Viele Unternehmen reduzieren KI-Sicherheit noch auf drei Kontrollpunkte: Welche Prompts dürfen Mitarbeitende eingeben? Welche Daten verlassen das Unternehmen? Und welche Modellantworten müssen blockiert werden? Eine aktuelle Forschungsarbeit zeigt, warum diese Sicht zu eng greift. Sobald ein KI-Agent nicht nur Text erzeugt, sondern Tools nutzt, Schwachstellenberichte liest, Befehle ausführt und sich auf weitere Systeme kopiert, wird aus KI-Sicherheit klassische Netzwerksicherheit — ergänzt um eine adaptive Angriffsschicht.
Forscher der University of Toronto, des Vector Institute und der University of Cambridge veröffentlichten am 2. Juni 2026 die Arbeit „AI Agents Enable Adaptive Computer Worms“. Die University of Toronto beschreibt den Prototyp als KI-gestützten Wurm, der seine Angriffsstrategie von Ziel zu Ziel anpasst. Help Net Security berichtete am 3. Juni über die technischen Ergebnisse und ordnet die Forschung als Proof-of-Concept in einer isolierten Laborumgebung ein. Für Unternehmen ist das relevant, weil es nicht um hypothetische Superintelligenz oder geheime Zero-Days geht. Der Prototyp nutzt öffentlich bekannte, ungepatchte Schwachstellen, Fehlkonfigurationen und wiederkehrende Schwächeklassen.
Was technisch anders ist als bei klassischen Würmern
Klassische Würmer wie WannaCry folgten meist einem starren Muster: eine konkrete Schwachstelle, ein definierter Exploit-Pfad, massenhafte Verbreitung. Wird die zentrale Lücke gepatcht oder der betroffene Verkehr segmentiert, lässt sich die Ausbreitung zumindest deutlich begrenzen. Der neue Prototyp setzt anders an. Er nutzt ein agentisches Framework mit lokal ausgeführtem Open-Weight-LLM, Tool-Nutzung, Gedächtnis- und Rekursionslogik. Der Wurm analysiert ein Zielsystem, liest verfügbare Hinweise, wählt eine Strategie und versucht anschließend, Kontrolle über das System zu erlangen.
Wichtig ist die Abgrenzung: Die Forschenden behaupten nicht, dass der Prototyp unbekannte Zero-Days entdeckt. Laut der Forschungsseite von CleverHans zielt er auf bekannte, aber ungepatchte Schwachstellen, Fehlkonfigurationen und typische Probleme in Unternehmensnetzen. Genau darin liegt die praktische Relevanz. Viele reale Angriffe benötigen keine spektakulären neuen Lücken. Sie nutzen bekannte Fehler schneller und flexibler aus, als Verteidiger sie schließen können.
Nach Angaben von Help Net Security bestand der Versuchsaufbau aus einem isolierten Netzwerk mit 33 Hosts, darunter Linux-Server, Windows-Systeme und IoT-Geräte. In 15 unabhängigen Läufen über jeweils sieben Tage identifizierte der Wurm im Durchschnitt 31,3 Schwachstellen, erlangte auf 23,1 Hosts erhöhte Rechte und verbreitete sich auf 20,4 Hosts. Einzelne Exploit-Versuche waren nicht zuverlässig: Die Forscher nennen eine Erfolgsquote von 44 Prozent. Viele Fehlschläge gingen allerdings auf fehlerhafte Payloads zurück, nicht auf eine falsche Strategie. Das ist kein Entwarnungssignal. Eine verteilte Agentenarchitektur kann viele unabhängige Versuche parallel starten und einzelne Fehler dadurch ausgleichen.
Warum Cloud- und KI-Plattformkontrollen nicht ausreichen
Für Enterprise-Security-Teams ist vor allem die Ausführungsumgebung entscheidend. Der Prototyp muss keine kommerzielle KI-API missbrauchen. Er nutzt ein Open-Weight-Modell, das lokal auf kompromittierter Hardware läuft. GPU-starke Systeme werden so selbst zur Recheninfrastruktur des Angriffs. Geräte mit geringer Rechenleistung, etwa IoT-Komponenten, können Reasoning-Anfragen an bereits kompromittierte GPU-Knoten weiterreichen.
Damit verlieren zentrale Sicherheitsmechanismen vieler KI-Plattformen an Wirkung. Content-Filter, Rate Limits oder Nutzungsrichtlinien eines Cloud-Modellanbieters helfen nur begrenzt, wenn Angreifer Modellgewichte lokal kontrollieren, Guardrails entfernen oder die Inferenz vollständig außerhalb der Plattform betreiben. Plattformkontrollen bleiben nützlich. Sie eignen sich aber nicht als primäre Verteidigung gegen autonome Angriffssysteme, die lokal betrieben werden.
Die Arbeit beschreibt zudem, dass der Wurm öffentliche Advisories zur Laufzeit auswerten konnte. Help Net Security nennt Beispiele wie Copy Fail, Dirty Frag und eine Marimo-RCE, die nach dem Trainingsstichtag des zugrunde liegenden Modells bekannt wurden. Entscheidend ist damit nicht das im Modell gespeicherte Wissen. Entscheidend ist die Fähigkeit, aktuelle technische Texte zu lesen, daraus operative Schritte abzuleiten und diese im Zielnetz auszuprobieren.
