Google bestätigt ersten Fall von Zero-Day-Schwachstellen, die mit KI für kriminelle Zwecke entdeckt wurden
Der GTIG AI Threat Tracker-Bericht von Google dokumentierte den ersten kriminellen Exploit, der mit KI erstellt wurde und die Zwei-Faktor-Authentifizierung umging. Er identifizierte auch autonome Android-Malware, die Gemini nutzt.
KI hat gelernt, Systeme zu knacken: Wie Google den ersten maschinell erstellten Zero-Day erwischte – und warum dies erst der Anfang ist
Das Fazit: Was wirklich passiert
Der 12. Mai 2026 wird in die Lehrbücher der Cybersicherheit eingehen als der Tag, an dem Detektivgeschichte Realität wurde. Die Threat Intelligence Group von Google veröffentlichte einen Bericht, der den ersten bestätigten Fall eines mit künstlicher Intelligenz erstellten Zero-Day-Exploits dokumentiert – nicht im Labor, nicht als Experiment, sondern innerhalb eines aktiven kriminellen Schemas, das auf die Massenausbeutung einer Schwachstelle in einem Open-Source-Systemverwaltungstool abzielte.
Die Geschichte ist sowohl banal als auch alarmierend. Eine ungenannte kriminelle Gruppe – mit einer Vorgeschichte von hochkarätigen Einbrüchen – nutzte ein großes Sprachmodell, um eine Schwachstelle zu finden und auszunutzen, die das Umgehen der Zwei-Faktor-Authentifizierung ermöglichte. Der Exploit sollte die Grundlage für ein „Massenausbeutungsereignis“ bilden, aber Google griff rechtzeitig ein: Die Schwachstelle wurde dem Entwickler gemeldet, und ein Patch wurde veröffentlicht, bevor der Angriff begann.
Warum Google zuversichtlich ist, dass die KI den Code geschrieben hat und nicht ein Mensch, ist entscheidend. Das Python-Skript enthielt „lehrreiche“ Docstrings in einem Lehrbuchstil, strukturierte Kommentare, die typisch für LLM-Ausgaben sind, und – am bezeichnendsten – eine halluzinierte CVSS-Bewertung, die das Modell erfand, anstatt sie aus einer echten Datenbank zu ziehen. Ein menschlicher Forscher schreibt solche Artefakte nicht. Es ist die Signatur der Maschine.
Zeitleiste und Kontext
Die Ereignisse vom Mai 2026 entstanden nicht im luftleeren Raum. Ihnen gingen Monate der Eskalation an allen Fronten voraus.
August 2025: ESET entdeckt PromptLock – die erste KI-gesteuerte Ransomware überhaupt, die generative Modelle nutzt, um Forderungen an das Opfer anzupassen. Die Branche sieht GenAI nicht als Entwicklungswerkzeug, sondern als Teil des ausführbaren Codes der Malware.
Januar 2026: Die ersten Proben des Android-Trojaners VNCSpy werden von Hongkong aus auf VirusTotal hochgeladen. Der Code ist noch primitiv – ein klassisches VNC-Backdoor ohne KI-Komponente.
Februar 2026: Nur einen Monat später ein qualitativer Sprung. PromptSpy taucht auf, eine Weiterentwicklung von VNCSpy, mit einem eingebauten Modul zur Interaktion mit Gemini. Die Malware nutzt jetzt die API von Google, um die Oberfläche des infizierten Geräts zu interpretieren und autonom über den Bildschirm zu navigieren. ESET erkennt Proben, die aus Argentinien hochgeladen wurden. Der Mechanismus funktioniert so: Der Trojaner macht einen XML-Dump des Bildschirms, sendet ihn an Gemini mit der Anweisung „Du bist ein Android-Automatisierungsassistent“, erhält eine JSON-Antwort mit Touch-Koordinaten und führt diese aus. Der Zyklus wiederholt sich, bis die Aufgabe erledigt ist.
Parallel dazu veröffentlicht Google seinen GTIG-Bericht vom Februar, der erstmals dokumentiert, dass staatlich unterstützte Gruppen aus der DVRK und der VR China KI in allen Phasen von Angriffen einsetzen – von der Aufklärung bis zur Post-Kompromittierung. Nordkoreas APT45 führt Tausende von Exploits durch KI zur Validierung und Skalierung des Arsenals aus.
März 2026: Die Gruppe TeamPCP kompromittiert LiteLLM – eine beliebte Gateway-Bibliothek für die Arbeit mit LLMs – durch vergiftete PyPI-Pakete und bösartige Pull-Requests. AWS- und GitHub-Anmeldeinformationen werden gestohlen und durch Ransomware-Partnerschaften monetarisiert. Dies ist ein neuer Vektor: Angriff nicht auf das Modell selbst, sondern auf die Integrationsebene darum herum.
Mai 2026: Der GTIG-Bericht, veröffentlicht am 12. Mai, kristallisiert das Bild. Neben dem Zero-Day dokumentiert er: die Verwendung von agentischen Tools wie OpenClaw durch die chinesische Gruppe UNC2814 zur kontinuierlichen Überwachung eines japanischen Technologieunternehmens; persona-getriebene Jailbreaks, um Pre-Auth-RCE-Schwachstellen in TP-Link-Firmware aus LLMs zu extrahieren; russische Einflussoperationen mit synthetischem Audio, das in echte Nachrichtensendungen eingebettet wurde.
