Jenseits des Hypes: LLMs, Mythos und die Zukunft der Firmware-Analyse

LLMs revolutionieren die Firmware-Analyse

Large Language Models (LLMs) halten zunehmend Einzug in verschiedenste Bereiche – und auch die IT-Sicherheit sowie die Firmware-Analyse bilden hier keine Ausnahme. KI-Modelle können Code lesen und interpretieren, Binär-Firmware teilweise in menschenähnlichen Pseudocode dekompilieren und bei der Identifikation von Schwachstellen unterstützen.

So haben Forschende beispielsweise eine Pipeline vorgestellt, in der ein LLM gemeinsam mit Ghidra – einer Open-Source-Suite für Reverse Engineering – dekompilierten Firmware-Code automatisiert auf Sicherheitslücken analysiert. Dadurch lassen sich Aufgaben, für die Experten früher mehrere Tage benötigten, innerhalb weniger Stunden durchführen: etwa die Analyse tausender Funktionen auf Buffer Overflows, hartkodierte Zugangsdaten, unsichere Kommunikationsmechanismen und weitere Schwachstellen.

Im Gegensatz zu klassischen Pattern-Matching-Ansätzen verstehen LLMs dabei den Kontext und die Logik des Codes. Dadurch können sie auch komplexe Schwachstellenmuster erkennen, die herkömmliche statische Analysen oft übersehen. In einem konkreten Fall automatisierte ein LLM-gestütztes System den gesamten Workflow – von der Binärdatei-Identifikation über die Dekompilierung und Schwachstellenanalyse bis hin zur CWE-Klassifizierung und Berichtserstellung – und reduzierte einen zuvor 40-stündigen manuellen Prozess auf lediglich vier Stunden¹.

Mythos revolutioniert die Schwachstellenerkennung

Zur gleichen Zeit sorgte Anthropics neues Modell Claude Mythos für Aufsehen in der Branche, als es eigenständig kritische Schwachstellen entdeckte, die jahrzehntelang unbemerkt geblieben waren – darunter ein 27 Jahre alter Fehler im Netzwerk-Stack von OpenBSD, der trotz Millionen von Fuzzing-Tests und Sicherheitsprüfungen nie erkannt wurde.

Doch Mythos blieb nicht bei einem einzelnen Fund: Berichten zufolge identifizierte das Modell tausende Zero-Day-Schwachstellen in allen großen Betriebssystemen und Webbrowsern². Dieses bislang beispiellose Ausmaß an automatisierter Schwachstellenerkennung begeistert gleichermaßen Verteidiger wie Angreifer.

Einerseits verspricht KI, verborgene Sicherheitslücken in Embedded-Code deutlich schneller aufzudecken. Andererseits droht eine massive Zunahme neuer Schwachstellen, die Security-Teams in immer kürzerer Zeit bewerten und beheben müssen.

Wie ernst die Lage ist, zeigt ein Bericht der Cloud Security Alliance aus dem Jahr 2026: Die durchschnittliche Zeitspanne zwischen der Veröffentlichung einer Schwachstelle und ihrer aktiven Ausnutzung sank auf nur noch etwa 20 Stunden – verglichen mit 2,3 Jahren im Jahr 2018³.

Kurz gesagt: LLMs wie Mythos beschleunigen Firmware-Analysen und die Entwicklung von Exploits erheblich – und verkürzen damit drastisch das Zeitfenster, das Verteidigern für eine Reaktion bleibt.

KI-gestützte Firmware-Analyse: Neue Stärken, neue Herausforderungen

Moderne LLMs haben gezeigt, dass sie Aufgaben übernehmen können, die bislang erfahrenen Reverse Engineers vorbehalten waren. Mythos ging dabei noch einen Schritt weiter und agierte praktisch wie ein autonomer Sicherheitsforscher. Das Modell entdeckte nicht nur schwer auffindbare Softwarefehler, sondern machte sie auch ausnutzbar: So generierte es beispielsweise funktionierende Exploits für ältere Schwachstellen mittlerer Kritikalität, die bislang als zu komplex für eine großflächige Ausnutzung galten.

