DARPA: KI-Cyber-Challenge-Tech für breiten Einsatz

Die Defense Advanced Research Projects Agency (DARPA) richtet ihren Blick auf eine Zukunft, in der künstliche Intelligenz das digitale Rückgrat kritischer Infrastrukturen aktiv sichert. Sie kündigt Pläne an, die im Rahmen ihrer KI-Cyber-Challenge (AIxCC) entwickelte Spitzentechnologie für den breiten Einsatz zu überführen. Nach dem Höhepunkt eines zweijährigen Wettbewerbs, der die Grenzen der autonomen Cyberabwehr verschob, betont DARPA nun die Notwendigkeit, diese fortschrittlichen KI-Systeme zum Schutz wesentlicher Dienste, von öffentlichen Versorgungsunternehmen bis hin zu Gesundheitssystemen, einzusetzen.

Die AIxCC, ein einzigartiges Vorhaben in Zusammenarbeit mit der Advanced Research Projects Agency for Health (ARPA-H), zielte darauf ab, KI-gestützte Cyber-Reasoning-Systeme (CRS) zu entwickeln, die in der Lage sind, Software-Schwachstellen automatisch zu identifizieren und zu beheben. Diese Initiative begegnet direkt einem weit verbreiteten und eskalierenden Problem: der immensen, oft „übermenschlichen“ Herausforderung, die Open-Source-Software, die die moderne Gesellschaft untermauert, zu sichern. Wie DARPA-Direktor Stephen Winchell ausführte, basiert ein Großteil der digitalen Infrastruktur der Welt auf „uralten digitalen Gerüsten“, die mit erheblichen technischen Schulden belastet sind, was traditionelle, menschenzentrierte Patching-Methoden langsam und kostspielig macht.

Auf der jüngsten Cybersicherheitskonferenz DEF CON 33 in Las Vegas ging Team Atlanta als Sieger der AIxCC hervor und sicherte sich einen Preis von 4 Millionen Dollar für ihr bahnbrechendes CRS. Das Team, ein beeindruckendes Konsortium von Experten des Georgia Tech, Samsung Research, des Korea Advanced Institute of Science & Technology (KAIST) und der Pohang University of Science and Technology (POSTECH), zeigte außergewöhnliche Fähigkeiten bei der automatisierten Schwachstellen-Erkennung und -Behebung. Dicht dahinter folgten Trail of Bits mit 3 Millionen Dollar und Theori mit 1,5 Millionen Dollar.

Die Ergebnisse des Wettbewerbs unterstreichen eine entscheidende Verschiebung der Cybersicherheitsfähigkeiten. Die teilnehmenden KI-Systeme identifizierten erfolgreich 77 % der absichtlich eingeführten synthetischen Schwachstellen und – entscheidend – behoben 61 % davon, oft in nur 45 Minuten. Über diese kontrollierten Szenarien hinaus entdeckten die CRS auch 18 bisher unbekannte, reale Schwachstellen und konnten 11 davon in Java-Codebasen automatisch beheben. Diese Leistung signalisiert eine dramatische Verbesserung der Effizienz und Kosteneffizienz im Vergleich zu manuellen Prozessen, wobei die Wettbewerbsaufgaben durchschnittlich nur 152 Dollar pro erfolgreicher Behebung kosteten.

Ein Eckpfeiler der DARPA-Übergangsstrategie ist die sofortige Offenlegung dieser leistungsstarken KI-Tools als Open Source. Vier der sieben CRS der Finalistenteams wurden bereits veröffentlicht, die restlichen drei sollen in den kommenden Wochen öffentlich zugänglich gemacht werden. Dieser Schritt soll Cyberverteidiger in verschiedenen Sektoren durch direkten Zugang zu diesen innovativen Lösungen stärken. Wie AIxCC-Programmmanager Andrew Carney erklärte: „Es gibt keine Entschuldigung, diese Art der Automatisierung nicht zu nutzen. Und es wird nur besser werden. Das ist die neue Untergrenze.“

Um die Akzeptanz dieser Technologien weiter zu beschleunigen, haben DARPA und ARPA-H zusätzliche 1,4 Millionen Dollar an Preisen zugesagt. Dieser Anreiz soll die Gewinnerteams ermutigen, ihre AIxCC-Lösungen direkt in reale, kritische Infrastruktursoftware zu integrieren. Insbesondere der Gesundheitssektor kann von diesem Fortschritt enorm profitieren, angesichts seiner einzigartigen Schwachstellen, die sich aus den 24/7-Betriebsanforderungen und der Abhängigkeit von komplexen, oft veralteten IT-Ökosystemen ergeben. ARPA-H-Interimsdirektor Jason Roos betonte das Engagement der Agentur, diesen Übergang zur Verbesserung der Patientensicherheit und der Sicherheit im Gesundheitswesen zu unterstützen.

Die KI-Cyber-Challenge stellt einen bedeutenden Sprung nach vorn dar und zeigt, dass KI über die bloße Fehleridentifizierung hinausgehen und diese aktiv in großem Maßstab beheben kann. Mit der Verpflichtung zur Open-Source-Veröffentlichung der Technologie und der Förderung ihrer Bereitstellung zielt DARPA darauf ab, Cyberverteidiger mit einem beispiellosen Vorteil gegen sich ständig weiterentwickelnde Bedrohungen auszustatten und die Landschaft der Softwaresicherheit grundlegend zu verändern.