![\"Copilot\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/Copilot.jpg"\" "\\"Edge\\"")
KI-L\u00f6sungen wie Microsofts Copilot, aber auch Anthropic oder OpenAI ChatGPT erweisen sich immer mehr als latentes Sicherheitsrisiko. Es vergeht eigentlich kein Tag, an dem nicht eine neue Sicherheitsl\u00fccke oder ein Weg zum Umgehen der in den LLMs eingebauten Sicherheitsschranken publik wird. Hinzu kommt der Beschiss durch das Marketing der AI-Anbieter. Ich habe nachfolgend eine kleine Zusammenfassung erstellt, was mir so die Tage an entsprechenden Themen untergekommen ist.<\/p>\n
<\/p>\n
Vor einer Woche jagte die Schlagzeile durch die Medien, dass Antrophic Claude Mythos als neues Sprachmodell vorgestellt habe. Das neue Anthropic KI-Modell Claude Mythos \u00fcberbietet alle Konkurrenten in seinen F\u00e4higkeiten. Claude Mythos soll erstmals Schwachstellen in Software selbst\u00e4ndig ermittelt haben und kann sogar Exploits entwickeln. Dieses Modell bleibt laut Hersteller daher aus Sicherheitsgr\u00fcnden auf Experten beschr\u00e4nkt.<\/p>\n
Das Manager Magazin ver\u00f6ffentlichte vor einer guten Woche den Artikel\u00a0Neues Anthropic-Modell versetzt Regierungen und CEOs in Alarmstimmung<\/a>. Sicherheitsorganisationen wie das BSI, Regierungen und Unternehmen waren aufgescheucht und versuchten die Implikationen abzusch\u00e4tzen.<\/p>\n Sicherlich ist der Fortschritt bei Claude Mythos beeindruckend. Mit ist vor einer Woche obiger\u00a0Tweet<\/a> untergekommen, der dann doch etwas die Luft aus dem aufgepusteten Ballon raus l\u00e4sst. Die Botschaft des Tweets: Es war vor allem ein \"Marketing-Pitch\", denn viele der Tausende durch das Modell in \u00e4lterer Software entdeckten Bugs und Schwachstellen\u00a0lassen sich nicht ausnutzen. Und die Berichte \u00fcber schwerwiegende Zero-Day-Schwachstellen st\u00fctzen sich lediglich auf 198 manuelle \u00dcberpr\u00fcfungen. Tom's Hardware hat einige Details in diesem Artikel<\/a> (leider Paywall) zusammen getragen.<\/p>\n Dann gab nach die Meldung, dass Anthropic Sicherheitsforscher mittels KI eine Schwachstellen in wolfSSL gefunden h\u00e4tten. wolfSSL, eine Bibliothek, die in Produkten von VPN-Apps und Heimroutern bis hin zu Fahrzeugsystemen, Stromnetzinfrastruktur und milit\u00e4rischen Systemen zum Einsatz kommt.<\/p>\n In obigem Tweet<\/a> weist Lukasz Olejnik auf eine von einem Forscher bei Anthropic (mithilfe von KI) entdeckte kritische Sicherheitsl\u00fccke CVE-2026-5194 hin, die wolfSSL betrifft.\u00a0wolfSSL ist eine Bibliothek, die in Produkten von VPN-Apps und Heimroutern bis hin zu Fahrzeugsystemen, Stromnetzinfrastruktur und milit\u00e4rischen Systemen zum Einsatz kommt.<\/p>\n CVE-2026-5194 k\u00f6nnte dazu f\u00fchren, dass ein Ger\u00e4t oder eine Anwendung eine gef\u00e4lschte digitale Identit\u00e4t als echt akzeptiert und einem b\u00f6swilligen Server, einer Datei oder einer Verbindung vertraut, die es eigentlich h\u00e4tte ablehnen m\u00fcssen. Die Schwachstelle ist auf fehlende \u00dcberpr\u00fcfungen der Digest-Gr\u00f6\u00dfe und der OID bei der Signaturpr\u00fcfung zur\u00fcckzuf\u00fchren. Red Hat bewertet den Bug mit CVSSv3 10,0 (maximal; remote\u00a0 ausnutzbar, keine Berechtigungen erforderlich, keine Benutzerinteraktion erforderlich).