Forschende der Universität Cambridge haben einen KI-Wurm entwickelt, der sich über Netzwerke hinweg anpasst.

Forschende der Universität Toronto und andere haben erfolgreich einen Proof of Concept für einen autonomen KI-Wurm erstellt, der statt auf eine feste Liste von Schwachstellen auf kleine Open-Weight-Sprachmodelle (LLMs) setzt, um Ziele selbst zu analysieren, Angriffsstrategien zu entwickeln und sich in Unternehmensnetzwerken zu verbreiten.

Vollständige Übersetzung

Forschende der Universität Toronto, des Vector Institute und der Universität Cambridge haben ein Proof-of-Concept-Modell eines autonomen KI-basierten Wurms entwickelt und getestet, das nicht auf eine feste Liste von Exploits angewiesen ist. Dieser Wurm analysiert jedes Ziel, auf das er trifft, selbstständig, leitet daraus ab, wie es angegriffen werden kann, und entwickelt seine Strategie direkt zur Laufzeit. All dies geschieht mit Hilfe kostenloser kleiner Open-Weight-Sprachmodelle (LLMs), die direkt auf bereits infizierten Geräten ausgeführt werden.

Ein Wurm auf Basis von Open-Weight-Modellen, die auf infizierter Hardware gehostet werden

Die Forschenden erklärten: „Unser Prototyp zielt auf veröffentlichte, aber ungepatchte Schwachstellen, Fehlkonfigurationen und wiederkehrende Schwachstellenklassen ab – also genau auf die Faktoren, auf denen die meisten realen Cyberangriffe beruhen.“ Sie fügten hinzu: „Dieser Wurm benötigt nicht die Fähigkeit, neue Zero-Day-Schwachstellen zu entdecken. Es genügt ein KI-Modell, das intelligent genug ist, bestehende bekannte Schwachstellen unter realen Bedingungen gegen unterschiedliche Zielkonfigurationen auszunutzen.“

In einer isolierten Testnetzwerkumgebung mit 33 Hosts, bestehend aus Linux-Servern, Windows-Geräten und IoT-Geräten mit bekannten Schwachstellen, Konfigurationsfehlern und häufigen Schwächen, führten die Forschenden 15 unabhängige Experimente durch, von denen jedes sieben Tage lief.

Die Ergebnisse zeigten, dass der Wurm im Durchschnitt 31,3 Schwachstellen korrekt identifizierte {b:31.3}, 23,1 Hosts angriff und seine Berechtigungen ausweitete {b:23.1} und sich erfolgreich auf 20,4 Hosts ausbreitete {b:20.4}. (Von insgesamt 33 Hosts entspricht das einer Infektions- und Ausbreitungsrate von etwa 62 % {p:62}.)

Der Wurm zeigte außerdem die Fähigkeit, auch Schwachstellen anzugreifen, die erst nach dem Wissensstichtag des Basismodells veröffentlicht wurden, darunter Copy Fail, Dirty Frag und Marimo RCE. Dazu las er zur Laufzeit öffentliche Sicherheitswarnungen, erschloss daraus die nötigen Informationen und erzeugte funktionsfähige Exploits.

Darüber hinaus nutzte er allgemeine Schlussfolgerungsfähigkeiten, um unerwartete Fehler zu diagnostizieren und Lösungen zu finden. So entdeckte er etwa selbstständig eine in seinem Quellcode hart codierte IP-Sperrliste und änderte sie ohne jede Anweisung. In einem anderen Fall stürzten Replikate auf Alpine Linux und Windows Server 2008 aufgrund eines Fehlers bei der Erkennung virtueller Maschinen (VM) ab. Daraufhin fand der übergeordnete Wurm auf dem Zielgerät die Authentifizierungs-Quelldatei, entfernte die problematische Prüflogik und versuchte den Angriff anschließend erfolgreich erneut.

Ein Prototyp-Wurm, der nicht auf kommerzielle KI-Plattformen angewiesen ist

Besonders beunruhigend an diesem Prototyp ist die Art, wie er sich selbst aufrechterhält. Der Wurm kapert unter den infizierten Geräten solche mit GPU und nutzt die gestohlenen Rechenressourcen, um das Sprachmodell lokal auszuführen. Schwächere Geräte wie IoT-Sensoren, die das Modell nicht selbst hosten können, leiten Inferenzanfragen an infizierte GPU-Knoten weiter, die sich weiter oben im Netzwerk befinden.

