Eine Million gescannte KI-Dienste: Sicherheitslücken im Eiltempo : Exponierte KI-Infrastruktur zeigt riskante Standardkonfigurationen und offene Schnittstellen
Die schnelle Einführung selbst betriebener KI-Systeme schafft neue Angriffsflächen. Eine Untersuchung von mehr als einer Million öffentlich erreichbarer Dienste zeigt: Viele Installationen sind ohne Anmeldung, mit unsicheren Standardwerten und teils mit Zugriff auf sensible Werkzeuge online.
Der Boom rund um große Sprachmodelle verändert nicht nur Entwicklungsprozesse, sondern auch die Sicherheitslage in Unternehmen. Während Softwarehersteller über Jahre hinweg bessere Verfahren für sichere Entwicklung, Härtung und Betrieb etabliert haben, droht die rasante Einführung von KI-Infrastruktur diese Fortschritte zu unterlaufen. Besonders kritisch wird es dort, wo Unternehmen große Sprachmodelle, Agentenplattformen und Chatbot-Systeme selbst betreiben, aber ohne ausreichende Schutzmaßnahmen direkt ins Internet stellen.
Nach den Vorfällen rund um den selbst gehosteten KI-Assistenten ClawdBot – dieser produziert pro Tag durchschnittlich 2,6 CVEs – untersuchte das Sicherheitsteam von Intruder über Zertifikatstransparenzprotokolle nach eigenen Angaben mehr als zwei Millionen Hosts mit rund einer Million öffentlich erreichbaren Diensten. Das Ergebnis fällt drastisch aus: Die geprüfte KI-Infrastruktur war in vielen Fällen stärker exponiert, schlechter abgesichert und häufiger falsch konfiguriert als andere zuvor untersuchte Softwareumgebungen.
Ohne Anmeldung direkt ins System
Ein zentrales Ergebnis der Untersuchung: Viele Systeme wurden offenbar installiert und danach ohne weitere Absicherung online betrieben. In zahlreichen Anwendungen war keine Anmeldung erforderlich, weil der Zugangsschutz in mehreren Projekten nicht automatisch eingeschaltet ist. Dadurch waren nicht nur einfache Demo-Oberflächen frei zugänglich, sondern auch echte Nutzerdaten, Chatverläufe und interne Werkzeuge.
Besonders problematisch sind offen erreichbare Chatbots. Bei einer auf OpenUI basierenden Instanz war laut Untersuchung die vollständige Gesprächshistorie eines Nutzers einsehbar. In Unternehmen können solche Verläufe weit mehr enthalten als harmlose Fragen: interne Strategien, technische Details, personenbezogene Daten oder Hinweise auf eingesetzte Systeme.
Noch gefährlicher waren frei zugängliche Chatbots, die gleich mehrere KI-Modelle nutzen konnten, darunter auch Modelle, die nicht nur Text, sondern auch Bilder oder andere Inhalte verarbeiten. Solche Systeme lassen sich missbrauchen, um eingebaute Schutzregeln zu umgehen, problematische Inhalte zu erzeugen oder teure KI-Modelle auf fremden Servern zu verwenden. Die Untersuchung fand außerdem Chatbots mit großen Mengen persönlicher, nicht jugendfreier Gespräche. In einem Fall waren sogar die Programmierschnittstellenschlüssel der Claude-basierten Bots im Klartext sichtbar.
Agentenplattformen als Einfallstor
Auch Agenten- und Workflow-Plattformen wie n8n und Flowise standen ungeschützt im Netz. Einige Installationen wirkten wie interne Systeme, waren aber ohne Anmeldung erreichbar. Bei einer besonders gravierenden Flowise-Instanz war die gesamte Geschäftslogik eines Chatbot-Dienstes offen sichtbar.
Zwar verhinderte Flowise in diesem Fall, dass gespeicherte Zugangswerte direkt ausgelesen werden konnten. Dennoch blieb das Risiko erheblich: Angreifer hätten verbundene Werkzeuge nutzen können, um Daten abzugreifen oder Abläufe zu manipulieren. Genau darin liegt die besondere Gefahr solcher Plattformen. Ein Bot mit Zugriff auf Drittsysteme kann faktisch Zugriff auf alles bedeuten, was diese Integration berührt.
In weiteren Fällen waren besonders riskante Funktionen frei erreichbar. Dazu gehörten Werkzeuge, die Inhalte aus dem Internet auslesen, Dateien auf dem Server schreiben oder Programmcode ausführen können. Wenn solche Funktionen ohne ausreichende Abschottung betrieben werden, können Angreifer unter Umständen Befehle auf dem Server ausführen.
Besonders gefährlich wird das, wenn diese Systeme nicht klar von produktiven Unternehmensnetzen getrennt sind. Dann bleibt der Angriff möglicherweise nicht auf den Chatbot oder die Workflow-Plattform beschränkt, sondern kann sich auf angebundene Systeme ausweiten.