<\/p>\n wolfSSL gibt an, dass die Bibliothek auf Milliarden von Ger\u00e4ten verwendet wird.\u00a0Ein Nutzer ordnet das Ganze aber gleich ein: Nur Express VPN setze wolfSSL standardm\u00e4\u00dfig ein. Das Ganze sei eine PR-Kampagne.<\/p>\n Ein Team von Sicherheitsforschern hat 100 AI Agent (Model Context Protocol, MCP)-Server im Hinblick auf Sicherheit gepr\u00fcft. Darunter waren auch die von Anthropic und Microsoft gepflegten Referenzimplementierungen, die als \"Goldstandard\" gelten.<\/p>\n Laut dem auf GitHub ver\u00f6ffentlichten Bericht<\/a> erhielt jeder vom Hersteller gepflegte Server, der Tools offenlegte, die Note \"F\" (ungen\u00fcgend).<\/p>\n Die Sicherheitsforscher identifizierten insgesamt 893 Befunde auf 41 Servern, die 485 Tools bereitstellten, darunter 163 F\u00e4lle einer neuen Schwachstellenklasse, die die Forscher als \"halluzinationsbasierte Schwachstellen\" (HBVs) bezeichnen. Das sind Sicherheits-Schwachstellen, die f\u00fcr die Ausf\u00fchrung von LLM-gesteuerten Tools spezifisch sind, bei denen vage oder mehrdeutige Tool-Definitionen dazu f\u00fchren, dass das Sprachmodell \u00fcberm\u00e4\u00dfige Berechtigungen gew\u00e4hrt, Daten falsch weiterleitet oder sich unvorhersehbar verh\u00e4lt.<\/p>\n Die von den Sicherheitsforschern verwendeten Scanner identifiziert die genauen strukturellen Voraussetzungen \u2013 unbegrenzte String-Parameter, fehlende Schema-Validierung, vage Bereichsgrenzen \u2013, die zu den CVEs der RCE-Klasse f\u00fchrten, die Anfang 2026 gegen MCP-Server offengelegt wurden (CVE-2025-68143, CVE-2025-68144, CVE-2025-9611).<\/p>\n Diese Ergebnisse zeigen, dass die MCP-Spezifikation standardm\u00e4\u00dfig anf\u00e4llig ist. Dazu passt auch der The Register-Beitrag\u00a0Anthropic won't own MCP 'design flaw' putting 200K servers at risk, researchers say<\/a>, in dem es um eine MCP-Design-Schw\u00e4che im MCP geht.<\/p>\n OpenAI versucht ja Datenabfl\u00fcsse in ChatGPT zu vermeiden und hat dazu einige Sicherheitsschranken im Produkt eingebaut. Dabei hat man aber wohl den DNS-Traffic \u00fcbersehen. Sicherheitsforscher von Check Point haben festgestellt, dass eine einzige b\u00f6swillige Eingabeaufforderung (Prompt) einen versteckten Datenabflusskanal innerhalb einer normalen ChatGPT-Konversation aktivieren kann. Das Ganze wurde in diesem Blog-Beitrag<\/a> dokumentiert, The Register hatte es hier<\/a> aufgegriffen.<\/p>\n Durch KI-gest\u00fctzte Code-Generierung l\u00e4uft die gesamte Software-Branche in ein riesiges Problem, was au\u00dferhalb von Expertenkreisen noch kaum gesehen wird. Wir haben keinen Engpass in der Code-Erstellung, der Flaschenhals ist beim Test des so erzeugten Programmcodes. Die Entwickler \"ersaufen\" in der Menge des generierten Codes, haben aber keine Zeit mehr, das vern\u00fcnftig zu testen.<\/p>\n Man kann es auch drastisch ausdr\u00fccken: Da wird von vielen AI-Protagonisten an der falschen Stelle applaudiert. Nicht die Codegenerierung begrenzt die Produktivit\u00e4t, sondern die F\u00e4higkeit, die Ergebnisse auch sauber zu testen. Wenn KI da nicht noch eine Menge Briketts drauf legt, wird das alles nichts.