Über ein Jahrzehnt lang stützte sich die koordinierte Offenlegung von Schwachstellen (CVD) auf eine grundlegende Übereinkunft: das 90-Tage-Offenlegungsfenster. Es beruhte auf der Annahme, dass Fehlerfinder selten waren, die Patch-Entwicklung Zeit brauchte und das Zurückentwickeln eines Patches in einen funktionierenden Exploit noch länger dauerte.
Laut einem neuen Blogbeitrag des Sicherheitsforschers Himanshu Anand ist diese Welt vorbei. Vor wenigen Tagen veröffentlicht, ist Anands Artikel „the 90 day disclosure policy is dead“ ein Weckruf an die Branche. Seine Kernthese lautet, dass große Sprachmodelle (LLMs) sowohl die Entdeckung von Schwachstellen als auch die Entwicklung von Exploits auf nahezu null verdichtet haben und damit klassische CVD-Sperrfristen und monatliche Patch-Zyklen überholt sind.
Hier bei CVDPortal analysieren wir laufend den Stand des Schwachstellenmanagements. Anands Beobachtungen verdeutlichen eine praktische Entwicklung, die jeder Hersteller, jedes Triage-Team und jeder Forscher verstehen muss.
Das Ende der Annahme vom alleinigen Entdecker
Klassische CVD nimmt an, dass ein Forscher, der eine Schwachstelle meldet, wahrscheinlich die einzige Person ist, die davon weiß. Eine 90-tägige Sperrfrist verschafft dem Hersteller einen sicheren Vorsprung, um eine Korrektur zu entwickeln und auszurollen.
Anand widerlegt diese Vorstellung mit einer aktuellen Anekdote: Nachdem er einer Firma einen kritischen, leicht ausnutzbaren Fehler gemeldet hatte, teilte ihm die Triage mit, dass er innerhalb von sechs Wochen die elfte Person war, die genau dasselbe Problem meldete.
Dieses Phänomen der gleichzeitigen Entdeckung wird durch die LLM-gestützte Fehlersuche getrieben. Triage-Teams sehen inzwischen Wellen doppelter Meldungen innerhalb weniger Tage nach der ersten Entdeckung einer Schwachstelle. Die Zahlen sind eindeutig: Wenn 10 seriöse Forscher den Fehler mit KI-Werkzeugen gefunden haben, wie viele böswillige Akteure haben ihn gefunden und nicht gemeldet?
Wenn KI die Fehlerentdeckung demokratisiert, schützt das 90-Tage-Fenster nicht mehr die Nutzer, sondern verschafft Bedrohungsakteuren einen 90-tägigen Vorsprung. Man kann keine stille Offenlegung koordinieren, wenn dieselbe Schwachstelle weltweit unabhängig von automatisierten Werkzeugen wiederentdeckt wird.
Das Ende der N-Day-Lücke: 30 Minuten vom Patch zum Exploit
Historisch gab es eine Schonfrist, wenn ein Hersteller einen Sicherheitspatch veröffentlichte. Geübte Reverse Engineers brauchten Tage oder Wochen, um einen Patch-Diff zu analysieren und einen funktionierenden n-Day-Exploit zu entwickeln.
Anand zeigte, wie KI dieses Sicherheitsnetz umgangen hat. Bei einem aktuellen Schwung von React-Sicherheitsupdates (darunter CVE-2026-23870, CVE-2026-44575 und weitere) speiste er die Patch-Diffs in ein LLM ein. Innerhalb von 30 Minuten hatte die KI den Diff analysiert, den verwundbaren Codepfad identifiziert und einen funktionierenden Proof of Concept (PoC) für einen Denial of Service (DoS) erzeugt.
Wie Anand betont: „Wenn Sie CVE-Beschreibungen lesen, während Angreifer git log diff-filter=M lesen, sind Sie bereits im Rückstand. Die Sicherheitsmeldung ist ein nachgelagertes Artefakt. Der Patch-Diff ist das Signal.“
Chaos in der echten Welt: Die Woche, in der Linux Feuer fing
Falls Sie das für rein theoretisch halten, verweist Anand auf die jüngste Krise im Linux-Kernel als Beleg. Ende April und Anfang Mai 2026 betrafen zwei aufeinanderfolgende kritische Schwachstellen das Ökosystem.
