Wenn KI den Zwei-Faktor-Schutz knackt : Google warnt vor erstem KI-gestütztem Zero-Day im Masseneinsatz

Google hat einen Fall offengelegt, der für Sicherheitsteams weit über die einzelne Schwachstelle hinausweist. Die Google Threat Intelligence Group (GTIG) entdeckte eine Kampagne, bei der ein unbekannter Akteur einen Zero-Day-Exploit gegen ein populäres webbasiertes Administrationswerkzeug aus dem Open-Source-Umfeld einsetzte. Der Name des betroffenen Werkzeugs wurde nicht veröffentlicht.

Die Schwachstelle ermöglichte laut Google die Umgehung der Zwei-Faktor-Authentifizierung (2FA). Für einen erfolgreichen Angriff waren allerdings gültige Zugangsdaten erforderlich. Damit handelte es sich nicht um einen vollständig anonymen Einstieg, sondern um eine Methode, kompromittierte Konten trotz zusätzlichem Schutz weiter auszunutzen.

Semantischer Logikfehler statt Speicherfehler

Technisch besonders interessant ist die Art der Schwachstelle. Google beschreibt sie als übergeordneten semantischen Logikfehler, der aus einer fest einprogrammierten Vertrauensannahme entstand. Solche Fehler entstehen nicht zwangsläufig durch klassische Programmierfehler wie Pufferüberläufe, sondern durch falsche Annahmen im Ablauf der Anwendung.

Genau das macht den Fall so brisant: Die Schwachstelle beruhte nicht auf einem offensichtlichen Programmierfehler, sondern auf einer falschen Annahme in der Logik der Anwendung. Solche Muster können große Sprachmodelle offenbar immer besser erkennen. Die GTIG geht deshalb mit hoher Sicherheit davon aus, dass ein KI-Modell dabei half, die Schwachstelle zu finden und in einen nutzbaren Exploit zu verwandeln.

Python-Skript mit Spuren generativer KI

Der Exploit lag als Python-Skript vor. Laut Google enthielt der Code auffällig viele lehrbuchhafte Kommentare und Dokumentationszeichenfolgen, darunter sogar einen halluzinierten Schweregrad nach dem Common Vulnerability Scoring System (CVSS). Auch die saubere, stark strukturierte Python-Form und ausführliche Hilfemenüs passten zu typischen Ausgaben großer Sprachmodelle.

Google betont, es gebe keine Hinweise darauf, dass das eigene Modell Gemini verwendet wurde. Zugleich arbeitete das Unternehmen mit dem betroffenen Hersteller zusammen, um die Schwachstelle verantwortungsvoll offenzulegen und vor einer breiteren Ausnutzung zu schließen.

Massenausnutzung mit verkürzter Vorlaufzeit

Nach Einschätzung von Google wurde die Kampagne von Cyberkriminellen vorbereitet, die Schwachstellen im großen Stil ausnutzen wollten. Der Fall zeigt, dass künstliche Intelligenz Angreifern nicht nur bei Phishing-Texten oder Schadcodevarianten helfen kann. Sie kann offenbar auch dabei unterstützen, versteckte Logikfehler in Anwendungen zu finden und daraus funktionsfähige Exploits zu entwickeln.

Ryan Dewhurst von watchTowR beschreibt die Lage so: Künstliche Intelligenz macht es Angreifern leichter, Schwachstellen zu finden, ihre Ausnutzbarkeit zu prüfen und daraus scharfe Angriffswerkzeuge zu bauen. Für Verteidiger bedeutet das kürzere Zeitfenster für Analyse, Patching und Risikoabschätzung. Oder wie Dewhurst warnt: „Angreifer zeigen keine Gnade, und Verteidiger können sich dem nicht entziehen.“

Von Zero-Day-Exploits zu autonomer Schadsoftware

Der Fall zeigt nur einen Teil einer größeren Entwicklung: Künstliche Intelligenz wird nicht mehr nur genutzt, um Schwachstellen schneller zu finden oder Phishing-Texte glaubwürdiger zu formulieren. Sie hält zunehmend Einzug in Schadsoftware selbst. Besonders deutlich wird das bei PromptSpy, einer Android-Schadsoftware, die Gemini missbraucht, um Bildschirminhalte zu analysieren und daraus eigene nächste Schritte abzuleiten.

Die Schadsoftware kann die Android-Oberfläche selbstständig auswerten, Nutzeraktivitäten in Echtzeit beobachten und über ein autonomes Agentenmodul entscheiden, welche Aktion als Nächstes sinnvoll ist. Damit entsteht eine neue Qualität mobiler Angriffe: Die Malware folgt nicht nur starren Befehlen, sondern interpretiert die aktuelle Situation auf dem Gerät.

Biometrische Daten und blockierte Deinstallation

Besonders kritisch ist die Fähigkeit von PromptSpy, biometrische beziehungsweise verhaltensbasierte Authentifizierungsdaten abzugreifen. Dazu gehören etwa Eingabemuster wie eine Bildschirmsperr-PIN oder ein Entsperrmuster. Ziel ist es, den Zugriff auf ein kompromittiertes Gerät wiederherzustellen, auch wenn der Nutzer versucht, die Kontrolle zurückzugewinnen.

