Der KI-Wurm, der für jedes Ziel neu nachdenkt
Seit Jahren gilt der Satz „KI macht Cyberangriffe gefährlicher" als Warnung, nicht als Befund. Ein Preprint von Forschern der University of Toronto, des Vector Institute, der University of Cambridge und von ServiceNow Research verschiebt das. Das Team um Nicolas Papernot hat einen Computerwurm gebaut, der sich nicht über festen Exploit-Code definiert, sondern über die Fähigkeit, jedes neue Ziel zu analysieren und seine Angriffsstrategie in Echtzeit selbst zu entwickeln. Die Arbeit trägt den Titel „AI Agents Enable Adaptive Computer Worms" und liegt als nicht begutachteter Preprint auf arXiv (2606.03811).
Ich halte das für einen Befund, der die Security-Community zum Umdenken zwingt. Nicht zur Panik. Der Unterschied liegt im Detail, und das Detail ist interessanter als die Schlagzeile.
Was die Forscher gebaut haben
Ein klassischer Wurm ist eine Schablone. Er trägt einen oder mehrere fest einprogrammierte Exploits mit sich und sucht im Netzwerk nach genau der Lücke, die diese Exploits ausnutzen. WannaCry war das prominente Beispiel: ein Wurm, der eine bekannte SMB-Schwachstelle ausnutzte und sich stoppen ließ, sobald der passende Patch eingespielt war. Die Waffe ist so scharf wie ihr letzter bekannter Exploit, und keinen Tag länger.
Der Proof of Concept aus Toronto kehrt dieses Prinzip um. Statt einer festen Angriffslogik trägt der Wurm die Fähigkeit zum Angreifen in sich. Auf einem bereits übernommenen Rechner startet er ein Open-Weight-Sprachmodell, also ein frei herunterladbares LLM, das lokal auf der gekaperten Maschine läuft. Dieses Modell übernimmt die Rolle, die früher der Mensch oder das starre Skript hatte: Es schaut sich das nächste Ziel an, schließt aus dem Beobachteten auf mögliche Angriffswege und probiert sie aus.
Technisch arbeitet der Wurm dabei wie ein agentischer Loop. Beobachten, schlussfolgern, handeln, erneut beobachten. Welches Betriebssystem läuft, welche Dienste sind erreichbar, welche Konfigurationsfehler liegen offen. Aus diesen Informationen synthetisiert das lokale Modell eine maßgeschneiderte Strategie. Nichts davon ist vorgegeben. Bemerkenswert ist auch, dass der Wurm sich selbst reparieren konnte, wenn ein eigener Fehler seine Funktion beeinträchtigte.
Die Verlagerung der Intelligenz auf das Opfer
Zwei Konsequenzen dieser Architektur sind wichtiger als die reine Demonstration.
Die erste ist ökonomisch. Weil das Sprachmodell auf der gekaperten Hardware des Opfers läuft, kostet jede neue Infektion den Angreifer praktisch nichts. Die Rechenzeit zahlt das Ziel. Die Forscher nennen das eine „destabilizing economic asymmetry between attackers and defenders". Jede Verteidigungsmaßnahme verursacht Kosten, jeder zusätzliche Angriff nicht. Diese Asymmetrie ist der eigentliche Hebel.
Die zweite Konsequenz betrifft die Schutzmechanismen der großen KI-Anbieter. Rate Limiting, Inhaltsfilter und Missbrauchserkennung greifen nur, wenn eine Anfrage durch die kommerzielle Plattform läuft. Ein lokal ausgeführtes Open-Weight-Modell läuft an all dem vorbei. Im Wortlaut des Papers werden zentrale Sicherheitsmechanismen damit „structurally irrelevant". Ein Anbieter kann nichts blockieren, was nicht durch seine Infrastruktur fließt.
Der Testlauf: 33 Geräte, sieben Tage
Die Forscher setzten den Wurm in einem isolierten Testnetzwerk mit 33 Geräten aus, einer Mischung aus Linux-Servern, Windows-Systemen und IoT-Geräten. Die offen gelassenen Schwachstellen entsprechen nach Angaben des Teams realen Lücken, wie sie in Unternehmensnetzen tatsächlich vorkommen. Jeder Durchlauf dauerte sieben Tage, der Wurm operierte autonom.
