Gefahr durch künstliche Intelligenz: Google dokumentiert ersten KI-generierten Zero-Day-Exploit
Seit Jahren warnen Sicherheitsforscher:innen davor, dass KI-Systeme nicht nur von Verteidiger:innen, sondern auch von Angreifer:innen eingesetzt werden könnten. Googles Threat Intelligence Group (GTIG) hat nun erstmals einen konkreten Fall dokumentiert: Ein kriminelles Netzwerk nutzte ein KI-Modell, um eine Zero-Day-Sicherheitslücke zu entdecken und daraus einen funktionsfähigen Exploit zu entwickeln. Google unterbrach die Kampagne, bevor die Lücke für Massenangriffe ausgenutzt werden konnte, und informierte den betroffenen Anbieter.
Eine Schwachstelle, die klassische Scanner übersehen
Der Exploit zielte auf ein verbreitetes, webbasiertes Administrationswerkzeug und ermöglichte es, die Zwei-Faktor-Authentifizierung zu umgehen, sofern Angreifer:innen zuvor gültige Zugangsdaten erlangt hatten. Besonders aufschlussreich ist die Natur der Lücke: kein Pufferfehler, kein fehlerhaftes Input-Handling, sondern ein sogenannter semantischer Logikfehler. Entwickler:innen hatten im Code eine Vertrauensannahme fest hinterlegt, die die 2FA-Prüfung für bestimmte Fälle stillschweigend abschaltete. Klassische Analyse-Werkzeuge wie Fuzzer oder statische Scanner suchen nach Abstürzen und Eingabeproblemen, solche konzeptuellen Widersprüche erkennen sie kaum. Große Sprachmodelle hingegen lesen den Sinn des Codes und können genau diese Art von Inkonsistenz aufspüren.
Dass ein KI-System an der Werkzeugentwicklung beteiligt war, schloss GTIG aus dem Aufbau des Python-Skripts: erklärende Kommentare in Lehrbuchmanier, ein frei erfundener CVSS-Schweregrad und eine Codestruktur, die typisch für KI-Trainingsdaten ist.
Autonome Schadsoftware und staatliche Akteur:innen
Der Zero-Day-Fall ist nur ein Baustein des GTIG-Berichts. Forscher:innen aus China-nahen Gruppen setzen KI-Systeme ein, um Firmware von Netzwerkgeräten auf Sicherheitslücken zu durchsuchen. Dabei umgehen sie Sicherheitsfilter, indem sie das Modell per Prompt in die Rolle einer Sicherheitsexpertin schlüpfen lassen. Eine Gruppierung testete außerdem ein Werkzeug, das aus über 85.000 realen Schwachstellenberichten destillierte Angriffsmuster als Wissensgrundlage nutzt.
Auf russischer Seite beobachteten die Forscher:innen Schadsoftware, die KI-generierte Füllcode-Blöcke einsetzt, um Antivirensysteme zu täuschen: Harmloser, aber formal korrekter Code vermischt sich mit schadhaften Routinen, sodass automatische Scanner nichts Verdächtiges melden.
Besonders weit geht eine Android-Backdoor namens PROMPTSPY. Sie schickt den aktuellen Bildschirminhalt des Geräts als XML-Struktur an das Gemini-Modell und fragt zurück, wo genau auf dem Display ein Klick oder Wisch auszuführen ist. Das Schadprogramm handelt so auf dem Gerät, als säße jemand davor, kann PIN-Muster nachahmen und verhindert seine eigene Deinstallation durch eine unsichtbare Überblendung des entsprechenden Buttons.
KI als Angriffsziel
Neben dem Einsatz als Werkzeug wird KI selbst zur Zielscheibe. Im Frühjahr 2026 kompromittierte die Gruppe TeamPCP mehrere populäre Software-Repositories auf GitHub, darunter das KI-Gateway LiteLLM. Über manipulierte Pakete schleusten die Angreifer:innen einen Credential-Stealer ein, der Cloud-Schlüssel und API-Token abgriff. Wer ein solches Gateway betreibt, gewährt dem angebundenen Code weitreichenden Zugriff auf eigene KI-Systeme und Infrastruktur.
„Wir glauben, dass die Angreiferin oder der Angreifer ein KI-Modell genutzt hat, um diese Schwachstelle zu entdecken und zu einem Exploit zu entwickeln“, schreiben die GTIG-Autor:innen im Bericht. Als Gegenmittel entwickelt Google eigene KI-Agenten: Big Sleep sucht proaktiv nach Sicherheitslücken in Software, CodeMender patcht sie automatisch.
via Google