Tatsächlich war Mythos Berichten zufolge in der Lage, tausende funktionierende Exploits für die entdeckten Zero-Day-Schwachstellen zu erstellen – bei durchschnittlichen Rechenkosten von nur wenigen tausend Dollar pro Exploit⁴. Diese KI-gestützten Offensivfähigkeiten markieren einen grundlegenden technologischen Wandel. Schwachstellen, die früher als praktisch kaum ausnutzbar eingestuft wurden, können durch Modelle wie Mythos innerhalb kürzester Zeit in zuverlässige Angriffswerkzeuge verwandelt werden.

Das Ergebnis ist ein zweischneidiges Schwert: Noch nie wurden so viele Schwachstellen so schnell identifiziert wie heute. Das stärkt grundsätzlich die Verteidigung – vorausgesetzt, Unternehmen schaffen es, die Probleme rechtzeitig zu beheben. Gleichzeitig bedeutet dies jedoch, dass Organisationen mit einer enormen Menge neuer Sicherheitslücken konfrontiert werden, die bewertet und priorisiert werden müssen.

Security-Teams stehen zunehmend unter Druck, eine Welle neu entdeckter Schwachstellen schnell zu analysieren und zu patchen – in dem Wissen, dass Angreifer mit vergleichbaren KI-Werkzeugen dieselben Lücken innerhalb weniger Stunden aktiv ausnutzen könnten. Diese drastische Beschleunigung wird von einigen Experten bereits als „AI-driven vulnerability storm“ bezeichnet – ein Wendepunkt, der neue Anforderungen an skalierbare Firmware-Sicherheit stellt³.

Die wichtigste Grenze von LLMs in der Firmware-Sicherheit: Nicht-Determinismus

So leistungsfähig aktuelle LLMs wie Mythos auch sind – sie stellen keine magische One-Click-Lösung dar und bringen erhebliche Einschränkungen mit sich. Eine der zentralen Herausforderungen ist der sogenannte Nicht-Determinismus: Der Analyseprozess der KI basiert teilweise auf Zufälligkeit sowie iterativen Trial-and-Error-Ansätzen.

Das bedeutet: Ein Modell findet nicht zwangsläufig jede Schwachstelle beim ersten Durchlauf, und unterschiedliche Ausführungen können unterschiedliche Ergebnisse liefern.

Anthropics eigene Red-Team-Evaluierung zeigte beispielsweise, dass Mythos in iterativen Schleifen mit verschiedenen „agentischen“ Strategien betrieben werden musste. In einem Fall wurden rund 1.000 unabhängige Analyse-Durchläufe ausgeführt – mit Cloud-Computing-Kosten von fast 20.000 US-Dollar –, um schrittweise mehrere Dutzend Schwachstellen in einer Zielkomponente zu identifizieren.

Der konkrete Durchlauf, der letztlich den bekannten OpenBSD-Fehler entdeckte, verursachte zwar weniger als 50 US-Dollar an KI-Kosten, allerdings konnte im Vorfeld nicht vorhergesagt werden, welcher der vielen Durchläufe tatsächlich erfolgreich sein würde.

Genau das verdeutlicht die grundlegende Problematik: Der Einsatz von LLMs zur Schwachstellensuche ist letztlich eine geführte Suche – kein garantierter, reproduzierbarer Prozess.

In der Praxis bedeutet das, dass eine KI eine Schwachstelle in einem Durchlauf übersehen und erst in einem späteren erkennen kann. Ohne wiederholte Analysen oder zusätzliche Verfahren lässt sich daher kaum sicherstellen, dass tatsächlich alle relevanten Schwachstellen gefunden wurden.

Damit unterscheiden sich LLM-basierte Ansätze grundlegend von klassischen statischen Analysewerkzeugen: Traditionelle Tools liefern bei identischem Input deterministisch dieselben Ergebnisse – auch wenn sie dabei möglicherweise zu viele Findings erzeugen.

Verloren im Firmware-Labyrinth: Das Kontextproblem der KI

Firmware stellt für KI-gestützte Analysen noch eine weitere große Herausforderung dar: Skalierung und Kontextverständnis. Firmware gleicht oft einem riesigen Puzzle – bestehend aus tausenden einzelnen Komponenten, Modulen und Bibliotheken, die erst zusammengesetzt das vollständige Bild ergeben. Ein LLM kann jedoch aufgrund seines begrenzten Kontextfensters immer nur einen kleinen Teil dieses Gesamtbildes gleichzeitig verarbeiten.