Die gemittelten Ergebnisse über mehrere Läufe:
| Metrik | Wert |
|---|---|
| Korrekt erkannte Schwachstellen | Ø 31,3 |
| Hosts mit erfolgreicher Rechteausweitung | Ø 23,1 |
| Erreichte Hosts | Ø 20,4 |
| Generationen der Selbstfortpflanzung | 7 |
| Anteil erfolgreich attackiertes Netz | knapp 75 % |
| Anteil Replikation im Netz | knapp zwei Drittel |
Der für mich aussagekräftigste Punkt steht etwas versteckt. Rund drei der ausgenutzten Schwachstellen wurden erst 2026 öffentlich, liegen also jenseits des Trainings-Cutoffs der eingesetzten Modelle. Der Wurm hat diese Angriffe nicht aus auswendig gelernten Exploit-Vorlagen reproduziert. Er hat sie aus öffentlich verfügbaren Schwachstellenbeschreibungen selbst entwickelt. Genau das ist die Stelle, an der Patch-Management als alleinige Strategie an seine Grenze kommt. Wer darauf setzt, Lücken schnell zu schließen, kämpft gegen einen Gegner, der neue Angriffswege womöglich schneller findet, als Patches bereitstehen.
Die Limitierung des PoC Wurms
Die Zahlen wirken alarmierend, und genau deshalb lohnt der nüchterne Blick auf die Grenzen. Die Forscher selbst benennen sie deutlich.
Der einzelne Exploit-Versuch gelang nur in 44 Prozent der Fälle. Schwächen zeigten sich bei Web-Anwendungen, bei Windows-Kommandozeilen-Umgebungen und bei der Syntax von Payloads. Das Team führt diese Mängel auf ein „code-generation ceiling" zurück, also auf die begrenzte Codequalität eines Modells, das auf einer einzelnen GPU läuft. Größere oder bessere Modelle würden die Quote anheben, was die Lücke eher zu einem temporären als zu einem prinzipiellen Limit macht.
Drei weitere Einschränkungen sind zentral:
- Der Test lief in einem kontrollierten, isolierten Netz. Die Schwachstellen wurden absichtlich offen gelassen. In einem gut gepatchten, überwachten Unternehmensnetz fielen die Ergebnisse vermutlich schlechter aus.
- Der Zeitbedarf von sieben Tagen pro Durchlauf ist für Angreifer, die schnell zuschlagen wollen, ein realer Nachteil.
- Der Wurm nutzte keine Zero-Days. Er griff ausschließlich auf bekannte, ungepatchte Schwachstellen und Fehlkonfigurationen zurück. Im Wortlaut der Forscher: „Our prototype targets publicly disclosed but unpatched vulnerabilities."
Die Neuerung liegt also nicht in neuen Exploits. Sie liegt darin, dass die KI selbständig entscheidet, welcher bekannte Angriff auf welches Ziel passt. Das ist der Unterschied zwischen einem Werkzeugkasten und einem Handwerker, der den Werkzeugkasten bedient.
Verantwortung in der Veröffentlichung
Bemerkenswert ist, wie das Team mit der Publikation umgegangen ist. Operative Details haben die Forscher zurückgehalten, ausdrücklich auch den Namen des eingesetzten Sprachmodells. Das Paper beschreibt das Bedrohungsmodell und die Ergebnisse, nicht den lauffähigen Bauplan. Diese Trennung ist in der Security-Forschung üblich und sinnvoll. Sie erlaubt es Verteidigern, die Klasse der Bedrohung zu verstehen, ohne Angreifern eine fertige Waffe in die Hand zu geben.
Verteidigungsmaßnahmen
Für Privatnutzer ändert sich unmittelbar wenig. Ein Wurm dieser Komplexität zielt auf Unternehmensnetzwerke, nicht auf den Heimrouter. Trotzdem bleibt der Hinweis berechtigt, dass schlecht gesicherte IoT-Geräte, Smart-TVs oder Netzwerkkameras in einem flachen Heimnetz als Sprungbrett dienen können.
