Wenn eine KI OpenSSL-Bugs findet, ist das kein Wunder. Die Frage ist: wie professionell du damit umgehst. [1]

TL;DR

  • KI kann beim Finden helfen, aber sie ersetzt weder Verifikation noch Responsible Disclosure.
  • Für Teams zählt nicht „wow", sondern: Triage, Reproduzierbarkeit, Patch-Fenster.
  • Wenn du es öffentlich machst: Timing + Impact + Gegenmaßnahmen klar kommunizieren. [2]

Der Fall (kurz)

Eine KI findet einen Bug in OpenSSL. Cool. Und jetzt? [3]

  1. Ist er echt? → Reproduzieren.
  2. Ist er relevant? → Impact checken.
  3. Wer muss es wissen? → Maintainer kontaktieren.
  4. Wann sagst du es wem? → Responsible Disclosure.

Das ist kein „KI-Showcase". Das ist Security-Prozess.

Warum KI hier (manchmal) hilft

KI ist gut im Mustererkennen. Sie kann:

  • Code-Stellen finden, die typische Schwachstellen haben.
  • Differences zwischen Versionen markieren.
  • Docs und CVEs gegen Code halten.

Aber: Sie verifiziert nicht. Sie liefert Kandidaten, keine Beweise.

Was du als Team brauchst (Checkliste)

1) Triage: Wer schaut sich das an? (Name, nicht „Security Team") 2) Reproduktion: Minimalbeispiel, das den Bug zeigt. 3) Impact: CVSS? Welche Nutzer sind betroffen? 4) Patch: Fix + Test, der den Bug künftig verhindert. 5) Disclosure: Wer wird wann informiert? (Maintainer, Nutzer, Öffentlichkeit) 6) Timeline: Wann wurde was entdeckt, gefixt, veröffentlicht?

Wenn du diese sechs Punkte nicht beantworten kannst, bist du nicht „diskret". Du bist nicht bereit.

Public vs. Internal: Zwei verschiedene Spiele

Internal: Du fixst es, dokumentierst es, lernst daraus. Public: Du musst erklären, warum es passierte und was sich ändert.

Wenn du den Bug öffentlich machst („Look, unsere KI hat das gefunden!"), kaufst du dir Aufmerksamkeit – und verpflichtest dich zu Transparenz.

Der Fehler, den alle machen

Nicht der Bug ist das Problem. Sondern:

Den Bug zu finden und dann so zu tun, als wäre die Arbeit getan.

Die eigentliche Arbeit beginnt nach dem Fund:

  • Maintainer kontaktieren (nicht: direkt twittern).
  • Zeit zum Fixen geben (nicht: sofort bloggen).
  • Impact klar benennen (nicht: „nur ein kleiner Bug").

Was „professionell" hier konkret heißt

  • Keine Selbstbeweihräucherung auf Kosten der Security.
  • Keine Details, bevor es einen Patch gibt.
  • Keine KI als Entschuldigung („Die KI hat das entschieden").

Stattdessen:

  • Prozess dokumentieren (wie seid ihr vorgegangen?).
  • Lessons Learned teilen (was ändert ihr?).
  • Credits geben (wer hat den Fix geschrieben?).

Fazit

KI findet Bugs. Gut. Aber:

Der Bug ist nicht die Story. Der Umgang damit ist die Story.

Wenn du das nicht sauber machst, schadest du mehr, als du hilfst.

Referenzen

  1. Quelle 1: https://www.openssl.org/policies/secpolicy.html
  2. Quelle 2: https://www.cert.de/verantwoordliche-offenlegung/
  3. Quelle 3: https://www.first.org/cvss/calculator/4.0
  4. Quelle 4: https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html