Die größten Sicherheitslücken im heutigen KI-Ökosystem

Künstliche Intelligenz versprach in diesem Jahr einen deutlichen Produktivitätsschub, insbesondere als agentenbasierte Systeme begannen, in alltägliche Geschäftsprozesse einzuziehen.

Doch die Geschwindigkeit der Einführung legte zugleich eine wachsende Angriffsfläche offen – eine, auf die viele Organisationen nach Einschätzung von Sicherheitsforschern nicht vorbereitet waren.

Im Verlauf des Jahres 2025 dokumentierten Forscher eine Reihe von KI-bezogenen Sicherheitsrisiken, von denen einige bereits aktiv ausgenutzt wurden, während andere in kontrollierten Angriffen demonstriert wurden.

Zusammengenommen zeichnen sie das Bild eines Ökosystems, das seinen Abwehrmechanismen davonläuft.

Schattenwerkzeuge breiten sich aus

Eine der unmittelbarsten Risiken ging nicht von hochentwickelten Angriffen aus, sondern von alltäglichem Verhalten innerhalb von Unternehmen. Mitarbeitende nutzten zunehmend KI-Tools ohne Genehmigung, häufig ohne zu verstehen, wie ihre Daten gespeichert oder verarbeitet wurden.

Von Forschern zitierte Umfragen zeigten, dass nahezu die Hälfte der Beschäftigten in den USA und im Vereinigten Königreich nicht autorisierte KI-Tools verwendete, während viele über keinerlei grundlegendes Wissen zu Datenverarbeitungspraktiken verfügten.

Laut dem Bericht 2025 State of Cloud Security von Orca Security nutzen inzwischen 84 Prozent der Organisationen KI-Tools in der Cloud, und 62 Prozent hatten mindestens ein verwundbares KI-Paket im Einsatz.

Die Cloud Security Alliance berichtete separat, dass ein Drittel der Organisationen einen Cloud-Datenverstoß erlebt habe, der eine KI-Arbeitslast betraf – häufig infolge von Fehlkonfigurationen oder schwacher Authentifizierung.

Schwachstellen in vertrauenswürdiger KI-Software

Selbst weit verbreitete KI-Plattformen blieben nicht verschont. Im Laufe des Jahres legten Forscher Schwachstellen in populären KI-Frameworks offen und beobachteten in einigen Fällen deren aktive Ausnutzung.

Dazu zählten Remote-Code-Execution-Lücken in Open-Source-Tools wie Langflow und Ray, Schwächen in OpenAIs Codex CLI sowie Sicherheitsprobleme bei Inferenzservern von Nvidia, Meta, Microsoft und Open-Source-Projekten wie vLLM und SGLang. Die Ergebnisse unterstrichen, wie schnell KI-Werkzeuge Teil kritischer Infrastruktur geworden sind.

Vergiftete Lieferketten

Auch die Entwicklungs-Pipelines für KI gerieten ins Visier. Forscher von ReversingLabs berichteten, dass sie Schadsoftware entdeckt hätten, die in auf Hugging Face gehosteten KI-Modellen versteckt war, sowie manipulierte Python-Pakete, die sich als legitime KI-SDKs ausgaben.

In beiden Fällen missbrauchten Angreifer das Serialisierungsformat Pickle von Python, das häufig mit PyTorch-Modellen verwendet wird, um bösartigen Code zu verbergen. Die Vorfälle verdeutlichten das wachsende Risiko von Lieferkettenangriffen, die sich direkt gegen KI-Entwickler richten.

Gestohlene KI-Zugangsdaten

Eine weitere aufkommende Bedrohung betraf den Diebstahl von Zugangsdaten, die für den Zugriff auf große Sprachmodelle über kostenpflichtige APIs genutzt werden – eine Praxis, die Forscher als „LLMjacking“ bezeichneten.

Microsoft reichte 2025 eine Zivilklage gegen eine Gruppe ein, der vorgeworfen wird, LLM-Zugangsdaten gestohlen und den Zugriff an andere Kriminelle weiterverkauft zu haben. Forscher warnten, dass der Missbrauch leistungsfähiger Modelle für Betroffene Kosten von über 100.000 US-Dollar pro Tag verursachen könne, wenn ihre Zugangsdaten kompromittiert werden.

Prompts gegen Systeme gewendet

Prompt-Injection-Angriffe blieben eine der am weitesten verbreiteten KI-spezifischen Bedrohungen. Da Sprachmodelle nicht zuverlässig zwischen Anweisungen und Daten unterscheiden, kann bösartiger Text in E-Mails, Dokumenten oder Webseiten als Befehl interpretiert werden.

Forscher demonstrierten derartige Angriffe bei Coding-Assistenten, KI-Agenten, Browsern und Chatbots, darunter Produkte von GitHub, Google, Microsoft, OpenAI, Salesforce und Anthropic. In den schwerwiegendsten Fällen konnten Angreifer Daten exfiltrieren oder verbundene Werkzeuge missbrauchen.

Das MCP-Problem

Abschließend warnten Forscher vor der raschen Verbreitung von Model-Context-Protocol-Servern, die es KI-Systemen ermöglichen, mit externen Tools und Datenquellen zu interagieren.

Da inzwischen zehntausende MCP-Server online sind, warnten Sicherheitsteams, dass bösartige oder unzureichend abgesicherte Server Code-Injektionen, Prompt-Hijacking oder unbefugten Zugriff ermöglichen könnten. Demonstrationen zeigten, wie manipulierte MCP-Server Entwicklungsumgebungen kompromittieren konnten, indem sie schädlichen Browser-Code einschleusten.

Quellen: CSOOnline, Orca Security, OpenAI