Wird die Firmware daher nur abschnittsweise analysiert, besteht die Gefahr, dass Zusammenhänge zwischen unterschiedlichen Komponenten übersehen werden – also genau jene Verbindungen, aus denen sich kritische Schwachstellen ergeben können. Die KI erkennt dann zwar einzelne „Puzzleteile“, verliert jedoch das Gesamtbild aus dem Blick.

Fortschrittliche Ansätze versuchen dieses Problem durch Multi-Agenten-Architekturen zu lösen: Mehrere KI-„Worker“ analysieren parallel unterschiedliche Bereiche der Firmware und tauschen ihre Ergebnisse untereinander aus. So lässt sich theoretisch eine umfassendere Analyse großer Firmware-Images erreichen.

Die praktische Umsetzung solcher Systeme ist allerdings komplex. Sie erfordert individuelle Skripte, simulierte Laufzeitumgebungen sowie aufwendiges Prompt-Engineering und Expertenwissen. Für viele Unternehmen ist dieser Aufwand nicht ohne Weiteres für jede neue Firmware-Version realisierbar.

LLMs können Firmware-Analysen also erheblich beschleunigen – doch die skalierbare Analyse großer und komplexer Firmware-Umgebungen bleibt weiterhin eine anspruchsvolle Herausforderung.

Wenn KI Zeit und Budget sprengt: Der kostspielige Wettlauf gegen die Zeit

Schließlich können diese Modelle teuer und für einen kontinuierlichen Einsatz unpraktisch sein. Selbst wenn die Kosten pro Durchlauf sinken, machen die langsame Rechenleistung und die schrittweise Arbeitsweise von LLMs es schwierig, sie in schnelle Entwicklungsprozesse zu integrieren.

Es ist kaum realistisch, auf jedem einzelnen nächtlichen Firmware-Build eine mehrstündige KI-Analyse auszuführen und trotzdem im geplanten Release-Zeitplan zu bleiben. Und selbst wenn man dies tun würde, könnten aufgrund der Nicht-Deterministik der Modelle von einem Tag auf den nächsten unterschiedliche Ergebnisse entstehen.

Keine Wunderwaffe: Warum KI Firmware nicht allein absichern kann

All das ist wichtig, weil es eine Realität verdeutlicht: LLMs sind leistungsstarke Werkzeuge, aber keine eigenständige Lösung für Firmware-Sicherheit. LLM-basierte Codeanalyse und klassische statische Analyse ergänzen sich gegenseitig, anstatt sich gegenseitig zu ersetzen. Die KI bringt kreative, kontextbezogene Schwachstellenerkennung mit, während traditionelle Werkzeuge für Vollständigkeit, Konsistenz und Skalierbarkeit sorgen. Um reale Produkte zu schützen, müssen wir die Stärken von KI nutzen und gleichzeitig ihre Schwächen ausgleichen.

Warum spezialisierte Tools wichtiger sind denn je

Genau hier wird eine spezialisierte Firmware-Sicherheitsplattform wie ONEKEY im Zeitalter der KI besonders wertvoll, da sie einen grundlegend deterministischen und skalierbaren Ansatz zur Firmware-Analyse verfolgt – also genau das bietet, was aktuellen LLM-Methoden fehlt.

Die Plattform analysiert automatisch die Firmware eines Geräts, erstellt daraus eine vollständige Software Bill of Materials (SBOM) und gleicht jede identifizierte Komponente mit bekannten Schwachstellendatenbanken wie der CVE-Datenbank ab. Zusätzlich werden die Binärdateien der Firmware mithilfe fortschrittlicher statischer Analysetechniken untersucht, um bekannte und unbekannte Schwachstellen sowie Sicherheitsprobleme zu identifizieren.

Wenn sich eine verwundbare Bibliothek oder Konfiguration in der Firmware befindet, erkennt eine klassische statische Analyseplattform diese zuverlässig durch binärbasierte Scans und Matching-Verfahren – unabhängig davon, wie groß oder komplex die Firmware ist. Es gibt dabei keine Zufälligkeit in den Ergebnissen: Dieselbe Firmware liefert jederzeit dieselben Findings, was essenziell für eine verlässliche Sicherheitsbasis ist.