Branchenkontext: Agenten werden Teil der Angriffsfläche
Die Studie fügt sich in einen größeren Trend ein. Unternehmen führen KI-Agenten in Entwicklerumgebungen, SOC-Prozessen, Cloud-Betrieb, Datenanalyse und IT-Automatisierung ein. Diese Agenten erhalten Zugriff auf Tools, Credentials, Shell-Kommandos, Browser-Automation oder Datenbankkonnektoren. Gleichzeitig verbessern sich offensive KI-Fähigkeiten. Modelle fassen Schwachstellenberichte zusammen, generieren Code, interpretieren Fehlermeldungen und schlagen alternative Ausführungswege vor.
Für Entscheider ist deshalb die Frage „Kann KI heute vollständig autonom hacken?“ zu kurz gegriffen. Relevanter ist: „Welche bestehenden Schwächen werden gefährlicher, wenn Angreifer sie maschinell, adaptiv und fast ohne zusätzliche Grenzkosten operationalisieren können?“ Der Prototyp der Toronto-Forscher liefert darauf eine nüchterne Antwort: Ungepatchte Systeme, schwache Passwörter, flache Netze, schlecht geschützte Admin-Schnittstellen und überprivilegierte Maschinen sind keine neuen Probleme. Sie werden aber deutlich skalierbarer ausnutzbar.
Konkrete Implikationen für Unternehmen
Erstens sollten Unternehmen Patch- und Exposure-Management stärker nach Ausnutzbarkeit im eigenen Kontext priorisieren. Ein CVE-Score reicht nicht. Entscheidend ist, ob ein System aus dem Netz erreichbar ist, ob Standard-Credentials existieren, ob laterale Bewegung möglich ist und ob öffentliche Exploit- oder Advisory-Informationen leicht operationalisierbar sind.
Zweitens gewinnt Segmentierung wieder an Gewicht. Die Forschenden nennen Zero-Trust-Prinzipien und Micro-Segmentation als zentrale Gegenmaßnahmen. In der Praxis heißt das: keine pauschalen Vertrauenszonen, restriktive Ost-West-Kommunikation, separate Management-Netze, starke Authentisierung zwischen Workloads und klare Egress-Kontrollen. Ein adaptiver Wurm darf nach dem ersten kompromittierten Host nicht automatisch Datenbanken, Build-Server, IoT-Netze und GPU-Workstations erreichen.
Drittens sollten GPU- und KI-Workstations als kritische Infrastruktur gelten. Werden solche Systeme kompromittiert, verlieren Unternehmen nicht nur Daten. Sie stellen Angreifern auch Rechenleistung für weitere Operationen bereit. Monitoring sollte deshalb ungewöhnliche lokale Modellinferenz, unerwartete GPU-Auslastung, neue Agentenprozesse, verdächtige Tool-Aufrufe und laterale Verbindungen erfassen.
Viertens brauchen Unternehmen realistischere Sicherheitsübungen. Die Forschungsgruppe empfiehlt KI-gestützte Penetrationstests und Fuzzing gegen die eigene Infrastruktur. Das ist sinnvoll, solange es kontrolliert, dokumentiert und nicht als Ersatz für Grundlagen verstanden wird. Automatisierte Tests finden Lücken schneller. Sie ersetzen aber keine Asset-Inventur, keine überfälligen Patches und keine belastbaren Netzwerkgrenzen.
Risiken und Limitierungen der Studie
Der Prototyp lief in einem isolierten Labor, nicht im offenen Internet. Die Forschenden hielten operative Details bewusst zurück und stimmten die Veröffentlichung mit Sicherheits- und Verteidigungsstellen ab. Zudem zeigte der Wurm klare Schwächen. Web-Anwendungsstrukturen, Windows-Kommando-Umgebungen und präzise Payload-Syntax waren laut Help Net Security schwierige Bereiche. Daraus folgt: Die Studie belegt nicht, dass jeder Angreifer morgen ein perfektes autonomes Botnetz starten kann.
Trotzdem wäre es leichtfertig, die Arbeit als akademische Spielerei abzutun. Gerade weil der Prototyp mit heutigen, kleinen Open-Weight-Modellen und bekannten Schwachstellen arbeitet, ist die Botschaft für Verteidiger konkret. Unternehmen müssen nicht auf eine neue Produktkategorie warten. Sie müssen bestehende Kontrollen gegen eine schnellere, adaptivere und billigere Angriffsausführung härten.
Fazit
Adaptive KI-Würmer verschieben die Debatte über AI Security. Es geht nicht nur um Prompt-Injection, Modellfilter oder sichere Chatbots. Es geht um die Verbindung aus Agentenlogik, Tool-Zugriff, Netzwerkreichweite und gestohlener Rechenleistung. Der wichtigste Schutz bleibt unspektakulär: aktuelle Systeme, starke Identitäten, Segmentierung, restriktive Rechte, sauberes Monitoring und regelmäßige Tests. Neu ist der Zeitdruck. Wenn Angreifer bekannte Schwachstellen künftig automatisch lesen, interpretieren und testen lassen können, schrumpft die Zeitspanne zwischen Bekanntwerden und Ausnutzung. Genau dort müssen Unternehmen ihre Sicherheitsprozesse zuerst beschleunigen.
Quellen: University of Toronto, „U of T researchers demonstrate AI worm could target any online device“ (2. Juni 2026); CleverHans Lab, „Adaptive Computer Worms“; arXiv:2606.03811, „AI Agents Enable Adaptive Computer Worms“; Help Net Security, „Autonomous AI-driven worm can reason its way through corporate networks“ (3. Juni 2026).