Die Untersuchung fand mehr als 90 offen erreichbare Installationen in Bereichen wie Verwaltung, Marketing und Finanzwesen. Sichtbar waren unter anderem Chatbots, Arbeitsabläufe, Eingabeaufforderungen und angebundene externe Dienste. Angreifer könnten dadurch Antworten manipulieren, Datenströme umleiten, Nutzerdaten offenlegen oder vertrauliche Informationen aus verbundenen Systemen abgreifen.
Offene Ollama-Schnittstellen reagieren auf einfache Anfragen
Besonders auffällig war die Zahl öffentlich erreichbarer Ollama-Programmierschnittstellen ohne Authentifizierung. Das Team sendete eine einfache Anfrage, „Hallo“, an alle Server mit verbundenem Modell. Von mehr als 5200 abgefragten Servern antworteten 31 Prozent.
Die Antworten zeigten, wofür manche Systeme eingesetzt wurden. Ein System meldete sich sinngemäß mit: „Seid gegrüßt, Meister. Euer Wunsch ist mir Befehl.“ Ein anderes bot Unterstützung bei Gesundheit und Wohlbefinden an, etwa bei Angstzuständen oder Schlafproblemen. Eine weitere Antwort lautete sinngemäß: „Willkommen! Ich bin ein KI-Assistent, der in unsere Cloud-Management-Systeme integriert ist.“
Ollama speichert Chatnachrichten nicht selbst. Deshalb werden über eine offene Ollama-Schnittstelle nicht automatisch frühere Gespräche sichtbar. Das Risiko liegt an anderer Stelle: Viele der gefundenen Installationen waren mit kostenpflichtigen, besonders leistungsfähigen KI-Modellen verbunden, unter anderem von Anthropic, Deepseek, Moonshot, Google und OpenAI.
Insgesamt identifizierte die Untersuchung 518 solcher eingebundenen Spitzenmodelle. Offene Schnittstellen können dadurch missbraucht werden, um diese Modelle auf fremde Kosten zu nutzen. Außerdem besteht die Gefahr, dass Angreifer über den offenen Zugang Funktionen auslösen, die eigentlich nur intern vorgesehen waren.
Unsichere Muster statt gehärteter Standards
Die Laboranalyse einzelner Anwendungen zeigte wiederkehrende Schwächen:
- Schlechte Bereitstellungspraxis: unsichere Standardwerte, falsch konfigurierte Docker-Umgebungen, fest eincodierte Zugangsdaten, Anwendungen mit Root-Rechten
- Keine Anmeldung bei Neuinstallationen: viele Projekte führen Nutzer direkt in Konten mit hohen Rechten und Verwaltungszugriff
- Fest eincodierte und statische Zugangsdaten: Zugangswerte stehen in Beispielen und Docker-Compose-Dateien, statt bei der Installation erzeugt zu werden
- Neue technische Schwachstellen: innerhalb weniger Tage fand das Team beliebige Codeausführung in einem verbreiteten KI-Projekt
Diese Probleme werden verschärft, sobald Agenten Werkzeuge wie Code-Interpretation, Dateizugriff oder externe Integrationen nutzen dürfen. Dann reicht eine falsch konfigurierte Oberfläche nicht mehr nur bis zum Chatbot, sondern potenziell bis zu Backend-Systemen, Datenquellen und Cloud-Ressourcen.
Tempo schlägt Kontrolle
Die Untersuchung macht deutlich, dass KI-Infrastruktur vielerorts schneller ausgerollt als abgesichert wird. Das ist nicht allein ein Herstellerproblem. Der Druck, KI-Funktionen zügig bereitzustellen und Wettbewerbern zuvorzukommen, führt dazu, dass sichere Standardkonfigurationen, Zugriffskontrollen und Netzsegmentierung zu spät berücksichtigt werden.
Für Unternehmen heißt das: Selbst betriebene KI-Systeme müssen genauso sorgfältig abgesichert werden wie andere wichtige Unternehmensanwendungen. Es reicht nicht, einen Chatbot oder einen KI-Agenten schnell zu installieren und online zu stellen.
Schon bei der ersten Einrichtung muss eine Anmeldung Pflicht sein. Zugangsdaten dürfen nicht in Beispieldateien oder Konfigurationsvorlagen stehen. Jeder Dienst sollte nur die Rechte bekommen, die er wirklich braucht. Außerdem sollten KI-Systeme nicht frei aus dem Internet erreichbar sein, sondern klar von wichtigen Unternehmensnetzen getrennt werden.
Ebenso wichtig sind Protokolle, damit ungewöhnliche Zugriffe nachvollziehbar bleiben, regelmäßige Schwachstellenprüfungen und ein genauer Überblick darüber, welche Werkzeuge, Datenquellen und externen Dienste an das KI-System angebunden sind.
Der Grund ist einfach: KI-Agenten sind keine harmlosen Testwerkzeuge mehr. Sie können Abläufe steuern, Daten abrufen, externe Dienste ansprechen und teilweise sogar Aktionen in Unternehmenssystemen auslösen. Deshalb müssen sie wie produktive, sicherheitskritische Schnittstellen behandelt und geschützt werden.
Weitere Artikel zum Thema: