Claude entdeckt 40 Jahre alten Fehler – warum KI Binärcode entschlüsselt

Vor 40 Jahren schrieb Microsofts Azure-CTO Mark Russinovich ein Programm für den Apple II – eine Zeit, als 6502-Assemblersprache noch die Norm war. Heute arbeitet er als einer der führenden Technologen der Branche. Doch selbst er hatte den Fehler in seinem eigenen Code übersehen: Ein stiller Bug, der seit Jahrzehnten unbemerkt in seinem Programm schlummert.

Doch diesmal war es nicht ein Mensch, der den Fehler fand. Es war ein KI-Modell. Genauer gesagt: Claude Opus 4.6 von Anthropic. Ohne den Quellcode zu kennen, analysierte die KI den Binärcode und identifizierte einen kritischen Fehler in der Logik. Die Schwachstelle: Bei einem fehlenden Ziel für eine GOTO-Anweisung sprang das Programm einfach zur nächsten Zeile über – ohne eine Fehlermeldung auszugeben. Ein Problem, das plötzlich seit vier Jahrzehnten existierte, ohne dass es jemand bemerkt hatte.

Vom Binärcode zur Analyse: Wie KI vergessene Software entschlüsselt

Russinovichs Experiment ist mehr als eine Anekdote aus der Frühzeit der Informatik. Es ist ein Beweis dafür, dass KI nicht nur Code schreiben, sondern auch lesen und verstehen kann – selbst wenn dieser in einer Sprache verfasst ist, die längst aus der Mode ist.

• Keine Dokumentation, keine Kommentare, keine Variablennamen: Der Binärcode des Programms war ein reines Artefakt, das nur Russinovich selbst in seinen Jugendjahren verstanden hatte. Niemand sonst hätte die Geduld oder das Wissen gehabt, diesen Code systematisch zu analysieren.
• Schneller als ein Mensch: Während ein erfahrener Ingenieur Wochen oder Monate benötigen würde, um 6502-Assembly zu entschlüsseln, analysierte die KI den Code in Sekunden. Ein einfacher Refresh des Browser-Tabs reichte aus, um die Ergebnisse zu erhalten.
• Unsichtbare Fehler sichtbar machen: Der entdeckte Bug war kein offensichtlicher Absturz oder eine klare Sicherheitslücke. Stattdessen handelte es sich um ein stillschweigendes Fehlverhalten, das zu unvorhersehbaren Ergebnissen führen konnte – genau das, was Angreifer ausnutzen.

Die Grenzen der „Sicherheit durch Obskurität“ – und warum sie heute irrelevant ist

Seit Jahrzehnten galt die Idee der „Sicherheit durch Obskurität“ als fragwürdige, aber weit verbreitete Praxis: Wenn der Quellcode geheim gehalten wird, können Angreifer ihn nicht analysieren und gezielt Schwachstellen ausnutzen. Doch Russinovichs Experiment zeigt, dass diese Strategie heute vollständig überholt ist.

• Jeder Binärcode ist lesbar – selbst obfuskierte oder kompilierte Programme: Ob Firmware in Netzwerkgeräten, Legacy-Systeme aus den 1990ern oder eingebettete Controller in Industrieanlagen – KI-Modelle wie Claude können diese Binärdateien entschlüsseln und potenzielle Sicherheitsrisiken identifizieren.
• Angreifer und Verteidiger profitieren gleichermaßen: Während Angreifer nun leichter Schwachstellen finden können, erhalten Sicherheitsforscher ein mächtiges Werkzeug, um versteckte Fehler frühzeitig zu erkennen – bevor sie ausgenutzt werden.
• Ein Paradigmenwechsel für die Cybersicherheit: Die Tage, in denen Unternehmen ihre Software hinter verschlossenen Türen halten konnten, sind gezählt. Die KI-gestützte Analyse macht selbst den obskursten Code transparent.

Die Zukunft des Programmierens: Brauchen wir noch Menschen im Loop?

Russinovichs Experiment wirft eine zentrale Frage auf: Wenn KI sowohl Code schreiben als auch lesen kann – brauchen wir dann überhaupt noch Menschen, die ihn verstehen? Die Antwort ist komplex und hängt von mehreren Faktoren ab.

Die These des „schreib-only“-Codes: Wenn KI die Übersetzung übernimmt

In einem kürzlich erschienenen Artikel argumentierte ein Entwickler, dass wir uns einer Ära nähern, in der KI Code generiert, der nie von einem Menschen gelesen wird. Stattdessen spezifizieren Entwickler ihre Anforderungen in natürlicher Sprache, und die KI übersetzt diese direkt in optimierte Binärdateien. Der menschlich lesbare Code – also die Programmiersprachen, die wir heute nutzen – wäre dann nur noch ein Relikt aus einer Zeit, in der Menschen die Übersetzer waren.

• Vorteile: Schnellere Entwicklung, weniger Fehler durch menschliche Interpretationsfehler, automatisierte Optimierung.
• Risiken: Abhängigkeit von KI-Modellen, mangelnde Transparenz, mögliche Sicherheitslücken, die unbemerkt bleiben.

Die Realität heute: Menschen bleiben (noch) im Spiel

Auch wenn KI immer mächtiger wird, gibt es weiterhin Bereiche, in denen menschliche Expertise unverzichtbar ist:

• Spezifikation und Überprüfung: Menschen definieren die Anforderungen und validieren die Ergebnisse der KI. Ohne klare Vorgaben kann die KI zwar Code generieren, aber nicht unbedingt den richtigen.
• Ethik und Verantwortung: Wer haftet, wenn eine KI-generierte Software einen Fehler verursacht? Diese Frage ist noch nicht abschließend geklärt.
• Innovation und Kreativität: Während KI bestehende Lösungen optimieren kann, sind bahnbrechende Neuerungen oft das Ergebnis menschlicher Intuition und Erfahrung.

Ein Ausblick: Die Ära der KI-gestützten Code-Analyse

Russinovichs Experiment ist mehr als eine technische Kuriosität. Es ist ein Weckruf für die gesamte Softwarebranche. Die Fähigkeit von KI, Binärcode zu entschlüsseln, markiert den Beginn einer neuen Ära:

• Legacy-Systeme werden sicherer: Unternehmen können nun auch alte, undokumentierte Programme auf versteckte Fehler und Sicherheitslücken überprüfen – ohne teure Reverse-Engineering-Projekte.

• Neue Angriffsvektoren entstehen: Gleichzeitig müssen sich Sicherheitsforscher auf eine Welle neuer Bedrohungen einstellen, da Angreifer nun leichter Schwachstellen in obskuren oder kompilierten Programmen finden können.

• Die Rolle des Entwicklers verändert sich: Statt Code zu schreiben, werden Entwickler zunehmend zu „KI-Trainern“ und „Spezifikationsarchitekten“, die die Grenzen und Fähigkeiten der KI-Modelle verstehen und nutzen.

Die Programmiersprachen der letzten 60 Jahre waren im Grunde Übersetzungsschichten zwischen menschlichem Denken und Maschinenbefehlen. Doch wenn KI beide Sprachen gleichermaßen beherrscht, wird diese Schicht überflüssig – oder zumindest optional. Die Frage ist nicht mehr, ob wir diese Entwicklung wollen, sondern wie wir sie gestalten. Eines ist jedoch sicher: Die Art und Weise, wie wir Software entwickeln, analysieren und sichern, wird sich grundlegend ändern.