Google entdeckt ersten von KI entwickelten Zero-Day-Exploit

Google hat den ersten bekannten Fall eines Zero-Day-Exploits bestätigt, der mithilfe von künstlicher Intelligenz entwickelt wurde. Die Threat Intelligence Group des Unternehmens, GTIG, veröffentlichte am 11. Mai 2026 ihren „AI Threat Tracker“-Bericht. Dieser beschreibt detailliert, wie eine namhafte Cyberkriminellen-Gruppe ein KI-Modell nutzte, um eine Sicherheitslücke in einem beliebten Open-Source-Webadministrationstool zu identifizieren und auszunutzen. Die Schwachstelle umging die Zwei-Faktor-Authentifizierung. Google arbeitete mit dem betroffenen Anbieter zusammen, um die Lücke zu schließen, und geht davon aus, dass dieses Eingreifen die geplante Massenangriffskampagne der Gruppe noch vor ihrem Start unterbunden hat.

GTIG gab an, mit hoher Gewissheit davon auszugehen, dass ein KI-Modell und kein menschlicher Sicherheitsforscher das Python-Exploit-Skript geschrieben hat. Der Code verriet es: Er enthielt eine Fülle lehrreicher Docstrings, einen halluzinierten CVSS-Schweregrad, detaillierte Hilfemenüs sowie einen sauberen, strukturierten Formatierungsstil, der für Trainingsdaten großer Sprachmodelle charakteristisch ist. Das sind Dinge, die ein Mensch beim Schreiben eines Angriffswerkzeugs nicht einbauen würde.

Die Zielschwachstelle selbst war ein semantischer Logikfehler: Ein Entwickler hatte eine Vertrauensannahme fest in den Authentifizierungsablauf einprogrammiert. Dadurch entstand ein Widerspruch zur Logik, mit der die Zwei-Faktor-Authentifizierung erzwungen wird. Traditionelle Sicherheitsscanner übersahen diesen Fehler, die KI entdeckte ihn jedoch offenbar, indem sie die Absicht des Entwicklers erfasste, statt den Code nur mechanisch zu analysieren. Dem Bericht zufolge wurden von den Angreifern weder Googles eigene Gemini-Modelle noch Anthropics Mythos verwendet.

Warum es fast funktionierte – und warum nicht

Die Angreifer planten eine Massenangriffskampagne, bei der das Open-Source-Werkzeug im großen Stil mit dem KI-generierten Exploit ins Visier genommen werden sollte. Die proaktive Entdeckung durch GTIG scheint diesen Plan durchkreuzt zu haben, bevor er an Fahrt gewinnen konnte. Auch Fehler bei der Implementierung des Exploits dürften die Angreifer behindert haben. „Der unangenehme Punkt für alle anderen ist, dass dies offenbar immer noch die unbeholfene Frühphase ist“, stellte The Register in seiner Berichterstattung fest.

Fehler bei der Ausführung retteten dieses Mal viele potenzielle Opfer. Das muss nicht so bleiben. GTIG-Chefanalyst John Hultquist brachte es auf den Punkt: „Es gibt den Irrglauben, das KI-Schwachstellen-Wettrüsten stünde uns erst noch bevor. In Wirklichkeit hat es bereits begonnen. Auf jeden Zero-Day, den wir auf KI zurückführen können, kommen da draußen wahrscheinlich noch viele weitere.“

Der semantische Logikfehler im Kern des Exploits deutet auf etwas Besorgniserregenderes hin als auf einen Einzelfall. Traditionelle Scanner sind darauf ausgelegt, Sinks, Abstürze und Speicherbeschädigungen zu erkennen. Sie lesen Code nicht so, wie ein Entwickler ihn schreibt. LLMs tun das. Sie können Absicht und Implementierung miteinander in Beziehung setzen, Widersprüche zwischen Design und Ausführung erkennen und schlummernde Logikfehler aufdecken, die für jedes derzeit eingesetzte automatisierte Werkzeug funktional korrekt aussehen. GTIG beschrieb dies als eine zunehmende Fähigkeit, der traditionelle Sicherheitswerkzeuge strukturell nur schlecht begegnen können.

Das Gesamtbild aus dem GTIG-Bericht

Der Zero-Day-Fall ist Teil eines größeren Musters, das der Bericht dokumentiert. Die nordkoreanische Gruppe APT45 hat Tausende sich wiederholende Prompts an KI-Modelle gesendet, um Schwachstellen rekursiv zu analysieren und ein Exploit-Arsenal in einem Umfang aufzubauen, der manuell kaum praktikabel wäre. Ein mit China in Verbindung gebrachter Akteur, identifiziert als UNC2814, nutzte Jailbreak-Prompts mit Expertenpersona, um Gemini dazu zu bringen, Schwachstellen zur Remotecodeausführung vor der Authentifizierung in TP-Link-Router-Firmware zu untersuchen.

Russische Gruppen haben KI-generiertes Audio verwendet, das in echtes Nachrichtenmaterial hineingeschnitten wurde, um Einflussoperationen durchzuführen. Separat davon dokumentierte GTIG Android-Backdoors, die Gemini-API-Aufrufe nutzen, um infizierte Geräte autonom zu steuern, sowie Malware-Familien, die gezielt mit KI-generiertem Code aufgebläht wurden, um Analysen zu erschweren. Im März 2026 kompromittierte die kriminelle Gruppe TeamPCP LiteLLM, eine weit verbreitete KI-Gateway-Bibliothek, indem sie über manipulierte PyPI-Pakete und bösartige Pull Requests einen Credential-Stealer einschleuste.

Die gestohlenen AWS-Schlüssel und GitHub-Token wurden über Ransomware-Partnerschaften zu Geld gemacht. Der Angriff zielte auf die Integrationsschicht rund um KI-Systeme ab, nicht auf die Modelle selbst – ein Muster, das laut GTIG zum Standard wird. Frontier-Modelle sind direkt nur schwer zu kompromittieren. Die Konnektoren, Wrapper und API-Schichten um sie herum sind es nicht.

KI wird von Angreifern nicht nur als Waffe eingesetzt, sondern auch als Köder genutzt. Notebookcheck berichtete, wie eine gefälschte Claude-AI-Website in der vergangenen Woche die Beagle-Windows-Backdoor über gesponserte Google-Suchergebnisse verbreitete. Dabei wurde ein trojanisiertes Installationsprogramm verwendet, um ein Fernzugriffswerkzeug einzuschleusen, das auf Entwickler abzielte, die nach Claude-Code-Werkzeugen suchten.