Die Entdeckung durch Googles Threat Intelligence Group (GTIG) markiert einen Wendepunkt in der Cyberbedrohungslandschaft. Die Analyse der Exploits zeigte einen Python-Script mit klassischen Merkmalen von Large-Language-Model-generiertem Code: ausführliche Docstrings, sogar halluzinierte CVSS-Scores und ein strukturiertes, lehrbuchhaftes Python-Format mit detaillierten Hilfemenüs. Dies deutet stark darauf hin, dass ein KI-Modell zur Vulnerabilitätserkennung missbraucht wurde.
Die Zero-Day-Schwachstelle selbst beruht auf einem semantischen Logikfehler mit hart codierten Vertrauensannahmen – genau die Art von Fehlern, bei denen Large Language Models besonders effektiv sind. Besonders bemerkenswert: Der Exploit erfordert zwar gültige Benutzeranmeldedaten, ermöglicht aber die Umgehung der zweiten Authentifizierungsschicht – eine kritische Sicherheitslücke.
Das Problem ist nicht isoliert. Google dokumentiert gleichzeitig PromptSpy, ein Android-Malware-Exemplar, das Googles Gemini-API missbraucht, um Bildschirminhalte zu analysieren und autonome Aktionen durchzuführen. Die Malware kann Biometrie-Daten erfassen und Entsperrungsgesten nachahmen, gleichzeitig verhindert sie ihre eigene Deinstallation durch unsichtbare UI-Overlays.
Weitere Angriffsszenarien zeigen chinesische Bedrohungsakteure, die mit dem GitHub-Repository “wooyun-legacy” experimentieren – ein spezialisiertes Claude-Plugin mit über 5.000 realen Schwachstellenfällen aus der chinesischen WooYun-Plattform (2010-2016). Durch dieses “Priming” mit Vulnerability-Daten lernt das Modell, wie ein erfahrener Sicherheitsexperte Logikfehler zu identifizieren.
Besonders besorgniserregend sind die organisierten Missbrauchspipelines: Bedrohungsakteure registrieren automatisiert Premium-LLM-Accounts und kündeln sie sofort, um hochwertige KI-Fähigkeiten in großem Maßstab zu nutzen und Accountsperrungen zu umgehen.
Google berichtet auch von Shadow-API-Plattformen, die auf chinesischen Marktplätzen wie Taobao angeboten werden und unbegrenzten Zugang zu Gemini und Claude versprechen. Akademische Forschung der CISPA Helmholtz Center zeigt dabei erhebliche Sicherheitslücken: Bei medizinischen Benchmarks fällt die Genauigkeit von Gemini-2.5-flash von 83,82% (offizielle API) auf etwa 37% über Shadow-APIs – ein unakzeptables Risiko für kritische Anwendungen.
Ryan Dewhurst von WatchTowr warnt: “AI beschleunigt Vulnerabilitätsentdeckung dramatisch. Wir erleben bereits komprimierte Angriffszyklen – Discovery, Weaponization und Exploitation sind schneller geworden. Verteidiger können sich nicht abmelden.”