Erstmals knacken Hacker mit KI eine Sicherheitslücke, die kein Scanner entdeckt hätte. Laut Google verhinderte nur eigenes Monitoring einen Massenangriff.
Künstliche Intelligenz erleichtert längst das Verfassen von E-Mails, das Erstellen von Tabellen und die Urlaubsplanung. Das zeigt die enorme Verbreitung der verschiedensten KI-Modelle.
WERBUNG
WERBUNG
Sie macht es aber auch deutlich einfacher, bislang unbekannte oder kaum vorhersagbare Schwachstellen in Software aufzuspüren – das zeigt ein aktueller Bericht von Google.
Googles Threat Intelligence Group berichtet, sie habe erstmals Hacker dabei ertappt, wie sie KI nutzten, um eine sogenannte Zero-Day-Sicherheitslücke zu entdecken und auszunutzen – also eine Schwachstelle, von der der Hersteller noch nichts weiß und für die es noch keinen Patch gibt.
Im Visier stand ein weit verbreitetes webbasiertes Administrationswerkzeug. Der Fehler ermöglichte es, die Zwei-Faktor-Authentifizierung zu umgehen – jene zweite Sicherheitsebene, auf die sich viele Nutzer verlassen.
Google entdeckte den Angriff, bevor er sich im großen Stil ausrollen ließ, und informierte den Hersteller diskret.
„Die kriminellen Angreifer wollten die Lücke für eine breit angelegte Ausnutzung verwenden, doch unsere proaktive Gegenmaßnahme könnte das verhindert haben“, heißt es in dem Bericht.
„Bedrohungsakteure mit Verbindungen zur Volksrepublik China (VR China) und zur Demokratischen Volksrepublik Korea (DVRK) zeigen ebenfalls großes Interesse daran, KI für die Schwachstellensuche zu nutzen.“
Sicherheitslücke, die den Entwicklern entging
Die Zero-Day-Sicherheitslücke war keine herkömmliche Schwachstelle. Übliche Sicherheitsscanner suchen nach Abstürzen und Speicherfehlern – das ist in etwa so, als würde eine Rechtschreibprüfung nur nach Tippfehlern fahnden. Diese Lücke steckte jedoch tief in der Logik des Codes: eine feine, fest einprogrammierte Annahme des Entwicklers, die kein automatischer Scanner entdeckt hätte.
Es ist die Art von Fehler, bei der an der Oberfläche alles korrekt wirkt, die dahinterliegende Logik aber nicht stimmt. Vergleichbar mit einem Banktresor: Das Schloss funktioniert, doch wer von einer versteckten Ausnahmeregel weiß, kann ihn trotzdem öffnen – weil der Konstrukteur sie unbewusst eingebaut hat.
Genau solche Widersprüche kann KI besonders gut aufspüren. „Leistungsfähige Sprachmodelle sind hervorragend darin, solche übergeordneten Schwachstellen und statischen Anomalien im Code zu erkennen“, heißt es weiter.
Mit der komplexen Berechtigungslogik großer Unternehmen tun sich diese Modelle zwar noch schwer. „Sie entwickeln jedoch zunehmend die Fähigkeit zu kontextbezogenem Denken ... und [erkennen] die Widersprüche fest einprogrammierter Ausnahmen“, so das Fazit.
Dadurch können sie logische Fehler sichtbar machen, die für klassische Scanner völlig unauffällig wirken, aus Sicherheitssicht aber gravierende Schwachstellen darstellen.
Mehr als nur ein Trick
Die aufgedeckte Zero-Day-Sicherheitslücke ist nur der auffälligste Fund. Der gesamte Bericht liest sich dennoch beunruhigend.
Von China und Nordkorea gesteuerte staatliche Hackergruppen setzen KI inzwischen im industriellen Maßstab ein, um Schwachstellen zu jagen. Automatisierte Anfragen durchkämmen alles – von Heimroutern bis hin zu Firmennetzen.
Google beobachtete etwa eine nordkoreanische Gruppe, die „Tausende gleichartiger Eingaben verschickt, um verschiedene bekannte Schwachstellen (CVEs) immer wieder zu analysieren und Exploit-Beispiele zu überprüfen“. So entstehe nach Einschätzung der Experten „ein deutlich breiteres Arsenal an Angriffswerkzeugen, das sich ohne KI-Unterstützung kaum verwalten ließe“.
Gruppen mit Verbindungen zu Russland nutzen KI derweil, um Schadsoftware zu entwickeln, die sich ständig selbst umschreibt und so Erkennungssysteme umgeht. Für solche Techniken war bislang viel menschliches Spezialwissen nötig.
Auch Phishing verändert sich. Statt massenhaft generische E-Mails zu verschicken, setzen Angreifer KI ein, um Unternehmenshierarchien zu kartieren, gezielt Personen mit Zugriff auf sensible Daten zu identifizieren und „hochwertige Phishing-Köder für Nutzer mit administrativen Rechten“ zu erstellen, wie es in dem Bericht heißt. Diese Mails gehen weit über die üblichen, leicht zu erkennenden Massenangriffe hinaus.
Google warnt vor einem grundsätzlichen Wandel: KI fungiert nicht mehr nur als Forschungswerkzeug, sondern entwickelt sich zu einem aktiven Akteur im digitalen Schlagabtausch.
„Das Sprachmodell ist nicht länger nur passiver Ratgeber, sondern ein aktiver Teil der Angriffskette, der komplexe Werkzeuge steuern und taktische Entscheidungen in Maschinen-Tempo treffen kann.“
Immerhin: Die Zero-Day-Lücke meldeten Googles eigene KI-Werkzeuge, bevor ein größerer Schaden entstand. Der Konzern setzt inzwischen selbst KI-Agenten ein, die Sicherheitslücken aufspüren und schließen sollen – schneller, als es menschlichen Teams möglich wäre.