Copy Fail (CVE-2026-31431): Ein geradliniger Logikfehler im Krypto-Subsystem des Kernels, der Root-Zugriff gewährte. In nur einer Stunde automatisierten KI-Scannings vom Team bei Xint Code gefunden. Innerhalb weniger Tage nach der öffentlichen Offenlegung nutzten iranische staatlich gesteuerte Akteure ihn bereits in freier Wildbahn aus, um DDoS-Infrastruktur aufzubauen.
Dirty Frag (CVE-2026-43284 und CVE-2026-43500): Nur eine Woche später veröffentlichte der Forscher Hyunwoo Kim diese verkettete Schwachstelle. Mit der linux-distros-Mailingliste wurde eine 5-tägige Sperrfrist vereinbart. Die Sperrfrist wurde innerhalb von Stunden von einer unbeteiligten dritten Partei gebrochen, die detaillierte Exploit-Informationen veröffentlichte. Innerhalb von 24 Stunden nach der Offenlegung bestätigte Microsoft Defender eine Ausnutzung in freier Wildbahn, und das, während keine einzige Linux-Distribution einen funktionierenden Patch verfügbar hatte.
Das sind keine Randfälle. Das ist die neue Normalität.
Was das für die Zukunft der CVD bedeutet
Für Fachleute, die die koordinierte Offenlegung von Schwachstellen verwalten, sind die Erkenntnisse aus Anands Artikel unmissverständlich.
Monatliche Patch-Zyklen sind ein Angriffsfenster
Die Idee, einen Patch für den nächsten Wartungszyklus einzuplanen, ist ein Relikt. Wenn ein Exploit 30 Minuten nach der Veröffentlichung eines Patches erzeugt werden kann, ist das Wartungsfenster jetzt. Jedes kritische Sicherheitsproblem muss als P0 behandelt und sofort gepatcht werden.
Sperrfristen sind fragil
Sperrfristen beruhen auf Eindämmung. Wenn KI es mehreren unabhängigen Forschern erlaubt, denselben Fehler gleichzeitig zu finden, werden Sperrfristen unweigerlich durchsickern oder gebrochen werden. Hersteller müssen jederzeit auf öffentliche Zero-Day-Veröffentlichungen vorbereitet sein.
Blue Teams müssen sich anpassen
Mit manuellem Code-Review in einen KI-Kampf zu ziehen, ist, wie Anand es ausdrückt, als brächte man ein Klemmbrett zu einer Schießerei. Verteidiger müssen LLMs tief in ihre CI/CD-Pipelines integrieren. KI muss für Code-Reviews in Echtzeit am Punkt des Pull Requests, für automatisierte Abhängigkeits-Scans und für die Prüfung eingesetzt werden, dass neu entwickelte Patches keine Regressionen einführen.
Schlussgedanken
Die Cybersicherheitsbranche hat sich in den letzten 12 Monaten verändert. Die 90-Tage-Offenlegungsrichtlinie wurde nicht durch böse Absicht getötet. Sie wurde durch Mathematik, Automatisierung und das Tempo moderner Werkzeuge getötet.
Bei CVDPortal denken wir, dass die Branche sich anpassen muss. Hersteller können sich nicht länger auf lange Offenlegungsfristen verlassen, und Forscher sollten auf die kürzestmöglichen Offenlegungsfenster drängen. Die Werkzeuge existieren, um die Verteidigungsseite zu automatisieren, ganz so, wie Angreifer die Angriffsseite automatisiert haben. Die einzige Frage ist, ob die Branche sich anpasst, bevor das nächste Dirty Frag die Produktivumgebungen trifft.
Lesen Sie Himanshu Anands vollständigen Artikel für eine tiefe Auseinandersetzung mit den technischen Einzelheiten, und bleiben Sie bei CVDPortal dran für laufende Diskussionen zur Anpassung des Schwachstellenmanagements an das KI-Zeitalter.