Sicherheitsforscher der Cloud-Security-Firma Wiz haben bei umfangreichen Tests festgestellt, dass praktisch alle großen KI-Plattformen auf mehreren Schichten des KI-Stacks verwundbar sind – nicht nur durch Prompt-Injections, sondern vor allem durch unsichere Infrastruktur.
Die Sicherheitsforscher Hillai Ben Sasson und Dan Segev von Wiz wollten vor zwei Jahren die Schwachstellen in KI-Infrastrukturen erforschen. Das Ergebnis ihrer Arbeit überraschte sie jedoch erheblich: Sie konnten praktisch jede namhafte KI-Plattform kompromittieren, die sie angriffen.
Was als einfache Angriffe auf die KI-Lieferkette begann – etwa durch die Misshandlung des weit verbreiteten Pickle-Formats zur Ausführung von beliebigem Code – entwickelte sich zu einer umfassenden Bedrohungsanalyse über fünf verschiedene Schichten des KI-Stack. Ihre Erkenntnisse werden sie im März auf der RSAC Conference präsentieren.
Die zentrale Botschaft der Forscher: Der Fokus sollte auf der Sicherung der Infrastruktur zum Trainieren, Betreiben und Hosten von KI-Systemen liegen – nicht allein auf Prompt-Injection-Angriffen. “Neue Technologien werden täglich eingeführt, doch sie bringen erhebliche Sicherheitslücken auf der Infrastruktur-Ebene mit sich”, erklärt Segev, Security Architect im Office of the CTO bei Wiz. Wer diese fundamentalen Sicherheitsaspekte ignoriere, verpasse das Gesamtbild.
Diese Warnung kommt zu einem kritischen Zeitpunkt: 83 Prozent der Chief Information Security Officers (CISOs) sind laut dem 2026 CISO AI Risk Report besorgt über den Zugriff von KI-Systemen auf ihre Unternehmensinfrastruktur. 71 Prozent gehen davon aus, dass KI Zugang zu kritischen Geschäftssystemen hat, und haben bereits nicht autorisierte KI-Tools in ihren Umgebungen entdeckt.
Das rasante Entwicklungstempo in der KI-Branche führt dazu, dass Sicherheit gegenüber Geschwindigkeit zu kurz kommt – eine Wiederholung alter Fehler. Das Pickle-Format ist ein Paradebeispiel: Es vermischt Daten und Code, was es Angreifern ermöglicht, manipulierte Modelle als Malware-Träger einzuschleusen.
Die Forscher entwickelten ein fünfschichtiges Bedrohungsmodell, das den gesamten KI-Lebenszyklus abdeckt:
Trainingsphase: Datenlecks darstellen das größte Risiko. 2023 meldete Wiz, dass eine zu permissive Freigabelink 38 Terabyte an Trainingsdaten von Microsoft offenlegte.
Inferenz-Phase: Bei der Interaktion mit Modellen entdeckten die Forscher zahlreiche Schwachstellen in Produktionssystemen wie DeepSeek und Ollama.
Anwendungsebene: Hier fanden sich nicht nur Prompt-Injection-Anfälligkeit, sondern auch kritische Flaws in Low-Code-Plattformen wie Base44. “Fast jede dieser Plattformen konnten wir in Minuten hacken”, berichtet Segev.
Cloud-Infrastruktur: Schwachstellen in KI-Cloud-Diensten gefährden alle gehosteten Modelle und Kunden dieser Plattformen.
Hardware-Ebene: Besonders bemerkenswert: Wiz entdeckte Sicherheitslücken in NVIDIAs Triton Inference Server, die verkettbar waren, um unauthentifizierten Angreifern vollständigen Zugriff zu verschaffen. “Eine Schwachstelle in einer universell genutzten Bibliothek bedeutet Anfälligkeit für jeden Cloud-Provider, jede KI-Anwendung”, warnt Ben Sasson.
Schnelle Lösungen sind nicht in Sicht, da viele Probleme außerhalb der eigenen Kontrolle liegen. Segev plädiert für kontinuierliche Sicherheitsüberwachung durch Security-Agenten statt des klassischen “Implementieren und Vergessen”-Ansatzes. Nur so könnten regelmäßige Compliance-Checks als integraler Bestandteil des KI-Ökosystems etabliert werden. Mit der zunehmenden Raffinesse von Angriffen bleibt Unternehmen kaum Zeit, Schwachstellen auszusitzen – Minuten können entscheidend sein.
Quelle: Dark Reading