Schedule FrOSCon 2026

Lecture

Beyond Patching: Automatisierte Abwehr gegen KI-gestützte Same-Day-Exploits

Ein Architekturvorschlag für proaktive Sicherheitsmaßnahmen zwischen Schwachstellen-Entdeckung und Patch-Deployment

August 15, 2026 HS 7 de Security

Die Kombination aus frei verfügbarem Quellcode bei Open-Source-Software und der zunehmenden Nutzung generativer KI zur automatisierten Exploit-Generierung verkürzt die „Time to Exploit“ massiv. Während traditionelle Patch-Management-Zyklen oft Tage oder Wochen beanspruchen (und einzelne Systeme oft weit länger verwundbar bleiben), können Angreifer durch automatisierte Analysen von Releases (Diffing) Schwachstellen innerhalb von Stunden ausnutzen. Dieser Vortrag stellt einen Architekturansatz vor, um diese Lücke zu schließen: Ein System für granulare, temporäre Mitigationsmaßnahmen, die unabhängig vom regulären Update-Zyklus aktiviert werden können.

In den letzten 5 Jahren hat sich die mittlere Zeitspanne (Median) vom Bekanntwerden bis zur tatsächlichen Ausnutzung von Sicherheitslücken drastisch reduziert: Von 2 Monaten auf weniger als einen Tag.
Open-Source-Projekte sind davon in besonderem Maße betroffen: Mit der Veröffentlichung eines Patches für eine Sicherheitslücke erhalten Angreifer die notwendigen Informationen, um einen Exploit dafür zu generieren. Gestützt von LLMs ist der gesamte Prozess von der Identifikation von Schwachstellen über die Entwicklung eines Exploits bis hin zum Aufspüren verwundbarer Systeme inzwischen großenteils automatisierbar.

Dieser Vortrag untersucht technische Ansätze, um dieses Zeitfenster effektiv zu schließen. Anstatt ausschließlich auf den klassischen Release-Zyklus zu setzen, wird ein erweitertes Incident Response Management für FOSS-Infrastrukturen vorgestellt, in dessen Zentrum eine „Mitigation-Schicht“ liegt, die zwischen der Identifikation einer Lücke und dem finalen Software-Update agiert und in erster Linie von den Maintainern des FOSS-Projekts gesteuert wird. Konkrete Vorkehrungen sind stark abhängig von der konkreten Software und können von der Invalidierung von User-Sessions bis hin zur Abschaltung von Services oder Features reichen.

Elementar ist dabei jedoch, Systemverantwortlichen so viel Transparenz und Kontrolle zu bieten, dass aus dem als Sicherheitsfeature geplanten Ansatz keine Gefahr für die Verfügbarkeit der Systeme wird.