Eine schwere Sicherheitslücke in der beliebten KI-Schnittstelle Open WebUI wird derzeit aktiv ausgenutzt. Angreifer locken Nutzer mit vermeintlich kostenlosen KI-Modellen in eine Falle und übernehmen so ganze Systeme.
Die US-Cybersicherheitsbehörde CISA warnte diese Woche vor der als CVE-2025-64496 gelisteten Schwachstelle. Sie ermöglicht es Angreifern, über eine betrügerische „Gratis-KI“-Masche Remote Code Execution (RCE) und Datenklau durchzuführen. Die Gefahr ist besonders hoch, weil die Attacke über eine vom Nutzer selbst initiierte Verbindung läuft und so Firewalls umgeht.
Die Falle mit dem Gratis-Modell
Im Kern nutzt die Attacke eine geschickte Mischung aus Social Engineering und technischem Missbrauch. Viele Nutzer suchen nach kostengünstigem Zugang zu leistungsstarker KI. Genau hier setzen die Angreifer an.
Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und warum gerade selbstgehostete KI‑Schnittstellen ein besonderes Risiko darstellen. Der aktuelle Fall zeigt, wie Angreifer über „kostenlose“ Modelle vollständigen Serverzugriff erlangen können. Ein kostenloses E‑Book fasst die wichtigsten Cyber‑Security‑Trends, neue KI‑Regeln und pragmatische Schutzmaßnahmen zusammen, mit denen Sie sofort beginnen können. Enthalten sind klare Checklisten für IT‑Teams und praxisnahe Anleitungen zur Minimierung von RCE‑Risiken. Jetzt Cyber‑Security‑Report herunterladen
Sie richten Server ein, die seriöse KI-Anbieter wie OpenAI imitieren und werben in Foren mit „kostenlosen“ Alternativen zu Modellen wie GPT-4. Die Opfer verbinden ihre Open WebUI-Instanz dann über die Funktion „Direct Connections“ mit diesen bösartigen Endpunkten.
Dort angekommen, wird ein sogenanntes Server-Sent Event (SSE) ausgelöst. Dieser eigentlich für Text-Streaming gedachte Mechanismus wird missbraucht, um beliebigen JavaScript-Code im Browser des Opfers auszuführen. Das Skript stiehlt dann laut Sicherheitsforschern von Cato CTRL still die JSON Web Tokens (JWTs) des Nutzers.
Mit diesen Zugangstoken erhalten die Hacker vollen Zugriff auf den gesamten Chatverlauf, hochgeladene Dokumente und hinterlegte API-Schlüssel. Die eigentliche Gefahr geht aber von den Systemrechten aus.
Vom Zugriff zur vollständigen Übernahme
Die Attacke eskaliert, wenn das kompromittierte Nutzerkonto administrative Rechte besitzt – konkret die Berechtigung workspace.tools. In diesem Fall können die Angreifer die gestohlenen Tokens nutzen, um über die Tools-API von Open WebUI authentifizierten Python-Code auf den Server zu laden.
Dieser Code wird dann ohne ausreichende Abschottung oder Prüfung ausgeführt. Aus einem einfachen Account-Diebstahl wird so eine komplette Systemübernahme. Die Angreifer können sich dauerhaft im System einnisten, sich im internen Netzwerk ausbreiten oder sensible proprietäre Daten stehlen, die für das Training lokaler KI-Modelle verwendet wurden.
Updates und Gegenmaßnahmen sind verfügbar
Das Open WebUI-Entwicklungsteam hat reagiert. In Version 0.6.35 wurde eine Middleware eingeführt, die die Ausführung gefährlicher SSEs von Direct-Connection-Servern blockiert. Die aktuelle Version 0.7.2 (Stand 10. Januar) enthält weitere Stabilitätsverbesserungen.
Sicherheitsexperten raten Administratoren dringend, ihre Installationen sofort zu prüfen. Alle Versionen vor 0.6.35 gelten als anfällig. Zusätzlich zum Update empfehlen sie einen Zero-Trust-Ansatz:
- Die „Direct Connections“-Funktion deaktivieren, wenn sie nicht zwingend benötigt wird.
- Die
workspace.tools-Berechtigungen auf ein absolutes Minimum an vertrauenswürdigen Administratoren beschränken. - Jeden externen API-Endpunkt, der dem System hinzugefügt wird, streng zu überprüfen.
Ein Warnschuss für die „Schatten-KI“
Der Vorfall ist symptomatisch für ein größeres Problem: Die rasante Verbreitung von KI-Tools überholt oft die Sicherheitsvorkehrungen. Diese „Schatten-KI“ wird zum Risiko.
Die „Gratis-Modell“-Hintertür zeigt, wie Angreifer klassische Supply-Chain-Attacken für das KI-Zeitalter adaptieren. Sie nutzen das Vertrauen aus, das Nutzer in community-geteilte Ressourcen setzen. Für Unternehmen, die selbstgehostete KI-Lösungen für mehr Datenschutz einsetzen, wird die Sicherheit dieser Steuerungsebenen zur kritischen Frage.
Die Schwachstelle in Open WebUI ist eine deutliche Erinnerung: Die Benutzeroberfläche besitzt oft weitreichende Privilegien über die zugrundeliegenden Modelle und Datenspeicher. Cybersicherheitsfirmen rechnen damit, dass künftig mehr Angriffe auf diese „Verknüpfungssoftware“ zwischen KI-Modell und Interface abzielen werden. Die Verantwortung liegt bei den IT-Abteilungen, sicherzustellen, dass der Reiz des „Kostenlosen“ nicht auf Kosten der Unternehmenssicherheit geht.
PS: Sie betreiben selbstgehostete Modelle oder verwalten interne APIs? Dieser kostenlose Leitfaden zeigt Schritt für Schritt, wie Sie Ihre Infrastruktur gegen Social‑Engineering, Schadskripte und Token‑Diebstahl absichern. Er enthält praxisnahe Checklisten für Administratoren, Empfehlungen für Zero‑Trust‑Policies und sofort umsetzbare Maßnahmen, um direkten Serverzugriff zu verhindern. Gratis E‑Book: Cyber Security Awareness Trends anfordern
