Die Entdeckung von Sicherheitslücken in Betriebssystemen ist ein entscheidender Bestandteil der Cybersicherheit. Survival und Schutz moderner IT-Infrastrukturen hängen stark davon ab, dass Sicherheitsforscher Schwachstellen frühzeitig erkennen und beheben. Besonders dabei herausfordernd sind sogenannte Zero-Day-Schwachstellen, Sicherheitslücken, die bislang unbekannt und somit von Angreifern ohne Gegenmaßnahmen ausgenutzt werden können. Eine neue Ära in der Schwachstellenforschung zeichnet sich nun durch die Integration künstlicher Intelligenz aus. Insbesondere das KI-Sprachmodell o3 hat jüngst aufgezeigt, wie maschinelles Lernen die Analyse komplexen Codes und die Entdeckung kritischer Sicherheitsprobleme beschleunigen kann.
Ein eindrucksvolles Beispiel liefert die jüngste Entdeckung einer Remote-Zero-Day-Schwachstelle in der SMB-Implementierung des Linux-Kernels. Zum besseren Verständnis ist es wichtig, zunächst die Rolle und Bedeutung des SMB-Protokolls zu erfassen. SMB, kurz für Server Message Block, ist ein Netzwerkprotokoll, das die gemeinsame Nutzung von Dateien, Druckern und Kommunikationsschnittstellen in Netzwerken ermöglicht. Die SMB-Variante ksmbd stellt eine Linux-Kernel-Implementierung des SMB3-Protokolls dar und erlaubt Linux-Systemen, als SMB3-Server zu fungieren. Dabei ist ksmbd vollständig im Kernelraum verankert, was für Performancevorteile sorgt, allerdings auch besondere Sicherheitsanforderungen mit sich bringt.
Schwachstellen im ksmbd können daher gravierende Folgen haben, da der Kernel direkt angegriffen und kompromittiert werden kann. Die Herausforderung bei der Analyse solcher umfangreichen und komplexen Codestrukturen liegt vor allem in der Vielzahl der gleichzeitig ablaufenden Prozesse, dem Zusammenspiel paralleler Netzwerkverbindungen und der tiefgreifenden Verschachtelung der Funktionsaufrufe. Traditionelle manuelle Codeüberprüfungen und klassische statische Analysen stoßen hier schnell an ihre Grenzen. Genau an dieser Stelle entfaltet das KI-Modell o3 seine Fähigkeiten. Entwickelt von OpenAI, kann o3 dank seiner enormen Trainingsdatenmenge und modernen Architektur komplexe Programmabläufe analysieren und auf mögliche Schwachstellen hinweisen.
Dabei geht es über reine Syntaxanalyse hinaus – o3 kann auch „zusammenhängende Abläufe“ verstehen und beispielsweise problematische Speicherzugriffe erkennen. Das entscheidende Beispiel ist die Entdeckung von CVE-2025-37899, einer schweren Use-After-Free-Sicherheitslücke in der Behandlung des SMB-Logoff-Kommandos im Linux-Kernel. Diese Schwachstelle ermöglicht es Angreifern, aus der Ferne Schadcode im Kernel-Kontext auszuführen, was katastrophale Auswirkungen für die Systemsicherheit haben kann. Die zugrundeliegende Problematik entsteht durch fehlerhafte Speicherfreigabe in Mehr-Thread-Umgebungen, bei denen ein Objekt im Speicher freigegeben wird, obwohl es von einem anderen Thread weiterhin genutzt wird. Klassische Werkzeuge schaffen es oft nicht, solche Szenarien zuverlässig zu erkennen, da sie komplizierte Interaktionen und Zustände analysieren müssten.
Der Sicherheitsforscher Sean Heelan zeigte eindrucksvoll, wie er mit der reinen Nutzung des o3-API-Interfaces – ohne zusätzliche Tools oder Frameworks – den Fehler schnell ausfindig machte. Mithilfe von o3 konnte er die komplexen Zustände und Abläufe innerhalb des ksmbd-Codes verstehen, insbesondere das Management von „Sessions“ und „Users“ in verschiedenen Threads. Die Herausforderung lag darin, herauszufinden, unter welchen Umständen das Objekt „sess->user“ freigegeben wird, während es von einem anderen Thread noch referenziert und genutzt wird. o3 identifizierte diese kritische Stelle trotz der Komplexität der nebenläufigen Prozesse und des großen Umfangs des Code-Basis. Vorher konnte Heelan bereits eine andere Schwachstelle namens CVE-2025-37778 manuell aufdecken, die ebenfalls mit Use-After-Free im Kerberos-Authentifizierungsprozess zusammenhing.
Dieses Problem entstand, weil bei einem „session setup“ Befehl das User-Objekt vorzeitig freigegeben wurde, ohne dass alle Folgepfade entsprechend abgesichert waren. o3 wurde dann als Benchmark eingesetzt, um zu prüfen, wie gut es diese bekannte Lücke finden und nachvollziehen konnte. In 8 von 100 Testläufen erkannte das Modell die Schwachstelle. Bei der Verwendung des gesamten Codes aller SMB-Kommandos – ein viel anspruchsvollerer Input mit rund 12.000 Quellcodezeilen – fand o3 die bekannte Schwachstelle zwar nur in einem von 100 Durchläufen, identifizierte jedoch darüber hinaus die neue Zero-Day-Schwachstelle im Logoff-Handler.