Hinzu kommt ein Schutzmechanismus gegen Entfernung. Ein Modul namens AppProtectionDetector erkennt die Bildschirmkoordinaten der Schaltfläche „Deinstallieren“ und legt eine unsichtbare Fläche darüber. Für den Nutzer wirkt es dadurch so, als reagiere die Schaltfläche nicht. Tatsächlich werden seine Berührungen abgefangen.

Google beschreibt die Architektur als widerstandsfähig: „Obwohl PromptSpy mit fest hinterlegter Standardinfrastruktur und Zugangsdaten startet, ist die Malware so ausgelegt, dass Angreifer zentrale Komponenten zur Laufzeit austauschen können, ohne die Schadsoftware neu auszurollen.“ Dazu zählen Command-and-Control-Infrastruktur, Gemini-Schnittstellenschlüssel und der Relay-Server für Virtual Network Computing. Verteidiger können einzelne Server blockieren, ohne die Kampagne zwingend zu stoppen.

Missbrauch von Gemini in mehreren Kampagnen

Google hat nach eigenen Angaben alle mit PromptSpy verbundenen schädlichen Ressourcen deaktiviert. Im Play Store wurden keine Anwendungen mit dieser Malware gefunden. Zugleich nennt Google weitere Fälle, in denen Angreifer Gemini missbrauchten:

• Die mutmaßlich mit China verbundene Spionagegruppe UNC2814 wies Gemini an, die Rolle eines Netzwerksicherheitsexperten zu übernehmen. Ziel war persona-getriebenes Jailbreaking und Schwachstellenforschung zu eingebetteten Geräten, darunter TP-Link-Firmware und Implementierungen des Odette File Transfer Protocol.
• Der nordkoreanische Akteur APT45, auch bekannt als Andariel und Onyx Sleet, übermittelte „tausende sich wiederholende Prompts“, um verschiedene Schwachstellenkennungen rekursiv zu analysieren und Machbarkeitsnachweise für Exploits zu validieren.
• Die chinesische Gruppe APT27 nutzte Gemini, um die Entwicklung einer Flottenverwaltungsanwendung zu beschleunigen. Diese sollte vermutlich ein Netz aus operativen Relay-Boxen verwalten.
• Eine mit Russland verbundene Angriffswelle gegen ukrainische Organisationen lieferte KI-gestützte Malware namens CANFAIL und LONGSTREAM aus. Beide nutzen durch große Sprachmodelle erzeugten Tarncode, um ihre schädliche Funktionalität zu verbergen.

 Schattenmärkte für Premium-Zugänge

Die Entwicklung beschränkt sich nicht auf einzelne Werkzeuge. Angreifer experimentieren auch mit spezialisierten Wissensquellen wie dem GitHub-Projekt wooyun-legacy. Es enthält mehr als 5000 reale Schwachstellenfälle der chinesischen Plattform WooYun aus den Jahren 2010 bis 2016 und dient als Code-Skill-Erweiterung für Claude. Google erklärt dazu: „Durch das Vorprägen des Modells mit Schwachstellendaten wird kontextbezogenes Lernen erleichtert, sodass das Modell Codeanalyse eher wie ein erfahrener Experte angeht.“

Parallel entsteht ein grauer Markt für inoffizielle Schnittstellen. Forschende des CISPA Helmholtz Center for Information Security fanden im März 2026 insgesamt 17 Schatten-Schnittstellen, die angeblich Zugriff auf offizielle Modelldienste ohne regionale Beschränkungen bieten. Die Risiken reichen von Modelltausch bis Datenabfluss. Auf medizinischen Hochrisiko-Benchmarks wie MedQA sank die Genauigkeit von Gemini 2.5 Flash laut Studie von 83,82 Prozent über die offizielle Schnittstelle auf rund 37,00 Prozent über untersuchte Schatten-Schnittstellen.

KI-Systeme werden selbst zum Angriffsziel

Google beobachtet außerdem, dass Angreifer automatisierte Registrierungswege und Middleware nutzen, um massenhaft Premium-Zugänge zu großen Sprachmodellen zu beschaffen. Die GTIG warnt: „Angreifer suchen inzwischen anonymisierten Premium-Zugang zu Modellen über professionalisierte Middleware und automatisierte Registrierungspipelines.“

Damit rücken KI-Umgebungen selbst in den Fokus. Gruppen wie TeamPCP, auch UNC6780 genannt, zielen auf Entwickler und Lieferketten. Wer Zugriff auf interne KI-Systeme erhält, kann Modelle und Werkzeuge missbrauchen, um sensible Daten in großem Stil zu identifizieren, zu sammeln und auszuleiten oder sich tiefer im Netzwerk zu bewegen. Für Unternehmen bedeutet das: KI-Sicherheit ist nicht mehr nur eine Frage der Modellnutzung, sondern Teil der gesamten Lieferketten- und Infrastrukturverteidigung.