<\/p>\n The Hacker News schreibt in obigem Tweet<\/a> und diesem Artikel<\/a>, dass KI Code nicht sicherer macht, sondern vielmehr die Angriffsfl\u00e4che vergr\u00f6\u00dfert.\u00a0Eric Fourrier, CEO von GitGuardian, sagt, dass im Jahr 2025 bereits 28,65 Millionen Geheimnisse offengelegt wurden, da KI-Workflows die Anzahl von Tokens, APIs und Maschinenidentit\u00e4ten erh\u00f6hten.\u00a0Das Risiko habe sich vom Code auf Anmeldedaten verlagert. Die Behebung von Sicherheitsl\u00fccken sei nun der Engpass.<\/p>\n Hinzu kommt das Problem, dass sich LLMs durch eingebettete Anweisungen (Prompts) f\u00fcr eine ClickFix-Attacke missbrauchen lassen – der Besuch einer Webseite mit solchen Anweisungen durch einen Agenten oder ein LLM reicht. Und manche Leute sind d\u00e4mlich genug, alles einzutippen, was ein LLM so von sich gibt. Obiger Tweet<\/a> zeigt ein Beispiel f\u00fcr einen ClickFix-Angriff. Dem Nutzer wird ein Befehl zum Download eines Sprachmodells angeboten, welches sch\u00e4dliche Software installiert. Diese Methode wird f\u00fcr Angreifer immer beliebter, da sie die meisten Sicherheitsvorkehrungen umgeht, indem sie Nutzer dazu verleitet, b\u00f6sartigen Code in ihr eigenes Windows-Terminal einzuf\u00fcgen, hei\u00dft es in obigem Tweet.<\/p>\n Wenn\u00a0KI einen immer gr\u00f6\u00dferen Anteil des Produktionscodes erstellt, dieser Code jedoch versagt, Schwachstellen beinhaltet oder einen Ausfall hervorruft, bleibt die Frage nach der Verantwortlichkeit unklar. Pramin Pradeep, CEO von BotGauge, stellt folgende Fragen:<\/p>\n Viele Unternehmen stellen fest, dass ihre Pr\u00fcfpfade f\u00fcr von Menschen geschriebenen Code konzipiert wurden. Oft k\u00f6nnen sie nicht eindeutig nachvollziehen, wie KI-gest\u00fctzter Code generiert, \u00fcberpr\u00fcft oder validiert wurde.\u00a0Dies beginnt, so Pramin Pradeep, die Sichtweise von Unternehmen auf das Testen zu ver\u00e4ndern. Es geht zunehmend weniger um Produktivit\u00e4t und mehr um Governance.<\/p>\n Pramin Pradeep, CEO von BotGauge, arbeitet mit Entwicklerteams zusammen, die mit diesem Wandel konfrontiert sind. Seine Sichtweise: Wenn KI-Code schreibt, ben\u00f6tigen Unternehmen nun Systeme, die KI-generierten Code validieren und eine klare R\u00fcckverfolgbarkeit gew\u00e4hrleisten k\u00f6nnen. Da sind noch einige Hausaufgaben in Unternehmen zu machen. Der EU AI Act sieht die Verantwortlichkeiten klar bei den jeweiligen Herstellern (also Anbietern von KI-L\u00f6sungen) aber auch bei den KI-Anwendern.<\/p>\n Die Tage habe ich die Information per E-Mail erhalten, dass das SANS Institute und die Cloud Security Alliance (CSA) gemeinsam mit [un]prompted und dem OWASP GenAI Security Project den Report \"The AI Vulnerability Storm: Building a Mythos-Ready Security Program\"<\/a><\/u> ver\u00f6ffentlicht haben. Dieses kostenlose Strategie-Briefing gibt CISOs und Sicherheitsverantwortlichen ein umsetzbares Framework an die Hand, um auf das immer schneller werdende Tempo der Entdeckung und Ausnutzung von Schwachstellen durch KI zu reagieren.