Segev hält Prompt Injection ausdrücklich für einen neuartigen Angriffsvektor, warnt aber vor einer Verengung des Blicks. Ständig kämen neue Technologien und Dienste hinzu — als Beispiel nennt er das Model Context Protocol (MCP) —, die mit zahlreichen Schwachstellen auf der Infrastrukturebene eingeführt würden. Wer die Grundlagen der Sicherheit und das Bedrohungsmodell ignoriere, verfehle das große Ganze.

Laut dem 2026 CISO AI Risk Report sind 83 Prozent der befragten Sicherheitsverantwortlichen (CISOs) über das Ausmaß des Zugriffs besorgt, den KI auf die Systeme ihres Unternehmens hat. 71 Prozent gehen davon aus, dass KI Zugriff auf zentrale Geschäftssysteme hat, und sie haben nicht freigegebene KI-Werkzeuge in ihren Umgebungen entdeckt. Das hohe Entwicklungstempo führe dazu, dass Firmen unsichere Produkte überstürzt auf den Markt bringen und alte Fehler wiederholen, indem sie Geschwindigkeit über Sicherheit stellen, so Segev.

Als Beispiel dient das Pickle-Format, das häufig zur Speicherung von Modellgewichten dient. Da es Daten und Code vermischt, können manipulierte Pickle-Dateien ohne Weiteres Schadsoftware auf Systemen ausführen. Weil viele Formate und Infrastrukturbausteine von Datenforschern stammten, sei bei den meisten Entscheidungen weder eine Bedrohungsmodellierung noch ein Sicherheitsfokus eingeflossen, sagt Ben Sasson, Senior Security Researcher bei Wiz. KI-Modelle und Modellformate hätten oft schon konstruktionsbedingt Schwachstellen — das habe die Forscher zu dem Versuch bewogen, manipulierte Modelle bei allen großen KI-Anbietern auszurollen.

Daraus entstand ein Bedrohungsmodell mit fünf Ebenen entlang des KI-Lebenszyklus. Die erste ist das Modelltraining, wo Datenabfluss das größte Risiko darstellt: 2023 berichtete Wiz, dass ein zu großzügig konfigurierter Freigabelink den Zugriff auf einen 38 Terabyte großen Datenspeicher erlaubte, den Microsoft zum Training seiner Modelle nutzte.

Auf der zweiten Ebene, der Inferenz, bei der Nutzer mit den Modellen interagieren, fanden die Wiz-Forscher zahlreiche Schwachstellen in produktiven Modellen wie DeepSeek und Diensten wie Ollama. Die dritte, die Anwendungsebene, umfasst Prompt Injection, aber auch Probleme mit Vibe-Coding-Plattformen wie Base44, wo eine Schwachstelle Angreifern Zugriff auf beliebige private Unternehmensanwendungen ermöglicht hätte. Nahezu jede Vibe-Coding-App, die sie sich vornahmen, hätten sie binnen Minuten knacken können, sagt Segev.

Die vierte Ebene bilden die KI-Clouds, die Modelle und Anwendungen hosten: Wer die KI-Cloud kompromittiere, kompromittiere damit alle Kunden dieser Cloud, so Ben Sasson. Auf der fünften Ebene, der Hardware und den zugrunde liegenden Systemen, fanden die Forscher Schwachstellen in NVIDIAs Triton Inference Server, die sich verketten ließen, sodass ein nicht authentifizierter Angreifer vollständigen Zugriff auf das KI-Modell hätte erlangen können. Diesen Fund bezeichnet Ben Sasson als den spektakulärsten — eine einzige Schwachstelle in einer Bibliothek, die von praktisch jedem Cloud-Anbieter und jeder KI-Anwendung genutzt werde.

Schnelle Lösungen sieht Segev nicht, zumal viele Probleme in fremder Hand lägen. Wiz setzt nach seinen Angaben einen Sicherheits-Agenten ein, der Code, Dienste und Anwendungen regelmäßig überprüft. Statt nach dem Prinzip “implementieren und vergessen” könnten solche Agenten laufende Konformitätsprüfungen einbringen, während Teile des KI-Ökosystems entstehen. Angreifer würden so versiert, dass Unternehmen es sich nicht leisten könnten, Schwachstellen lange offen zu lassen — es dauere nur Minuten bis zur Ausnutzung.