KI-Sicherheit on Pfisterer Consultinghttps://pfisterer.xyz/tags/ki-sicherheit/Recent content in KI-Sicherheit on Pfisterer ConsultingHugodeFri, 15 May 2026 07:00:00 +0200Sechs Stunden, achtzehn Jahre: Was NGINX Rift dem Mittelstand sagthttps://pfisterer.xyz/news/nginx-rift-18-jahre-ki-audit-mittelstand/Fri, 15 May 2026 07:00:00 +0200https://pfisterer.xyz/news/nginx-rift-18-jahre-ki-audit-mittelstand/<p>Am 13. Mai 2026 veröffentlichen F5 und der Security-Researcher depthfirst eine Disclosure mit Sprengkraft. CVE-2026-42945, Codename <strong>NGINX Rift</strong>, CVSS 9.2. Unauthentifizierte Remote Code Execution im <code>ngx_http_rewrite_module</code> von NGINX. Betroffen: alle Open-Source-Versionen von 0.6.27 bis 1.30.0 und NGINX Plus R32 bis R36. Der Bug liegt seit 2008 im Code. Achtzehn Jahre.</p> <p>Die eigentliche Pointe steht in der Disclosure-Fußnote. Den Bug fand kein menschlicher Researcher. Er fand ihn ein autonomes KI-Analyse-System. Sechs Stunden Laufzeit gegen eine der am intensivsten geprüften Open-Source-Codebasen der Welt. Das ist die direkte Bestätigung der These, die ich am 13. Mai im Artikel zur <a href="https://pfisterer.xyz/news/claude-mythos-firefox-glasswing-mittelstand/">Mythos-Glasswing-Asymmetrie</a> als kommende Realität skizziert habe. Sie ist eine Woche später eingetreten.</p>Glasswing-Asymmetrie: Was Mythos in Firefox findet und was der Mittelstand daraus lernen musshttps://pfisterer.xyz/news/claude-mythos-firefox-glasswing-mittelstand/Wed, 13 May 2026 07:00:00 +0200https://pfisterer.xyz/news/claude-mythos-firefox-glasswing-mittelstand/<p>Am 5. Mai 2026 veröffentlicht Mozilla einen ungewöhnlich offenen Blogpost: Eine frühe Version von Anthropics neuestem Modell, Claude Mythos Preview, hat in den vergangenen Wochen 271 Sicherheitslücken in Firefox gefunden. 180 davon mit hoher Kritikalität, 80 mittel, 11 niedrig. Einige der Bugs lagen 15 Jahre unentdeckt im Code, also seit 2011. Patches gingen in Firefox 149.0.2, 150, 150.0.1 und 150.0.2 raus.</p> <p>Das wäre für sich genommen schon eine erhebliche Geschichte. Was sie für den deutschen Mittelstand wichtig macht, ist die Fußnote: Mythos ist nicht öffentlich verfügbar. Anthropic gibt das Modell aktuell nur an elf Organisationen heraus, unter einem Programm namens Project Glasswing. Auf der Liste stehen US-Hyperscaler, US-Banken, US-Security-Anbieter und die Linux Foundation. Keine deutsche Firma. Kein einziges europäisches Unternehmen außerhalb von Linux.</p>