Google hat am 11. Mai 2026 etwas veröffentlicht, das die Sicherheitswelt aufhorchen lässt: den ersten dokumentierten Beweis, dass eine kriminelle Gruppe künstliche Intelligenz eingesetzt hat, um einen Zero-Day-Exploit zu entwickeln. Zum ersten Mal überhaupt. Das Google Threat Intelligence Group (GTIG) identifizierte den Python-Code des Exploits und erkannte dessen Herkunft sofort: übermäßig lehrhafte Docstrings, ein halluzinierter CVSS-Score, der in keiner Datenbank existiert, und eine makellose Struktur, die kein menschlicher Entwickler je so schreiben würde. Die KI hat ihre eigene Handschrift hinterlassen. Der Angriff richtete sich gegen ein weit verbreitetes Open-Source-Webadministrationstool, das Google nicht namentlich nennt, und hätte es jedem mit gültigen Anmeldedaten ermöglicht, die Zwei-Faktor-Authentifizierung zu umgehen. Er schlug nicht durch. Google arbeitete mit dem Anbieter zusammen, um die Schwachstelle zu patchen, bevor die Angriffskampagne anlaufen konnte.
John Hultquist, Chefanalyst des GTIG, brachte es in einem Statement auf den Punkt: „Es gibt die Fehlannahme, dass das KI-Wettrüsten bei Schwachstellen noch bevorsteht. Die Realität ist: Es hat bereits begonnen.“ Und er fügte hinzu, was wirklich nachdenklich stimmt: „Für jeden Zero-Day, den wir auf KI zurückführen können, gibt es wahrscheinlich viele weitere da draußen.“
Wie Google den KI-generierten Code erkannte
Es handelte sich nicht um eine klassische Schwachstelle. Kein Memory-Corruption-Bug, kein Input-Sanitization-Fehler. Es war subtiler: ein semantischer Logikfehler, eine hartcodierte Vertrauensannahme des ursprünglichen Entwicklers, die der Authentifizierungslogik der Anwendung widersprach. Herkömmliche Scanner hätten ihn übersehen. Sie suchen nach Abstürzen, Sink Points und Speicherkorruption, aber sie lesen keinen Code so, wie ein Entwickler ihn lesen würde.
LLMs schon. Sie können Absicht und Implementierung abgleichen, Widersprüche finden und latente Logikfehler aufdecken, die jedem automatisierten Tool verborgen bleiben. Was den Angreifer verriet, war der Stil: Der Python-Code enthielt überdimensionierte Kommentare, als würde das Modell jede Zeile einem Studenten erklären. Er enthielt einen erfundenen CVSS-Score mit einer Versionsnummer, die in keiner echten CVE-Datenbank vorkommt. Das GTIG hat hohe Zuversicht, dass ein KI-Modell sowohl bei der Entdeckung als auch bei der Bewaffnung der Schwachstelle assistiert hat. Die verwendete KI war weder Gemini noch Claude Mythos, das Anthropic-Modell, das im April 2026 blockiert wurde, weil es kritische Schwachstellen in inakzeptabler Geschwindigkeit fand. Man vermutet den Einsatz von OpenClaw oder einem gleichwertigen Modell.
Kein Einzelfall: das größere Bild des GTIG-Reports
Der Zero-Day-Fall ist nur ein Punkt auf einer größeren Karte. Der GTIG-Report vom 11. Mai dokumentiert ein Ökosystem KI-assistierter Aktivitäten, das staatliche und kriminelle Akteure gleichermaßen umfasst.
APT45, die nordkoreanische Militärgruppe, sendet laut dem GTIG-Report „Tausende wiederholter Prompts“ an KI-Modelle, um CVEs rekursiv zu analysieren und Proof-of-Concepts zu validieren, und baut damit ein Exploit-Arsenal in industriellem Maßstab auf, das ohne KI operativ nicht machbar wäre. UNC2814, ein China-naher Akteur, nutzt Jailbreak-Techniken mit „Experten-Persona“ um Gemini dazu zu bringen, Remote-Execution-Schwachstellen in TP-Link-Firmware und OFTP-Protokollen zu suchen. APT27, ebenfalls China-nahe, hat Gemini genutzt, um eine Netzwerkverwaltungsanwendung zu entwickeln, die Datenverkehr über Wohn-IPs leitet, ein schwer zu enttarnendes Verschleierungssystem.
