Die Suche nach Softwarelücken war lange eine Arbeit mit viel Geduld. Man las Code, testete Grenzfälle, ließ Werkzeuge laufen, schrieb Berichte, wartete auf Reaktionen. Es gab Automatismen, aber der entscheidende Teil blieb oft langsam: herausfinden, welche Unsauberkeit nur ein Fehler ist und welche sich ausnutzen lässt.
Nun verschiebt sich diese Arbeit. Nicht abrupt, nicht als sauberer Bruch. Eher wie ein Geräusch, das im Hintergrund lauter wird. Angreifer setzen KI ein, um Exploit-Entwicklung zu beschleunigen. Auf der anderen Seite entstehen KI-gestützte Sicherheitsagenten, die Software nach Schwachstellen absuchen sollen. WIRED beschreibt diesen Moment als einen neuen Wettlauf im Bug Hunting. Das Bild passt, solange man es nicht zu dramatisch liest. Es geht nicht um Maschinen, die allein Krieg führen. Es geht um Geschwindigkeit, Reichweite und Priorisierung.
Mehr Code, mehr Angriffsfläche
Ein Teil des Drucks entsteht nicht erst beim Angriff. Er beginnt vorher, in der Produktion von Software. KI-Systeme erzeugen mehr Code, schneller und mit weniger Reibung. Das heißt nicht automatisch, dass dieser Code unsicher ist. Es heißt aber, dass mehr Material entsteht, das geprüft, verstanden und gepflegt werden muss.
Sicherheitsabteilungen kennen dieses Problem in älterer Form: Jede neue Funktion, jede Bibliothek, jede Schnittstelle erhöht die Fläche, auf der Fehler auftreten können. Wenn KI beim Schreiben, Umbauen und Erweitern von Software hilft, wird diese Fläche beweglicher. Der Bestand wächst nicht nur, er verändert sich häufiger. Für Unternehmen ist das zunächst bequem. Für die Sicherheitsprüfung ist es eine Last, die sich schwer planen lässt.
In den verfügbaren Hinweisen taucht auch der steigende Bedarf an Security Engineers auf. Das ist folgerichtig. Wenn mehr Code entsteht und wenn Angreifer ihre Suche nach Schwachstellen automatisieren, genügt es nicht, Sicherheit als nachgelagerte Kontrolle zu behandeln. Sie rückt näher an die Entwicklung, an Datenbestände, an Modellnutzung, an interne Werkzeuge. Der Engpass ist dann nicht nur Technik. Er liegt auch in der Frage, wer Befunde beurteilt.
Die stille Beschleunigung der Angreifer
Die beunruhigende Veränderung liegt weniger darin, dass Angreifer neue Ziele hätten. Softwarefehler gab es vorher. Exploits gab es vorher. Neu ist die Möglichkeit, Teile der Suche, der Variation und der Auswertung schneller ablaufen zu lassen.
KI kann Muster erkennen, Hypothesen formulieren, Codepfade vergleichen, Fehlermeldungen einordnen und Varianten erzeugen. Daraus folgt nicht automatisch ein funktionierender Angriff. Zwischen einem auffälligen Verhalten und einem verwertbaren Exploit liegt weiterhin Arbeit. Aber wenn diese Arbeit in mehr Richtungen gleichzeitig angestoßen werden kann, verändert sich die Ökonomie des Angriffs.
Früher war es teuer, viele mögliche Fehler gründlich zu prüfen. Heute sinkt die Schwelle, zumindest erste Kandidaten massenhaft zu erzeugen. Das kann auch schwächere Akteure stärken. Nicht, weil sie plötzlich alles verstehen, sondern weil Werkzeuge Teile der Vorarbeit übernehmen. Die wertvolle Fähigkeit verschiebt sich: weniger mühsames Suchen von Hand, mehr Auswahl, Bestätigung und Umsetzung.
Für Verteidiger ist das unangenehm, weil ihre Arbeit asymmetrisch bleibt. Ein Angreifer braucht einen belastbaren Weg. Ein Betreiber muss viele Wege schließen, ohne den Betrieb zu beschädigen. KI ändert diese Logik nicht. Sie kann sie nur schneller machen.
Security Agents als Gegenbewegung
Auf der Verteidigerseite entstehen KI-Agenten, die Sicherheitsarbeit unterstützen sollen. In den vorliegenden Hinweisen ist von AI Agents in Security und einer stärkeren Datenbasis die Rede. Das ist ein nüchterner Punkt. Solche Systeme werden nur so gut sein wie der Kontext, den sie erhalten: Code, Abhängigkeiten, Konfigurationen, Laufzeitdaten, frühere Befunde, interne Regeln.