Dies sind keine isolierten Vorfälle mehr, sondern ein Muster.
Wer gewinnt und wer verliert
Die Verlierer – offensichtlich – sind alle, die Web-Infrastruktur verwalten. Das Zeitfenster zwischen der Offenlegung einer Schwachstelle und dem Beginn von Angriffen verschwindet. Fortinet stellt in einem parallelen Bericht fest, dass Ausbeutungsversuche jetzt innerhalb von 24-48 Stunden nach der Offenlegung beginnen, verglichen mit einem Durchschnitt von 4,76 Tagen zuvor. Im letzten Jahr stieg die Zahl der Ransomware-Opfer um 389 % – von 1.600 auf 7.831. Dies ist eine Welt, in der Patchen am Tag der CVE-Veröffentlichung erfolgen muss, nicht innerhalb einer wöchentlichen SLA.
Das Open-Source-Ökosystem verliert. Der Angriff zielte auf ein Open-Source-Verwaltungstool. Die semantische Schwachstelle, die die KI fand, war ein logischer Fehler, bei dem der Entwickler eine Vertrauensannahme in den Authentifizierungsablauf eingebaut hatte, was einen Widerspruch zur 2FA-Logik erzeugte. Traditionelle Scanner suchen nach Pufferüberläufen und Race Conditions. Sie lesen Code nicht wie ein Mensch. LLMs lesen ihn genau so – und finden Fehler in der Absicht, nicht in der Syntax.
Telefonhersteller verlieren. PromptSpy benötigt keine spezifischen Koordinaten, um auf Android die Schaltfläche „An Pin heften“ zu drücken. Es fragt Gemini, und das Modell versteht: Bei Samsung erfolgt das Sperren von Apps mit einem langen Tippen; bei Xiaomi mit einem Wisch nach unten; bei Pixel mit einem Schlosssymbol. Dieselbe Malware funktioniert auf allen Geräten.
Google gewinnt. Ironischerweise profitiert das Unternehmen, dessen Gemini-Modell PromptSpy ausnutzt, von der gesamten Situation. GTIG baut Reputationskapital auf, indem es die Fähigkeit demonstriert, KI-gesteuerte Angriffe in einem frühen Stadium abzufangen. Schutzwerkzeuge wie Big Sleep zur Schwachstellenerkennung und CodeMender zur automatischen Patchen erhalten Nachweise für die Nachfrage.
Angreifer, die für Automatisierung bereit sind, gewinnen. Fortinet stellt fest: Brute-Force-Versuche gingen um 22 % zurück, aber Ausbeutungsversuche stiegen um 25,49 %. Dies ist kein Rückgang der Aktivität, sondern eine Verschiebung von Quantität zu Qualität. Der Zugang zu Werkzeugen wie WormGPT, FraudGPT und HexStrike AI senkt die Einstiegshürde, und durch Infostealer (RedLine, Lumma, Vidar) gestohlene Daten – jetzt 67 % aller im Dark Web verkauften Datensätze – liefern Treibstoff für gezielte Angriffe.
Was die Medien nicht sagen
Erkenntnis eins: Die Schwachstelle ist nicht technisch, sondern semantisch – und das ist das Kernproblem. In den gesamten dreißig Jahren der Cybersicherheitsbranche haben wir Abwehrmaßnahmen rund um das Auffinden von Syntaxfehlern aufgebaut. Fuzzer suchen nach Abstürzen. Statische Analyzer suchen nach Mustern. Keiner bemerkt einen logischen Widerspruch zwischen der Absicht des Programmierers und der Implementierung. LLMs bemerken ihn – weil sie Semantik, Kontext, Absicht sehen. Das bedeutet, dass es in jedem Projekt mit einer Geschichte von mehr als fünf Jahren unbemerkte logische Schwachstellen gibt, die kein traditionelles Werkzeug sehen kann. Der KI-entdeckte Zero-Day ist keine Ausnahme; es ist der Beginn eines Goldrauschs.
Erkenntnis zwei: Die Verwendung von KI für kriminelle Zwecke macht Malware unberechenbar und daher für Antiviren unsichtbar. Traditionelle Antiviren suchen nach Signaturen, Verhaltensmustern, bekannten Sequenzen von API-Aufrufen. Aber wenn jede Instanz von PromptSpy dynamisch Entscheidungen basierend auf LLM-Antworten trifft, variiert ihr Verhalten innerhalb von Grenzen, die von keiner denkbaren Regelbasis abgedeckt werden. ESET erwischte PromptSpy aufgrund eines Debug-Flags im Code. Beim nächsten Mal wird das Flag entfernt, und die Erkennung wird um Größenordnungen schwieriger.