Auf der kriminellen Seite haben russische Gruppen die Malware-Familien CANFAIL und LONGSTREAM verbreitet, beide vollgepackt mit KI-generiertem Code als Padding, um die Analyse von Sicherheitsforschern zu verwirren. Dann ist da noch PromptSpy: ein von ESET identifizierter Android-Backdoor, der die Gemini-API direkt aufruft, um das infizierte Gerät autonom zu navigieren, den Bildschirm in Echtzeit zu interpretieren und die nächsten Aktionen zu bestimmen. Autonom. Nicht ferngesteuert vom Angreifer, sondern vom Modell selbst gelenkt.
KI-assistierte Angriffs-Timeline 2026
KI-assistierte Angriffs-Timeline 2026
Wie Hacker KI zur Exploit-Entwicklung nutzen
Der vom GTIG dokumentierte Prozess verläuft in drei Phasen. In der ersten liefert der Angreifer dem Modell den Quellcode des Zielsystems oder die öffentliche Dokumentation und bittet darum, mögliche logische Angriffsflächen zu identifizieren, nicht nur klassische Typen wie Buffer Overflow oder Injection.
LLMs können Code so lesen wie ein Entwickler: Sie verstehen die Absicht, vergleichen Absicht mit Implementierung und erkennen, wo beide auseinanderklaffen. In der zweiten Phase generiert das Modell einen Proof-of-Concept in Python, strukturiert, kommentiert und funktionsfähig, mit dem einzigen Unterschied zu einem menschlichen Entwickler, dass die Kommentare zu didaktisch und der CVSS-Score erfunden sind.
In der dritten Phase testet der Angreifer den PoC in kontrollierten Umgebungen, nutzt gegebenenfalls agentische Werkzeuge wie OpenClaw zur automatisierten Validierung und bereitet den finalen Payload vor. Das alles in Stunden, nicht in Wochen. APT45 aus Nordkorea nutzt laut GTIG genau diese Pipeline: Tausende wiederholter Prompts, die CVEs parallel analysieren und PoCs automatisch validieren. Die operativen Kosten sinken, die Skalierung steigt. Wie sich diese Dynamik mit KI-Agenten, die bereits autonom im Krypto-Bereich agieren, verknüpft, zeigt der Fall LiteLLM besonders deutlich.
LiteLLM, Krypto-Wallets und ein Risiko, das kaum beachtet wird
LiteLLM ist die Bibliothek, die Softwareanwendungen mit KI-Modellanbietern verbindet. Wer einen KI-Agenten betreibt, der eine Exchange, ein Wallet, einen Portfolio-Monitor oder ein beliebiges System verwaltet, das mit Krypto-APIs interagiert, muss davon ausgehen, dass LiteLLM dazwischen liegt.
TeamPCP hat LiteLLM im März 2026 über vergiftete PyPI-Pakete kompromittiert. Der Credential-Stealer SANDCLOCK extrahierte AWS-Schlüssel und GitHub-Tokens direkt aus den Build-Umgebungen. Wer die kompromittierte Version von LiteLLM in seine Systeme integriert hatte, riskierte potenziell die Offenlegung von Exchange-API-Keys, Webhooks und aller in der CI/CD-Umgebung konfigurierten Geheimnisse. GTIG beschreibt dies als aufkommendes Muster: Frontier-Modelle sind schwer direkt zu kompromittieren. Die Konnektoren, Wrapper und API-Layer drumherum nicht. Für alle, die KI-Agenten betreiben, die autonome Krypto-Zahlungen durchführen, ist die Lieferkette der KI-Abhängigkeiten genauso Teil der Angriffsfläche geworden wie das Wallet selbst.
Der IWF veröffentlichte am 7. Mai eine unmissverständliche Erklärung: Cybersicherheit im KI-Zeitalter ist eine Frage der systemischen Finanzstabilität, nicht länger ein technisches Problem, das an IT-Abteilungen delegiert werden kann. Das NIST hat bereits die ersten Post-Quanten-Algorithmen standardisiert. Google setzt Big Sleep und CodeMender ein, um Schwachstellen automatisch zu finden und zu patchen, bevor es Angreifer tun. Das nächste Update des GTIG KI-Bedrohungsradars, basierend auf Q3 2026, wird zeigen, wie stark die Capability-Kurve seit Mai gestiegen ist. Hultquist erwartet Daten, die die Debatte neu definieren werden. Das Rennen hat früher begonnen als alle dachten.