Damit zeigen die Ergebnisse, dass die von kommerziellen KI-Plattformen aufgebauten Kontrollmechanismen diese neue Art von Bedrohung nicht aufhalten können und dass sich die Sicherheitsleitplanken von Open-Weight-Modellen leicht umgehen lassen, wenn Angreifer die lokale Ausführungsumgebung vollständig kontrollieren.

Die Forschenden erklärten: „Das von uns evaluierte Proof-of-Concept-Modell erbte die Fähigkeitsgrenzen seines Basismodells. Die Erfolgsquote einzelner Exploit-Versuche lag bei 44 % {p:44}, und die meisten Fehlschläge waren nicht auf falsche Angriffsstrategien zurückzuführen, sondern auf fehlerhafte Payload-Formate.“ Weiter hieß es: „Der Wurm hatte insbesondere Schwierigkeiten mit Webanwendungsstrukturen, Windows-Befehlsumgebungen und der Payload-Syntax, die präzise String-Manipulation erfordert. Das spiegelt lediglich die Grenzen der Codegenerierung aktueller Modelle wider, die auf einer einzelnen GPU laufen, und ist keine grundlegende Beschränkung dieses Ansatzes. Mit Verbesserungen bei Codegenerierung und strukturierten Ausgaben von Sprachmodellen wird dies künftig überwindbar sein. Trotz dieser Schwächen bei einzelnen Versuchen konnte die Swarm-Architektur des Wurms diese durch parallele und unabhängige Schlussfolgerungspfade ausgleichen und so die berichteten Ergebnisse erreichen.“

Der derzeit beste Abwehransatz gegen KI-basierte Würmer

Die Forschenden räumten offen den Dual-Use-Charakter dieser Arbeit ein und ließen konkrete operative Details – darunter die Reasoning-Architektur des Agenten, den vollständigen Tool-Stack und die Namen der verwendeten LLMs – aus der veröffentlichten Arbeit weg. Vor der Veröffentlichung teilten sie ihre Erkenntnisse mit mehreren kanadischen Wissenschafts-, Sicherheits- und Verteidigungsbehörden und erhielten Unterstützung bei der Prüfung, damit der Aufsatz keine Informationen enthält, die Angreifern nützen könnten. (Sicherheitsforschende können bei der Universität Toronto Zugang zum Prototyp beantragen.)

Wegen seiner innovativen Selbstreplikationsfähigkeiten achteten die Forschenden zudem besonders darauf, den Wurm strikt innerhalb des Testlabors zu isolieren, damit er nicht nach außen entweichen konnte.

Die Forschenden betonten: „Diese Studie liefert empirische Belege dafür, dass autonome Cyberangriffe den Sprung von einem theoretischen Risiko zu einer nachgewiesenen realen Fähigkeit gemacht haben – mit Folgen für KI-Forschung, Cybersicherheit und öffentliche Politik.“ Außerdem erklärten sie: „Diese Arbeit macht eine neue Cybersicherheitsbedrohung sichtbar, auf die die Welt noch nicht vorbereitet ist. Forschende, Industrie, politische Entscheidungsträger und die breite Öffentlichkeit müssen dringend gemeinsam handeln, um dieser neuen Bedrohung zu begegnen.“

Aus Verteidigungssicht nennt die Studie zwei Prioritäten:

• Einsatz von KI-gestützten automatisierten Penetrationstests und Fuzzing-Tools: Organisationen sollten ausnutzbare Schwächen in ihrer eigenen Infrastruktur finden und patchen, bevor gegnerische Akteure dies tun.
• Konsequente Netzwerksegmentierung: Eine angemessene Netzwerksegmentierung kann die Ausbreitung eines Wurms wirksam eindämmen. Unverzichtbar sind Zero-Trust-Prinzipien, bei denen innerhalb des Perimeters nichts grundsätzlich vertraut wird und jede Zugriffsanfrage fortlaufend verifiziert werden muss, sowie Micro-Segmentation, die den Schadensradius im Fall einer erfolgreichen Kompromittierung begrenzt.

Die Forschenden warnten, dass die Verhaltenssignatur dieses Prototyp-Wurms zwar mit heutigen Systemen zur Netzwerküberwachung und Angriffserkennung (IDS) erfasst werden könne, zukünftige Würmer böswilliger Akteure jedoch sehr viel besser darin sein könnten, solche Erkennung zu umgehen.