KI-SicherheitSchwachstellenCyberkriminalität

Google entdeckt erste KI-generierte Zero-Day-Lücke im Einsatz gegen Zwei-Faktor-Authentifizierung

Von CyberDeutsch Redaktion
Google entdeckt erste KI-generierte Zero-Day-Lücke im Einsatz gegen Zwei-Faktor-Authentifizierung
Zusammenfassung

Ein Wendepunkt in der Cyberkriminalität zeichnet sich ab: Google hat erstmals einen Zero-Day-Exploit nachgewiesen, der mithilfe künstlicher Intelligenz entwickelt wurde. Eine prominente Cybercrime-Gruppe nutzte AI-Modelle, um eine Sicherheitslücke in einem Open-Source-Verwaltungstool zu entdecken und auszunutzen – gezielt konzipiert, um Zwei-Faktor-Authentifizierung zu umgehen. Laut Googles Threat Intelligence Group basiert der Python-basierte Exploit auf typischen Merkmalen von Large Language Models, enthält sogar halluzinierte CVSS-Scores und weist die strukturierte Formatierung auf, die für KI-generierte Code charakteristisch ist. Besonders beunruhigend ist ein globales Muster: Chinesische und nordkoreanische staatliche Akteure experimentieren systematisch mit KI-gestützten Angriffen. Während chinesische Gruppen wie UNC2814 spezialisierte Tools zur Vulnerability-Recherche einsetzen, nutzt die nordkoreanische APT45-Gruppe KI-Prompting in großem Maßstab, um tausende CVEs zu analysieren. Für Deutschland und Europa ist dies ein kritisches Signal: Die Professionalisierung von Cyber-Angriffen durch KI erhöht die Bedrohung für Unternehmen, Behörden und kritische Infrastrukturen erheblich. Die effizientere Entwicklung von Exploits könnte zu einer Beschleunigung von Angriffszyklen führen.

Die Entdeckung zeigt ein besorgniserregendes Muster: Staatlich geförderte Hackergruppen aus China und Nordkorea nutzen bereits systematisch KI-Werkzeuge für ihre Angriffskampagnen. Google dokumentierte, wie chinesische Akteure agentengesteuerte Tools wie Strix und Hexstrike gegen japanische Technologieunternehmen und ostasiatische Cybersicherheitsfirmen einsetzten. Die chinesische Gruppe UNC2814, bekannt für Angriffe auf Telekommunikations- und Regierungsorganisationen, nutzte sogar einen “Persona-getriebenen Jailbreak”, bei dem das KI-Modell angewiesen wird, als Senior Security Auditor zu agieren – um damit Sicherheitslücken in eingebetteten Systemen wie TP-Link-Firmware zu analysieren.

Besonders bemerkenswert ist die Taktik der nordkoreanischen Gruppe APT45: Sie versendete tausende repetitive Prompts, um CVEs rekursiv zu analysieren und Proof-of-Concept-Exploits zu validieren. Dies ermöglicht es ihnen, ein robusteres Arsenal von Exploits aufzubauen, das ohne KI-Unterstützung praktisch unmöglich zu bewältigen wäre.

Was macht diese Exploit-Kampagne so bemerkenswert? Das Python-Skript enthält zahlreiche ausführliche Docstrings – inklusive einer “halluzinierten” CVSS-Bewertung – und folgt einem strukturierten, lehrbuchartigen Python-Format, das typisch für Trainingsdaten von Large Language Models ist. Dies zeigt, dass KI-Modelle nicht nur zur Code-Generierung genutzt werden, sondern auch zur Vulnerability Discovery.

Für deutsche Organisationen hat diese Entwicklung konkrete Implikationen: Ein erfolgreicher Exploit auf eine 2FA-Umgehung könnte zu massiven Datenverletzungen führen. Nach DSGVO müssen betroffene Unternehmen solche Vorfälle dem Bundesbeauftragten für Datenschutz (BfDI) und möglicherweise Aufsichtsbehörden melden. Bei größeren Unternehmen drohen Bußgelder bis zu 4 Prozent des weltweiten Jahresumsatzes.

Google betonte, dass die Zusammenarbeit mit dem betroffenen Softwareanbieter bereits Maßnahmen eingeleitet hat, um Massenexploitationen zu verhindern. Der Bericht behandelt auch autonome Malware-Operationen, KI-gestützte Verteidigungsvermeidung und Supply-Chain-Attacken. Die zentrale Botschaft ist klar: Die Cybersicherheitslandschaft verändert sich fundamental. Organisationen müssen ihre Defensivstrategien grundlegend überdenken und nicht nur inkrementell anpassen.

Ähnliche Artikel