Ein Agent, der ohne diesen Kontext nach Schwachstellen sucht, produziert vor allem Verdacht. Ein Agent mit sauberer Datenbasis kann Befunde besser einordnen. Er kann erkennen, ob ein Fehler in einer kritischen Komponente liegt oder in einem isolierten Randbereich. Er kann Prioritäten vorschlagen. Er kann wiederkehrende Muster finden, die in großen Codebeständen leicht übersehen werden.
Aber auch hier bleibt die operative Realität sperrig. Sicherheitslücken sind nicht nur technische Objekte. Sie haben Besitzer, Fristen, Abhängigkeiten und Risiken. Ein Team muss entscheiden, ob ein Patch sofort ausgerollt wird, ob ein Dienst pausiert, ob ein Workaround genügt. KI kann diese Entscheidungen vorbereiten. Sie nimmt ihnen nicht die Folgen.
Gerade in großen Organisationen wird die wichtigste Frage daher nicht lauten, ob ein System eine Schwachstelle findet. Sondern ob die Organisation schnell genug versteht, was der Fund bedeutet.
Der Wettlauf findet in der Bewertung statt
Das Wort Wettrüsten klingt nach lauten Ankündigungen. In der Praxis dürfte der Konflikt leiser aussehen. Mehr automatische Prüfungen. Mehr Warnungen. Mehr intern erzeugte Tickets. Mehr Hinweise, die nicht sofort eindeutig sind. Mehr Druck auf jene Teams, die entscheiden müssen, was zuerst behoben wird.
Die Knappheit verlagert sich damit auf Aufmerksamkeit. Wenn Angreifer KI nutzen, um mehr mögliche Angriffspfade zu erkunden, und Verteidiger KI nutzen, um mehr mögliche Schwachstellen zu finden, wächst auf beiden Seiten die Menge der Signale. Nicht jedes Signal ist wichtig. Nicht jeder Fund ist ausnutzbar. Nicht jede Lücke ist gleich dringend.
Wer hier bessere Systeme baut, wird nicht nur schneller suchen. Er wird besser filtern. Das klingt unspektakulär, ist aber zentral. Sicherheitsarbeit scheitert selten daran, dass niemand ein Risiko benennen kann. Sie scheitert häufiger daran, dass zu viele Risiken nebeneinander liegen und die Reihenfolge unklar bleibt.
In diesem Punkt treffen sich KI-Ökonomie und Sicherheitsbetrieb. Automatisierung senkt die Kosten der Suche. Sie senkt aber nicht automatisch die Kosten der Verantwortung. Im Gegenteil: Wenn mehr gefunden wird, müssen mehr Entscheidungen getroffen werden. Und jede Entscheidung braucht Kontext.
Kein sauberer Vorsprung
Es wäre bequem, eine Seite als Gewinner zu beschreiben. Angreifer, weil sie schneller werden. Verteidiger, weil sie dieselben Werkzeuge einsetzen können. Beides ist zu einfach.
Der Vorsprung wird je nach Umgebung wechseln. Ein schlecht gepflegter Softwarebestand wird durch KI nicht plötzlich beherrschbar. Ein gut strukturiertes Sicherheitsprogramm kann von KI profitieren, weil Daten, Zuständigkeiten und Prozesse schon vorhanden sind. Dort verstärkt Automatisierung vorhandene Ordnung. Wo diese Ordnung fehlt, verstärkt sie eher das Rauschen.
So entsteht kein dramatischer Umbruch, sondern eine Verschiebung im Alltag der Sicherheit. Bug Hunting wird breiter, schneller und weniger exklusiv. Exploit-Entwicklung wird durch KI nicht mühelos, aber leichter anzustoßen. Sicherheitsagenten können helfen, doch sie brauchen saubere Grundlagen und Menschen, die ihre Ergebnisse einordnen.
Der neue Wettlauf besteht deshalb nicht nur aus besseren Modellen. Er besteht aus Inventaren, Zuständigkeiten, Datenqualität, Reaktionswegen und der Fähigkeit, unter Unsicherheit zu handeln. Das ist weniger auffällig als die großen Versprechen der KI-Branche. Aber genau dort entscheidet sich, ob die neue Geschwindigkeit ein Vorteil wird oder nur ein weiteres Hintergrundrauschen im ohnehin überlasteten Sicherheitsbetrieb.