Für IT-Verantwortliche ist die Konsequenz konkreter. Das Paper und die begleitende Berichterstattung legen drei Stoßrichtungen nahe, die ohnehin gute Praxis sind und durch diesen Befund an Gewicht gewinnen:
- Netzwerksegmentierung und Zero-Trust. Mikrosegmentierung begrenzt die laterale Ausbreitung eines Wurms erheblich. Wenn jede Generation der Replikation neue Hürden vorfindet, sinkt die Reichweite drastisch.
- Anomaliebasierte Erkennung statt reiner Signaturen. Ein Wurm ohne festen Exploit-Code hat keine feste Signatur. Verhaltensbasierte Erkennung, die ungewöhnliche Scan-, Eskalations- und Replikationsmuster bemerkt, trifft diese Bedrohungsklasse besser als ein Abgleich bekannter Malware-Hashes.
- Minimale Rechtevergabe. Die Erfolgsquote des Wurms hing maßgeblich an erfolgreicher Rechteausweitung. Wo Konten und Dienste nur das Nötigste dürfen, bricht ein Teil der Angriffskette weg.
Eine vierte Maßnahme ist proaktiv. Dieselbe KI-Fähigkeit, die hier den Angriff adaptiv macht, lässt sich für KI-gestützte, automatisierte Penetrationstests und Fuzzing gegen die eigene Infrastruktur nutzen. Die Forscher und mehrere Kommentatoren sehen darin die naheliegendste defensive Antwort. Aus adaptiver Verteidigung wird damit allerdings vorerst mehr Programm als Praxis.
Einordnung
Drei Punkte halte ich am Ende fest.
Erstens ist die Arbeit ein Preprint und noch nicht peer-reviewed. Die Zahlen können sich nach wissenschaftlicher Prüfung verschieben. Als Proof of Concept ist sie dennoch ernst zu nehmen, weil sie eine bislang hypothetische Bedrohung empirisch demonstriert.
Zweitens ist der eigentliche Bruch konzeptionell, nicht technisch. Es gibt keinen neuen Zero-Day, kein neues Einbruchswerkzeug. Es gibt einen Angreifer, der die Auswahl und Anpassung bekannter Angriffe an eine lokale KI delegiert und damit zwei Schutzlinien umgeht: die Kosten pro Angriff und die zentrale Missbrauchskontrolle der Cloud-Anbieter.
Drittens, im Wortlaut der Autoren: „This research uncovered a new cybersecurity threat the world is not prepared to face." Das ist eine starke Formulierung, und der isolierte Testaufbau relativiert sie. Aber die Richtung stimmt. Verteidigung, die ausschließlich auf schnelles Patchen setzt, kämpft gegen einen Gegner, dessen Grenzkosten gegen null laufen und dessen Fähigkeiten mit jeder neuen Modellgeneration steigen. Die defensive Hausaufgabe heißt deshalb nicht „schneller patchen", sondern Segmentierung, Verhaltenserkennung und minimale Rechte ernster nehmen als bisher.
Quellen
- Jonas Guan, Tom Blanchard, Hanna Foerster, Hengrui Jia, Gabriel Huang, Nicolas Papernot: „AI Agents Enable Adaptive Computer Worms", arXiv:2606.03811 (Preprint, nicht peer-reviewed) — Primärquelle.
- heise online / c’t: „Dieser KI-Wurm entwickelt für jedes Ziel neue Angriffe" — Ausgangsberichterstattung.
- Help Net Security: „Autonomous AI-driven worm can reason its way through corporate networks" — Einordnung und Verteidigungsmaßnahmen.
- iTnews: „Researchers build self-replicating AI worm with BYO LLM" — ergänzende Berichterstattung.
Alle Zahlen stammen aus dem Preprint und der begleitenden Berichterstattung. Operative Details und das eingesetzte Sprachmodell wurden von den Forschern bewusst zurückgehalten.