Und im Gegensatz zu einem LLM überspringt ein klassisches Tool keine Bereiche, sondern analysiert systematisch das gesamte Firmware-Image und verschafft Security-Teams vollständige Transparenz darüber, was sich tatsächlich im Gerät befindet.

Mit dieser Transparenz ausgestattet, identifiziert die Plattform deterministisch alle bekannten Schwachstellen, die die enthaltenen Komponenten betreffen – und liefert diese Informationen im richtigen Kontext. Tatsächlich wurde ONEKEY speziell dafür entwickelt, das Rauschen zu reduzieren, das klassische Sicherheits-Scans häufig erzeugen.

Embedded-Entwickler werden oft mit langen Listen von CVEs aus generischen Scannern konfrontiert, von denen sich viele später als irrelevant oder bereits behoben herausstellen. Dieses Problem lässt sich durch versionsbewusste und binärspezifische Analysen vermeiden: Sie zeigen exakt, welche Schwachstellen tatsächlich relevant sind und warum – und filtern False Positives gezielt heraus.

Konkret bedeutet das: Wenn Ihre Firmware beispielsweise OpenSSL 1.1.1 enthält, zeigt ONEKEY präzise an, ob genau diese OpenSSL-Version bekannte CVEs enthält und sogar, ob die verwundbare Funktion tatsächlich genutzt wird. Dadurch können Security-Teams Schwachstellen deutlich besser priorisieren und gezielt beheben.

Jede Firmware-Version absichern: CI-Integration & kontinuierliches Monitoring

Ebenso wichtig ist, dass ONEKEY Automatisierung und Integrationen bietet, die sich nahtlos in reale Entwicklungsprozesse einfügen. Die Plattform kann direkt in CI/CD-Pipelines oder bestehende Entwickler-Toolchains integriert werden, sodass jede neue Firmware-Version automatisch analysiert wird und bekannte Schwachstellen bereits vor einem Release erkannt werden können.

Darüber hinaus überwacht ONEKEY die Sicherheit Ihrer Firmware kontinuierlich über den gesamten Lebenszyklus hinweg. Sobald eine Firmware-Version einmal analysiert wurde, werden Sie automatisch informiert, wenn künftig neue Schwachstellen bekannt werden, die diese Firmware betreffen – ermöglicht durch kontinuierlich aktualisierte Threat-Intelligence-Daten.

Gerade in der heutigen, hochdynamischen Bedrohungslandschaft ist diese Form des proaktiven Monitorings entscheidend. Wenn Modelle wie Mythos oder andere Systeme neue Schwachstellen identifizieren, möchten Unternehmen sofort wissen: Nutzen unsere Produkte betroffene Komponenten?

Unsere Plattform liefert diese Antwort auf einen Blick, da sie ein indexiertes Inventar aller Komponenten über sämtliche Produkte hinweg verwaltet und durch kontinuierliches Monitoring sowie regelmäßige Re-Analysen neu veröffentlichte Risiken unmittelbar erkennen kann.

In einer Zeit, in der Sicherheitsupdates innerhalb weniger Stunden entwickelt und ausgerollt werden müssen, wird eine solche zentrale Informationsquelle für Firmware-Schwachstellen unverzichtbar.

Teams müssen dadurch nicht mehr hektisch manuell SBOMs vergleichen oder bei jeder neuen Schwachstellenmeldung erneut umfangreiche Scans durchführen. Die Plattform übernimmt diese aufwendige Vorarbeit bereits im Hintergrund – sodass sich Security-Teams auf die eigentliche Behebung der Probleme konzentrieren können, statt Zeit mit deren Identifikation zu verlieren.

Der intelligente Einsatz von LLMs bei ONEKEY

Der deterministische Ansatz von ONEKEY bedeutet keineswegs, auf KI zu verzichten – im Gegenteil: Die Plattform integriert LLM-Funktionen gezielt dort, wo sie echten Mehrwert bieten, ohne dabei Zuverlässigkeit und Reproduzierbarkeit zu gefährden.