<\/p>\n Das Briefing dokumentiert eine rasante Eskalation der offensiven KI-F\u00e4higkeiten im vergangenen Jahr. Im Juni 2025 wurde XBOW als erstes autonomes System Spitzenreiter der US-Rangliste von HackerOne und \u00fcbertraf damit alle menschlichen Hacker auf der Plattform. Im August 2025 fand die AI Cyber Challenge der DARPA innerhalb von vier Stunden 54 Schwachstellen in 54 Millionen Codezeilen. Im November 2025 gab Anthropic bekannt, dass eine vom chinesischen Staat gef\u00f6rderte Gruppe KI eingesetzt hatte, um autonom vollst\u00e4ndige Angriffsketten \u2013 von der Aufkl\u00e4rung bis zur Datenexfiltration \u2013 bei etwa 30 globalen Zielen durchzuf\u00fchren.<\/p>\n Im Februar 2026 meldete Anthropic mithilfe von Claude Opus 4.6 mehr als 500 Schwachstellen mit hohem Schweregrad in Open Source-Software. Sysdig dokumentierte einen KI-basierten Angriff, der innerhalb von acht Minuten Administratorrechte erlangte. Die Zahl der Schwachstellenmeldungen stieg bei den Linux-Kernel-Betreuern von zwei auf zehn pro Woche.<\/p>\n Mythos stellt laut Mitteilung an mich einen weiteren Meilenstein dar. In internen Tests habe das Modell 181 funktionierende Exploits gegen Firefox-Schwachstellen generiert, w\u00e4hrend das bisher beste Modell unter denselben Bedingungen nur zweimal erfolgreich war. Das Modell erzielte eine Erfolgsquote von 72 Prozent bei Exploits und demonstrierte die F\u00e4higkeit, mehrere Schwachstellen ohne menschliche Anleitung zu einzelnen Exploit-Pfaden zu verketten.<\/p>\n Laut der Zero Day Clock ist die durchschnittliche Zeit von der Offenlegung einer Schwachstelle bis zur best\u00e4tigten Ausnutzung im Jahr 2026 auf weniger als einen Tag gesunken, gegen\u00fcber 2,3 Jahren im Jahr 2019.\u00a0Das ver\u00f6ffentlichte Briefing umfasst ein 13-Punkte-Risikoregister, das vier Branchen-Frameworks zugeordnet ist (OWASP LLM Top 10 2025, OWASP Agentic Top 10 2026, MITRE ATLAS und NIST CSF 2.0), eine Tabelle mit 11 Sofortma\u00dfnahmen und straffen Zeitpl\u00e4nen, 10 diagnostische Fragen f\u00fcr CISOs zur Bewertung ihres aktuellen Sicherheitsprogramms sowie einen Abschnitt mit einer Zusammenfassung f\u00fcr Vorst\u00e4nde.<\/p>\n KI-gest\u00fctzte Tools zur Schwachstellenerkennung k\u00f6nnen mittlerweile funktionierende Exploits in einem Tempo generieren, das die Patch-Zyklen von Unternehmen \u00fcbertrifft. \u00a0Jeder Patch wird zudem zu einer Blaupause f\u00fcr Exploits, da KI das Patch-Diffing und das Reverse Engineering von Korrekturen beschleunigt.<\/p>\n Defensive Teams, die keine KI-Agenten einsetzen, sehen sich einer wachsenden Kompetenzl\u00fccke gegen\u00fcber KI-gest\u00fctzten Angreifern gegen\u00fcber, unabh\u00e4ngig von ihren bestehenden technischen F\u00e4higkeiten. Das Briefing stuft dies ebenso sehr als kulturelle wie als technologische Herausforderung ein.<\/p>\n Der EU AI Act tritt im August 2026 in Kraft und f\u00fchrt automatisierte Audits, Vorfallmeldungen sowie Cybersicherheitsanforderungen im Zusammenhang mit KI ein. Wenn KI Schwachstellen zu erschwinglichen Kosten aufsp\u00fcren kann, verschiebt sich der Ma\u00dfstab daf\u00fcr, was als angemessene Verteidigungsma\u00dfnahme gilt. Dies bringt f\u00fcr Organisationen, die sich nicht anpassen, direkte Governance- und Haftungsrisiken mit sich.