Auf den Punkt: Lokal betriebene Open-Source-Sprachmodelle ermöglichen autonome Angriffswürmer, wenn sie mit entsprechenden Agenten-Architekturen ausgestattet sind — unabhängig von kostenpflichtigen Frontier-Modellen.
Sicherheitsforscher der Universität Toronto haben einen KI-gesteuerten Computerwurm entwickelt, der sich mithilfe eines kostenlosen lokalen Sprachmodells selbstständig in simulierten Netzwerken verbreitet. Die Demonstration zeigt: Angreifer benötigen keine hochspezialisierten KI-Modelle, um bestehende Sicherheitslücken und Fehlkonfigurationen in Unternehmensumgebungen auszunutzen.
Forscher des CleverHans Lab der Universität Toronto haben ein KI-gestütztes Wurm-Prototyp entwickelt, das CVE-Datenbanken durchsucht, Netzwerkkonfigurationen analysiert und Sicherheitslücken — sowohl bekannte als auch gerade veröffentlichte Schwachstellen — eigenständig identifiziert und ausnutzt. Der Wurm kopiert sich selbst auf weitere Systeme und kann Daten exfiltrieren oder zusätzliche Angriffe lancieren. Das Experiment wurde in einer simulierten Netzwerkumgebung durchgeführt, die verschiedene Ubuntu-, Debian-, Alpine-, Rocky-Linux- und CentOS-Versionen umfasste.
Das Kernaugenmerk der Forschung liegt darauf, dass die Angreifer keine hochmodernen Frontier-Modelle wie Claude Opus oder GPT 5.5 benötigen. Solche Modelle sind über APIs zugänglich und würden Safety-Guardrails durchsetzen, die verdächtige Prompts blockieren würden. Lokal betriebene, kostenfrei verfügbare Sprachmodelle hingegen laufen auf eigener Hardware ohne solche Einschränkungen. Das macht sie für autonome Schadprogramme attraktiver: Weder API-Abhängigkeit noch Telemetrie-Loggen entstehen.
Die Forscher kompensierten die Begrenzungen lokaler Modelle — kleinere Context-Fenster, schwächere Agenten-Fähigkeiten — durch eine spezielle Harness-Architektur. Diese Architektur zerlegt Aufgaben in Phasen und Schritte, koordiniert mehrere spezialisierte Sub-Agenten parallel und verwaltet Erkenntnisse zentral über ein Hierarchisches-Memory-System, ähnlich wie Markdown-Dateien oder Datenbanken. Weitere Komponenten sind Werkzeug-Handler, die Pentesting-Befehle ausführen, und ein Skill-System, das kontextabhängige Angriffsvektoren injiziert.
Solche Agenten-Harnesses sind in der Sicherheitsforschung nicht neu. Offene Beispiele wie RAPTOR für Claude oder SecOpsAgentKit zeigen, dass frühere Modellgenerationen mit entsprechendem Engineering ähnliche Fähigkeiten erreichen können wie heutige Frontier-Modelle. Gadi Evron, CEO des KI-Sicherheitsunternehmens Knostic und Mitentwickler von RAPTOR, bestätigt: Neue Harnesses entstehen jedes Mal, wenn leistungsstärkere Modelle verfügbar werden — das ist ein stetiger Rüstungswettbewerb.
Für CISOs ist die Botschaft kritisch: Die Bedrohung durch KI-gesteuerte Angriffe hängt nicht von Mythos oder anderen Frontier-Modellen ab, sondern von der Kombination aus lokal verfügbaren Modellen, etablierter Agenten-Architektur und der Häufigkeit unbehobener Schwachstellen sowie Fehlkonfigurationen wie wiederverwendeter Passwörter im Netzwerk. Es gibt keine Einzelmaßnahme gegen diese Bedrohung.
Quelle: www.csoonline.com · Erschienen 9. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.