Erkenntnis drei: Das Ziel ist nicht das Werkzeug, sondern die KI selbst. Der TeamPCP-LiteLLM-Angriff offenbart ein neues Bedrohungsmodell. Die Kompromittierung einer Gateway-Bibliothek ermöglicht das Abfangen von Anmeldeinformationen aller, die LLMs über dieses Tool nutzen. Dies ist ein Supply-Chain-Angriff auf die Infrastruktur rund um Modelle. Wenn ein Angreifer Zugriff auf die API-Schlüssel eines LLM-Anbieters erhält, kann er das kostenpflichtige Abonnement eines anderen nutzen, um seine eigenen Angriffe zu skalieren und dabei seine Spuren vollständig zu verwischen. GTIG sagt explizit: Angreifer entwickeln professionelle Middleware für den anonymen Zugriff auf Premium-Modelle mit automatischer Kontenrotation.
Erkenntnis vier: Der erste dokumentierte Zero-Day ist ein Fehler der Kriminellen, kein Triumph der Verteidigung. Google fand den Exploit aufgrund von Artefakten der Unerfahrenheit: eine halluzinierte CVSS, „lehrreiche“ Kommentare. Nachfolgende Iterationen werden diese Marker nicht enthalten. Fälle der Verwendung von OpenClaw zur Verfeinerung KI-generierter Exploits in kontrollierten Umgebungen vor dem Einsatz wurden bereits dokumentiert. Dies ist Industrialisierung: Das LLM schreibt einen Entwurf, ein Mensch überprüft und bereinigt Artefakte.
Prognose: Die nächsten 30 Tage und 90 Tage
30 Tage (bis Mitte Juni 2026). Die Veröffentlichung des Google-Berichts wird eine Welle von Audits in der Open-Source-Branche auslösen. Projekte, die Web-Administrationsschnittstellen verwalten, werden beginnen, Fehlerberichte eines ungewöhnlichen Typs zu erhalten: „KI fand einen logischen Widerspruch in Zeile 847.“ Entwickler von Mainstream-Projekten (Jenkins, Grafana, GitLab) werden interne Überprüfungen speziell für semantische Schwachstellen einleiten – die Klasse, nach der zuvor niemand systematisch gesucht hat.
Gleichzeitig wird in Underground-Foren eine Neubewertung stattfinden. Fertige Exploits mit „Halluzinationen“ im Code werden rabattiert, während die Nachfrage nach Spezialisten wächst, die KI-generierten Code von Artefakten bereinigen können. Eine neue Mikrospezialisierung wird im kriminellen Ökosystem entstehen: „KI-Exploit-Sanitizer.“
Ich erwarte, dass innerhalb von 30 Tagen mindestens ein großer Anbieter (Microsoft, Cisco oder Palo Alto) die Aufnahme LLM-basierter semantischer Analyse in seine Code-Scanner ankündigen wird. Dies wird eine direkte Reaktion auf die von GTIG beschriebene Bedrohung sein.
90 Tage (bis Mitte August 2026). Semantische Schwachstellen werden zu einem Mainstream-Vektor. Heute spricht nur Google darüber. In drei Monaten werden unabhängige Forschungen von FireEye, CrowdStrike und akademischen Gruppen erscheinen, die Arten von logischen Fehlern katalogisieren, die LLMs besser finden als Menschen. Bis August werden mindestens 5-7 mit KI entdeckte CVEs dokumentiert sein – sowohl von Verteidigern als auch von Angreifern.
Im Sommer 2026 werden auf der Black Hat und der DEF CON das Thema der KI-gesteuerten Schwachstellenerkennung die Agenda dominieren. Ich erwarte mindestens eine Präsentation, die eine automatisierte Pipeline demonstriert: Ein LLM findet eine Schwachstelle, ein agentisches Framework generiert einen Exploit, ein weiterer Agent bereinigt Artefakte, und ein dritter führt den Angriff aus. Nicht als Proof-of-Concept, sondern als funktionierende Kette.
Der unangenehmste Teil: Das Monetarisierungsmodell für gestohlene Daten wird sich endgültig in Richtung KI-Analyse verschieben. Infostealer liefern bereits 67 % des Inhalts von Dark-Web-Datenbanken. Hinzu kommt die automatische Kategorisierung und Priorisierung von Opfern mittels LLMs: „Hier ist ein Unternehmen mit offenem RDP und veraltetem vCenter – Wahrscheinlichkeit einer Lösegeldzahlung 78 %, empfohlener Betrag 400.000 $.“ Dies wird Ransomware auf eine neue Stufe wirtschaftlicher Effizienz heben.
Fazit. Der 12. Mai 2026 dokumentierte, wovor jahrelang gewarnt wurde: der erste KI-generierte Zero-Day. Aber dies ist nicht die Ziellinie; es ist der Start. Das Rennen hat begonnen – und Verteidiger werden lernen müssen, wie LLMs zu denken, um diejenigen zu überholen, die es bereits tun. John Hultquist von GTIG brachte es auf den Punkt: „Es gibt ein Missverständnis, dass das KI-Schwachstellenrennen unvermeidlich ist. Die Realität ist, dass es bereits im Gange ist. Für jeden Zero-Day, den wir auf KI zurückführen können, gibt es wahrscheinlich viele andere, die wir nicht sehen.“
— Editorial Team
Noch keine Kommentare.