<\/u>\u00a0<\/strong><\/p>\n Sicherheits-Experten sind auf eine kritische Sicherheitsl\u00fccke in Claude Code gesto\u00dfen. Sogenannte \"Deny\"-Regeln, die Missbrauch verhindern sollen, k\u00f6nnen unbemerkt umgangen werden, da Sicherheitspr\u00fcfungen zu viele Token verbrauchen. Daher verzichtet Anthropic in bestimmten Konstellationen auf weitere Pr\u00fcfungen. Die Details hat Adversa in diesem Blog-Beitrag<\/a> offen gelegt.<\/p>\n Auf die Lieferkettenangriffe (Axios & Co.) bin ich in diversen Blog-Beitr\u00e4gen ja bereits eingegangen. Es sieht so aus, als ob die IT durch Angreifer sturmreif geschossen wird – und die Zunft ist d\u00e4mlich genug, durch KI-Einsatz weitere riesige Sicherheitsl\u00f6cher aufzurei\u00dfen, damit alles \"effizienter\" wird.<\/p>\n Die Kollegen von Golem haben vor einigen Tagen im Artikel KI-Agent Luna er\u00f6ffnet Laden und scheitert an der Realit\u00e4t<\/a> \u00fcber ein Experiment in San Franzisko berichtet. Ein KI-Agent bekam ein Budget von 100.000 US-Dollar und sollte einen Laden er\u00f6ffnen und f\u00fchren. Das Ganze war aber nicht so erfolgreich, dass LLM versuchte Auftr\u00e4ge f\u00fcr Malerarbeiten nach Afghanistan zu vergeben, lehnte in Mitarbeitergespr\u00e4chen Bewerber wegen fehlender Erfahrung ab, und so weiter. Die Sch\u00f6pfer gehen nicht davon aus, dass der KI-Agent Luna jemand\u00a0 Gewinne macht.<\/p>\n Ich hatte es die Tage bereits bei Tom Warren in diesem Tweet<\/a> und im The Verge-Artikel\u00a0Microsoft faces fresh Windows Recall security concerns<\/a> (erfordert Abo) gelesen. Ein Sicherheitsforscher hat ein Tool entwickelt, mit dem sich Daten aus Recall extrahieren lassen. Golem hat das Thema im Artikel\u00a0Totalrecall Reloaded: Tool zeigt Schwachstelle in Windows Recall<\/a> aufgegriffen. Die Kollegen von Dr. Windows schreiben in diesem Beitrag<\/a>, dass Microsoft die Sicherheitsl\u00fccke dementiert.<\/p>\n Meine Meinung: Es ist und bleibt halt Microslop. Dazu passt auch die Meldung\u00a0Vorbild OpenClaw: Copilot soll zum vollst\u00e4ndig autonomen KI-Assistenten werden<\/a> auf Dr. Windows.<\/p>\n","protected":false},"excerpt":{"rendered":" KI-L\u00f6sungen wie Microsofts Copilot, aber auch Anthropic oder OpenAI ChatGPT erweisen sich immer mehr als latentes Sicherheitsrisiko. Es vergeht eigentlich kein Tag, an dem nicht eine neue Sicherheitsl\u00fccke oder ein Weg zum Umgehen der in den LLMs eingebauten Sicherheitsschranken publik … Weiterlesen ![\"Anthropic](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/Anthropic-Claude-Mythos.jpg\")
<\/a><\/p>\nSchwachstelle in wolfSSL<\/h2>\n
![\"wolfSSL-Sicherheitsl\u00fccke\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/wolfSSL.jpg\")
<\/a><\/p>\nAI-Agenten und die MCP-Probleme<\/h2>\n
![\"MCP-Server-Security\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/MCP-Server-Security.jpg\")
<\/a><\/p>\n\n
ChatGPT-Bug schmuggelt Daten \u00fcber DNS<\/h2>\n
KI vergr\u00f6\u00dfert die Angriffsfl\u00e4che<\/h2>\n
![\"AI-Risk\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/AI-Risk.jpg\")
<\/p>\n![\"ClickFix-Attack\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/ClickFix-Attack.jpg\")
<\/a><\/p>\nDie Frage nach Verantwortlichkeiten?<\/h2>\n
\n
SANS Institute und andere ver\u00f6ffentlichen Strategiepapier<\/h2>\n
Kritische Sicherheitsl\u00fccke in Claude Code<\/h2>\n
Wie KI-Agent Luna gescheitert ist<\/h2>\n
Windows Recall weiter unsicher<\/h2>\n