Forscher warnen vor adaptiven KI-Würmern als nächster Unternehmensbedrohung

Zusammenfassung

Sicherheitsforscher arbeiten an Schutzmaßnahmen gegen eine mögliche nächste Malware-Generation: adaptive, agentische KI-Würmer. Gemeint sind autonome Programme, die sich selbstständig in Netzwerken ausbreiten, dabei nach Zero-Day-Lücken, bekannten aber ungepatchten Schwachstellen und ungeschützten Geheimnissen suchen und ihr Vorgehen laufend an neue Umgebungen anpassen. Ein Forschungsteam der University of Toronto, des kanadischen KI-Inkubators Vector Institute, von ServiceNow und der University of Cambridge hat dafür bereits einen Proof of Concept gebaut. Auch BeyondTrust testet nach eigenen Angaben die Fähigkeiten eines KI-Wurms. Die Forscher vergleichen diesen Ansatz mit der „Gain-of-Function“-Forschung in der Virologie: Potenzielle Bedrohungen werden nachgebaut, um Abwehrmaßnahmen zu entwickeln. Noch sind solche agentischen, adaptiven KI-Würmer laut dem Text nicht in freier Wildbahn aufgetaucht. Kinnaird McQuade, Chief Security Architect bei BeyondTrust, hält einen entsprechenden Angriff aber innerhalb von sechs Monaten bis zu einem Jahr für möglich. Die Debatte ist deshalb relevant, weil Angreifer laut mehreren Sicherheitsfirmen bereits selbstverbreitende Mechanismen mit bösartigen KI-Werkzeugen kombinieren und dabei vor allem Entwickler und Software-Lieferketten ins Visier geraten.

Die beschriebenen KI-Würmer gehen über klassische Würmer hinaus. Nach Darstellung der Forscher der University of Toronto ersetzen sie „festen Exploit-Code durch zielgerichtetes Schlussfolgern, das sich in Echtzeit an die Schwachstellen jedes Ziels anpasst“. Ihr Proof of Concept springt in einem Netzwerk von Gerät zu Gerät, passt sich der jeweiligen Umgebung an, stiehlt Geheimnisse und sucht mit den Ressourcen des kompromittierten Systems selbst nach weiteren Schwachstellen.

Der entscheidende Unterschied zu herkömmlicher Wurm-Malware liegt aus Sicht der Forscher in der Anpassungsfähigkeit. Klassische Würmer lassen sich oft stoppen, indem genau die Schwachstelle geschlossen wird, die sie ausnutzen. Der adaptive Wurm der Forscher soll sich diesem Muster entziehen, weil er beim Weiterverbreiten eine rekursive Schlussfolgerungsschleife nutzt, um unterschiedliche Schwachstellen zu erkennen und auszunutzen. Nach Angaben des Teams kommen dafür nur kleine, frei verfügbare KI-Modelle zum Einsatz, die Entscheidungsfindung und Schlussfolgern steuern. Der Agent identifiziert auf jedem System eigenständig Schwachstellen und sensible Informationen und nutzt beides zur weiteren Ausbreitung.

BeyondTrust forscht laut dem Bericht ebenfalls an den Fähigkeiten eines KI-Wurms. Kinnaird McQuade sagte auf der Konferenz fwd:cloudsec North America, er halte einen KI-gestützten Wurmangriff für unmittelbar bevorstehend. Er erwartet nach eigener Einschätzung, dass solche Angriffe Entwickler und Ingenieure mit weitreichenden Zugriffsrechten ins Visier nehmen, sich durch Cloud-Umgebungen bewegen und für viele Unternehmen gravierende Folgen haben könnten.

Ganz neu ist die Entwicklung nicht. Im vergangenen September warnten Sicherheitsfirmen vor Shai-hulud, einem Wurm, der sich durch Repositories des Node Package Manager (npm) bewegte und Entwickler-Zugangsdaten sowie Geheimnisse stahl, um weitere Pakete zu infizieren. Im darauffolgenden Monat entdeckten Forscher außerdem den Angriff GlassWorm, der Erweiterungen für VS Code nutzt, um Entwicklerrechner zu kompromittieren. Andere Malware-Betreiber setzen laut dem Bericht bereits große Sprachmodelle ein, um die Verschleierung während eines Angriffs zu verbessern, auch wenn die meisten sie bislang vor allem zum Schreiben von Schadcode verwenden und nicht als Laufzeitkomponente.

Gary McGraw, Gründer des Berryville Institute of Machine Learning, beschreibt KI-Würmer als nächsten Evolutionsschritt. Das Grundproblem sieht er in der Größe der Angriffsfläche: Trotz jahrzehntelanger Arbeit an Software-Schwachstellen stünden viele Unternehmen vor kaum lösbaren Patch-Problemen. Selbst mit Technologien zur Schwachstellensuche und der behaupteten Leistungsfähigkeit von Anthropic Mythos werde es schwer, die Angriffsfläche angesichts der enormen Menge vorhandener Software deutlich zu verkleinern.

Der Bericht verweist zugleich auf historische Parallelen. Im August 2002 beschrieben drei Forscher in der Arbeit „Wie man das Internet in seiner Freizeit übernimmt“, wie vorbereitete Listen verwundbarer Server die Verbreitung eines sogenannten Blitzwurms beschleunigen könnten. Fünf Monate später verbreitete sich mit SQL Slammer ein Wurm über das Internet und infizierte laut Bericht binnen weniger als zehn Minuten 90 Prozent seiner Hosts.

Allerdings gibt es auch technische Hürden. August Moore, leitender KI- und Sicherheitsingenieur bei 7AI, verweist darauf, dass ein KI-Wurm deutlich schwerer zu verbergen wäre als etwa Cryptojacking. Ein Modell auf einem typischen System falle eher auf: Dutzende Gigabyte im Videospeicher und eine Machine-Learning-Laufzeitumgebung auf einem Host, auf dem es keinen Grund für Inferenz gibt, gingen nicht einfach im Hintergrundrauschen unter.

Als Gegenmaßnahmen nennen McQuade und die Forscher vor allem Härtung, Sichtbarkeit und Begrenzung der Ausbreitung. McQuade empfiehlt das Prinzip der geringsten Rechte, mehr Telemetrie von Endpunkten und aus der Cloud sowie automatische Gegenmaßnahmen. Die University of Toronto hebt in begleitenden Antworten zu ihrer Forschung Zero-Trust-Architekturen und Mikrosegmentierung hervor. Zero Trust begrenze seitliche Bewegungen nach einem ersten Eindringen durch fortlaufende Authentifizierung bei jedem Zugriffsversuch. Netzwerk-Mikrosegmentierung schränke ein, welche Hosts von einer einzelnen kompromittierten Maschine aus erreichbar sind. Das Testumfeld der Forscher sei ein bewusst gewähltes Worst-Case-Szenario mit flachem Netzwerk gewesen; bereits einfache Segmentierung hätte die Reichweite des Wurms deutlich begrenzt.

Forscher warnen vor adaptiven KI-Würmern als nächster Unternehmensbedrohung

Ähnliche Artikel

Neueste Artikel