a16z-finanziertes Startup: Hack deckt Werbung über KI-TikTok-Konten auf

• Eine „Phone Farm“ mit 1.100 Smartphones wurde gehackt, wodurch die Aktivitäten von auf TikTok betriebenen KI-generierten Werbekonten offengelegt wurden
• Das System wird von Doublespeed, einem von a16z finanzierten Startup, betrieben und verwaltet mehrere hundert KI-basierte Social-Media-Konten, die zur Produktwerbung eingesetzt werden
• Der Hacker verschaffte sich Zugriff und konnte Kontozuweisungen, Proxy-Informationen und Arbeitsverläufe einsehen
• Mit generativer KI erstellte Personenbilder und Videos wurden zur Bewerbung verschiedener Produkte wie Nahrungsergänzungsmittel, Apps und Massagegeräte verwendet; in vielen Fällen wurden Produkte ohne Werbekennzeichnung beworben
• Der Hacker erklärte, er habe die Schwachstelle am 31. Oktober dem Unternehmen gemeldet, habe aber weiterhin Zugriff auf Backend und Phone Farm

Überblick über den Doublespeed-Hack

• Ein Hacker übernahm eine Phone Farm aus 1.100 Mobiltelefonen und legte damit die Aktivitäten von auf TikTok betriebenen KI-generierten Werbekonten offen
  • Diese Phone Farm wird von Doublespeed verwaltet und dient der Produktwerbung über mehr als mehrere hundert KI-generierte Social-Media-Konten
• Durch den Hack wurde offengelegt, dass es zahlreiche Werbeinhalte ohne Kennzeichnung als Werbung gab
  • Die betreffenden Konten warben in Form von KI-Influencern für Produkte
• Der Hacker griff auf das Backend des Unternehmens zu und konnte sehen, welcher PC-Manager welche Telefone und TikTok-Konten steuert
  • Dabei wurden auch Proxy-Server, Passwörter und die Aufgabenwarteschlangen einzelner Konten offengelegt
  • Nach eigenen Angaben konnte der Hacker rund 1.100 Smartphones frei steuern und sie für Rechenressourcen oder Spam missbrauchen

So funktionierte die KI-Influencer-Werbung auf TikTok

• Von den mehr als 400 von Doublespeed betriebenen TikTok-Konten wurden etwa 200 tatsächlich zur Produktwerbung genutzt
• Viele Beiträge wurden ohne Kennzeichnung als Werbung hochgeladen
• Einige Konten scheinen einen „Warm-up“-Prozess durchlaufen zu haben, um wie echte Nutzer zu wirken
• Um die Erkennung unauthentischen Verhaltens durch TikTok zu umgehen, wurden echte Smartphone-Nutzungsmuster nachgeahmt

Konkrete Werbebeispiele

• Eine KI-generierte Figur einer Frau mittleren Alters sprach über körperliche Schmerzen und zeigte wiederholt das Vibit-Massagegerät
• Eine als UCLA-Studentin dargestellte KI-Figur kritisierte die Pharmaindustrie und bewarb dabei das Rosabella-Moringa-Nahrungsergänzungsmittel
  • Dass die Schrift auf dem Etikett der Produktflasche bedeutungslos generiert war, verriet das Bild als KI-Erzeugnis
• Einige Konten nutzten sogar KI-generierte Videos, um TikTok-Content-Agenturen wie Playkit zu bewerben

Zugriff des Hackers und Reaktion des Unternehmens

• Der Hacker bat aus Angst vor Vergeltung um Anonymität und erklärte, Doublespeed die Schwachstelle am 31. Oktober gemeldet zu haben
• Auch zum Zeitpunkt der Artikelerstellung habe der Hacker weiterhin Zugriff auf das Firmen-Backend und das Phone-Farm-System
• Doublespeed reagierte nicht auf Anfragen der Presse nach einer Stellungnahme

Reaktionen von Plattformen und Investor

• Doublespeed ist ein von Andreessen Horowitz (a16z) finanziertes Startup
• TikTok schreibt eine Kennzeichnungspflicht für KI-generierte Inhalte vor und ergänzte nach dem Hinweis entsprechende Labels bei den Konten
• a16z und Doublespeed gaben zu dem Vorfall keine offizielle Stellungnahme ab
• Ein Sprecher von Reddit erklärte, der Dienst von Doublespeed verstoße gegen die Nutzungsbedingungen
• Meta gab keine offizielle Antwort, doch das Geschäftsmodell verstoße strukturell gegen die Richtlinie zur authentischen Identitätsdarstellung