ONEKEY nutzt KI dabei bewusst als unterstützendes Werkzeug in zwei zentralen Bereichen:

• Erweiterte Firmware-Analyse: Wenn eine Firmware unbekannte oder verschleierte Komponenten enthält, kann ONEKEY gezielt ein LLM einsetzen, um diese genauer zu analysieren. Eine KI kann beispielsweise Muster wie Strings, Symbole oder Datei-Header innerhalb einer unbekannten Binärdatei untersuchen und daraus ableiten, um welche Bibliothek oder welches Modul es sich vermutlich handelt – also Software gewissermaßen auf menschenähnliche Weise „erkennen“. Dadurch ergänzt die KI die klassischen Binary-Fingerprinting-Methoden von ONEKEY und ermöglicht eine präzisere Identifikation von Komponenten. Darüber hinaus nutzt ONEKEY LLMs, um bekannte Schwachstellen genauer zu lokalisieren. Die KI analysiert dabei CVE-Beschreibungen und Referenzen, die beispielsweise konkrete Funktionsnamen oder Dateien erwähnen, und speichert diese Informationen in der Schwachstellendatenbank. Wenn ONEKEY anschließend eine verwundbare Komponente erkennt, kann überprüft werden, ob die tatsächlich betroffene Funktion oder Datei überhaupt in der analysierten Firmware vorhanden ist – etwa durch die Suche nach spezifischen Namen oder Code-Mustern. Wird der verwundbare Code nicht gefunden, erkennt ONEKEY, dass die Schwachstelle für diese Firmware höchstwahrscheinlich nicht relevant ist – also ein False Positive vorliegt – und kann den entsprechenden Fund zuverlässig herausfiltern. Diese KI-gestützte Verifikation hilft dabei, unnötiges Rauschen zu reduzieren und sicherzustellen, dass gemeldete Schwachstellen tatsächlich relevant für die analysierte Firmware sind.
• KI-gestützte Triage & Handlungsempfehlungen: Sobald potenzielle Schwachstellen identifiziert wurden, hilft KI dabei, die Ergebnisse verständlicher und besser umsetzbar zu machen. Ein LLM kann Findings priorisieren und zusammenfassen, indem es ähnliche Schwachstellen gruppiert, nach Ursache oder CWE klassifiziert und zusätzlich verständliche Erklärungen sowie konkrete Handlungsempfehlungen bereitstellt. Anstatt sich durch rohe Datenmengen arbeiten zu müssen, könnte ein Entwickler beispielsweise eine KI-generierte Zusammenfassung erhalten wie: „Buffer Overflow im Wi-Fi-Modul – gefunden im Beacon-Paket-Parser des Wi-Fi-Treibers. Ein Angreifer könnte dies durch das Senden eines manipulierten Beacon-Frames ausnutzen und dadurch einen Overflow verursachen. Empfohlen wird die Implementierung zusätzlicher Längenprüfungen vor der Paketverarbeitung.“ Diese kontextreichen Hinweise, die durch die KI generiert werden, machen die Behebung von Schwachstellen schneller und deutlich verständlicher. Darüber hinaus entwickelt ONEKEY derzeit einen chatbasierten KI-Assistenten für die Plattform, mit dem Entwickler die Analyseergebnisse direkt per natürlicher Sprache abfragen können. Engineers können beispielsweise Fragen stellen wie „Wie kritisch ist diese Schwachstelle?“ oder „Zeige mir alle Findings im Zusammenhang mit Verschlüsselung“ und erhalten sofort verständliche sowie leicht auswertbare Antworten. Auch mit Blick auf die Zukunft arbeitet das Research-Team an zusätzlichen KI-Agenten, die dabei unterstützen sollen, neue Schwachstellen auf sichere und reproduzierbare Weise zu identifizieren.

