleibt jedoch die schnelle Behebung.
Die KI-gestützte Suche nach Sicherheitslücken im Quellcode ist extrem schnell geworden. Der Engpass liegt nun bei der Überprüfung, Priorisierung und Behebung der Fehler. Anthropic zeigt in sechs Schritten, was sich bewährt hat.
Schritt 1: Bedrohungsmodell präzise definieren
Bevor eine KI den Quellcode effektiv prüfen kann, muss das Entwicklungsteam zwingend festlegen, was überhaupt eine Schwachstelle darstellt. Ohne ein exaktes Bedrohungsmodell schlägt das System bei harmlosen Vorgängen Alarm oder übersieht echte Lücken.
Entwickler können fortschrittliche Modelle wie Claude Opus direkt mit vorhandenen Architekturdokumenten, Handbüchern und alten Fehlerberichten füttern. Die KI erstellt daraus völlig selbstständig einen detaillierten, strukturierten Rahmen. Dieser dokumentiert klar die tatsächlichen Vertrauensgrenzen und die relevanten Angriffsvektoren des spezifischen Projekts, wodurch den Entwicklern enorm viel Zeit bei der manuellen Konzeption gespart wird.
Quelle: Anthropic
Schritt 2: Isolierte Testumgebung aufbauen
Damit KI-Agenten autonome Tests gefahrlos durchführen können, benötigen sie eine streng abgeschottete Sandbox. Eine strikt isolierte Umgebung, wie beispielsweise eine MicroVM mit gesperrtem Netzwerkzugriff, verhindert zuverlässig, dass die Modelle versehentlich auf produktive Firmendaten zugreifen.
Innerhalb dieser sicheren Testumgebung versucht die KI dann für jede entdeckte Lücke einen voll funktionsfähigen Exploit zu kompilieren.
Anzeige
Schritt 3: Suche nach Fehlern im Code
Bei der reinen Suche nach Schwachstellen arbeiten KI-Modelle am effizientesten mit kurzen, offenen Prompts. Zu detaillierte Checklisten schränken die Analysefähigkeiten ein und führen messbar zu weniger neuen Funden.
Der KI-Agent greift stattdessen auf etablierte Scanner zurück, um den Code eigenständig zu durchforsten. Dabei unterteilt er das Projekt in kleine Abschnitte und sucht gezielt nach Lücken.
Schritt 4: Unabhängige Verifizierung der Funde
Nach der erfolgreichen Suche folgt zwingend eine Kontrolle durch einen zweiten KI-Agenten. Dieser Prüfer muss strikt vom ersten Modell getrennt sein und startet in einer komplett frischen Umgebung ohne Zugriff auf den bisherigen Chatverlauf.
Der Verifizierungs-Agent arbeitet extrem kritisch und geht standardmäßig davon aus, dass jeder Fund ein Fehlalarm ist. Er sucht gezielt nach vorhandenen Sicherheitsmechanismen, die das erste Modell schlichtweg übersehen hat. Dadurch reduzieren sich Fehlalarme enorm.
Schritt 5: Triage und Bewertung der Risiken
Da KI-Modelle in kürzester Zeit hunderte mögliche Fehler aufdecken, ist eine strikte Priorisierung unumgänglich. Die KI fasst identische Ursachen zusammen und filtert Duplikate systematisch heraus.
Anschließend bewertet das Modell die Schwere der verbliebenen Lücken anhand festgelegter Parameter. Dazu gehören die Erreichbarkeit von außen, die nötigen Nutzerrechte und die Vorbedingungen für einen Angriff.
Anzeige
Schritt 6: Code-Korrektur und Patching
Im finalen Schritt dieses Kreislaufs generiert die KI einen sauberen Patch für den fehlerhaften Quellcode. Um sicherzustellen, dass die Änderung das Problem wirklich löst und keine neuen Fehler einbaut, schreibt das Modell vorab einen strengen Test.
Die finale Entscheidung und die genaue Kontrolle der Code-Änderung bleibt weiterhin beim menschlichen Entwickler. Durch diese umfassende Vorarbeit reduziert sich der Zeitaufwand für die gesamte IT-Sicherheit jedoch drastisch.
Weitere Informationen zum Guide gibt es direkt bei Anthropic.