Die durch o3 gefundene Lücke beruht darauf, dass bei einem Logoff-Befehl der Speicher des User-Objektes zwar freigegeben und der Pointer auf NULL gesetzt wird, aber andere Threads, die parallel auf dieselbe Session zugreifen, noch mit dem freigegebenen Speicher arbeiten. Ein gleichzeitig laufender Thread könnte damit auf nicht mehr gültige Daten zugreifen, was im schlimmsten Fall die Ausführung von beliebigem Code im Kernel ermöglicht. Diese Situation entsteht insbesondere, da in SMB3 mehrere Verbindungen an eine einzelne Session gebunden sein können. Das Zusammenspiel mehrerer paralleler Verbindungen und die fehlende Synchronisation beim Freigeben des User-Objekts erzeugen so die Use-After-Free-Bedingung. Beeindruckend ist, dass o3 nicht nur die Lücke im Codepunkt findet, sondern auch den komplexen Kontext der Multithread-Nutzung und die fehlende Sicherung zwischen den Verbindungen analysierte.
Die Ausgabe des Modells umfasste eine verständliche und prägnante Beschreibung des Problems, was den Aufwand weiterer manueller Analysen erheblich reduziert. Heelan stellte heraus, dass eine einfache Nullsetzung des User-Pointers nicht ausreichte, um das Problem zu beheben, da verschiedene Verbindungen weiterhin parallel auf dieselbe Session zugreifen können. Hier zeigt sich auch der Mehrwert durch den KI-Einsatz: o3 konnte das Problem umfassender erkennen und alternative Lösungsansätze anregen. Das Experiment mit o3 zeigte jedoch auch die heutigen Grenzen KI-basierter Bugfinder auf. Zwischen den korrekten Meldungen standen zahlreiche Fehlalarme und teilweise fehlten Hinweise auf vorhandene Schwachstellen.
Die Trefferquote lag im unteren einstelligen Bereich, was die Notwendigkeit weiterer Filter- und Validationsprozesse unterstreicht. Dennoch stellt die Leistung von o3 einen signifikanten Fortschritt dar. Im Vergleich mit anderen großen Sprachmodellen wie Claude Sonnet zeigten sich etwa doppelt bis dreimal bessere Ergebnisse. Die Fähigkeit, semantisch komplexe Probleme rund um parallele Programmierabläufe und Speicherverwaltung zu analysieren, war bislang ein für KI schwer erreichbares Ziel. Die Bedeutung dieser Entwicklung für die Schwachstellen- und Exploitforschung ist groß.
Während klassische Methoden wie statische Codeanalyse, Fuzzing oder symbolische Ausführung schon seit Langem eingesetzt werden, eröffnen KI-Modelle neue Wege, an Probleme heranzugehen. Die Fähigkeit, flexibel und generalistisch an Code heranzugehen, komplexe logische Zusammenhänge zu verstehen und gleichzeitig umfangreiche Codebasen zu verarbeiten, kann den Workload von menschlichen Forschern massiv reduzieren. Insbesondere bei weniger gut dokumentiertem Code oder komplizierten Protokollimplementierungen kann KI entscheidende Hinweise liefern und Sicherheitslücken schneller identifizieren. Natürlich ersetzt die KI derzeit noch nicht den menschlichen Experten. Ein Analyst muss nach wie vor die Resultate prüfen, validieren und die Auswirkungen bewerten.
Die größte Herausforderung sind aktuell die Rate an Fehlalarmen und die mangelnde Konsistenz der Ergebnisse bei größeren Codemengen. Auch sind KI-basierte Modelle anfällig für Kontextverlust, wenn der Input zu umfangreich ist oder zu viele verschachtelte Funktionsaufrufe analysiert werden müssen. Doch die laufende Weiterentwicklung der Modelle und die Optimierung der Nutzungsmethoden wie gezieltes Prompting oder modularisierte Eingaben versprechen eine kontinuierliche Verbesserung. Der Einsatz von KI-Modellen wie o3 im Bereich der IT-Sicherheit hat weitreichende Implikationen. Zum einen kann die Geschwindigkeit, mit der Schwachstellen identifiziert und verstanden werden, deutlich steigen.
Zum anderen wird die Hürde für die Entdeckung komplexer Zero-Days niedriger, was aus Sicht von Verteidigern einerseits die Sicherheit erhöht, da Lücken schneller erkannt werden, andererseits jedoch auch Angreifern potenziell neue Möglichkeiten eröffnet, da dieselben Technologien missbraucht werden könnten. Deshalb ist es wichtig, dass Forschung und Industrie diese Technologien verantwortungsbewusst einsetzen. Automatisierte Tools müssen mit geeigneten Prüfmechanismen kombiniert werden, um Fehlalarme zu minimieren und korrekte Schwachstellenberichte zu generieren. Sicherheitsexperten sollten sich mit den neuen Möglichkeiten vertraut machen, um KI effektiv in ihren Workflows einzusetzen und so ihre Effektivität zu steigern. Der Fall von CVE-2025-37899 zeigt eindrücklich, dass KI-Sprachmodelle nicht nur einfache Muster erkennen können, sondern auch komplexe, mehrschichtige Problemstellungen, die sich aus gleichzeitigen Abläufen und unsicheren Speicherzugriffen ergeben.