In all diesen Fällen nutzt ONEKEY KI als Verstärkung – nicht als Ersatz. Die Kernanalyse der Plattform bleibt konsistent und deterministisch: Sie erhalten jederzeit dieselben umfassenden SBOM- und Known-Vulnerability-Ergebnisse, während KI gezielt als intelligenter Assistent integriert wird. Alle KI-gestützten Funktionen arbeiten dabei innerhalb der Governance- und Sicherheitsmechanismen von ONEKEY, einschließlich Verfahren zur Minimierung von Halluzinationen, sodass die finalen Ergebnisse zuverlässig und nachvollziehbar bleiben. Besonders wichtig ist außerdem, dass die strukturierten Daten, die ONEKEY erzeugt – etwa extrahierte Komponenten, identifizierte Schwachstellen oder CVE-Kontexte – eine ideale Grundlage für weiterführende KI-gestützte Analysen und Zusammenfassungen bilden. Mit anderen Worten: ONEKEY schafft zunächst eine belastbare und verlässliche Faktenbasis, auf der KI anschließend sicher zusätzliche Erkenntnisse liefern kann. Dadurch kombiniert die Plattform das Beste aus beiden Welten für moderne Firmware-Sicherheit.

Fazit

Stellen Sie sich Ihre Firmware-Sicherheitsstrategie wie eine Festung vor. ONEKEY ist die massive Steinmauer und das solide Fundament dieser Festung – bewährt, darauf ausgelegt, bekannten Angriffen standzuhalten und jeden möglichen Zugangspunkt zuverlässig zu schützen.

LLMs wie Mythos sind dagegen eher ein brillantes neues Überwachungssystem oder ein umherziehender Wächter: Sie können außerhalb der Mauern nach versteckten Gefahren suchen und clevere Saboteure entdecken, die zuvor unbemerkt geblieben wären. Der Wächter kann auf neuartige Bedrohungen aufmerksam machen, doch letztlich sind es die stabilen Mauern – und die disziplinierten Wächter darauf – die Eindringlinge dauerhaft abwehren.

Niemand würde seine gesamte Verteidigung auf experimenteller, nicht-deterministischer Technologie aufbauen. Aber man würde sie nutzen, um die eigene Festung zu verstärken und zu verbessern.

Genauso verhält es sich mit LLMs in der Firmware-Analyse: Sie sind ein beeindruckendes unterstützendes Werkzeug. Sie können Dinge entdecken, die bislang übersehen wurden, und die Schwachstellenerkennung erheblich beschleunigen. Gleichzeitig bleiben sie jedoch unvorhersehbar und teuer – weshalb sie spezialisierte Sicherheitsplattformen nicht ersetzen werden. Stattdessen ergänzen sie diese.

ONEKEY verkörpert genau dieses Gleichgewicht: Die Plattform bietet ein belastbares Fundament für das Management von Firmware-Schwachstellen und integriert gleichzeitig KI-Unterstützung dort, wo sie echten Mehrwert liefert. Das Ergebnis ist ein zukunftssicherer Ansatz für Firmware-Sicherheit, der Zuverlässigkeit und Innovation miteinander verbindet.

Jenseits des Hypes zeigt sich die eigentliche Realität: KI wird die Identifikation von Schwachstellen deutlich einfacher machen – und Organisationen möglicherweise mit einer noch größeren Zahl an Sicherheitsproblemen konfrontieren. Gleichzeitig eröffnet sie aber auch neue Möglichkeiten, die Verteidigung zu verbessern.

Der entscheidende Punkt ist daher, LLMs verantwortungsvoll einzusetzen: Sie sollten ihre Stärken in Analyse und Kreativität ausspielen können, während deterministische Plattformen die Skalierbarkeit, Automatisierung und Sicherheit gewährleisten, die notwendig sind, damit keine kritische bekannte Schwachstelle übersehen wird.

Gemeinsam bilden beide Ansätze ein äußerst starkes Duo. In einer Zeit von Mythos und maschinell beschleunigten Exploits sorgt die umfassende Firmware-Analyse von ONEKEY für ein unverrückbares Fundament – kombiniert mit dem scharfen Blick moderner KI bedeutet das, dass keine Schwachstelle, ob alt oder neu, Unternehmen unvorbereitet treffen wird.

‍

Referenzen

1. How Large Language Models Automate Ghidra Firmware Analysis -Saptang Labs
2. Anthropic's Claude Mythos Uncovers a 27-Year-Old OpenBSD Bug
3. The “AI Vulnerability Storm”: Building a “Mythosready” Security Program (PDF)
4. Thousands of Zero-Days Are About to Go Public. Is Your WAF Ready? | WAFPlanet Blog