CSO Online hat zum Jahresende 2025 eine Bilanz der fünf gravierendsten realen AI-Security-Bedrohungen gezogen. Keine theoretischen Risiken, keine hypothetischen Szenarien – sondern dokumentierte Angriffe, gemessene Schäden und nachgewiesene Schwachstellen. Die Übersicht zeigt: KI-Sicherheit ist längst kein Nischenthema mehr, sondern ein operatives Problem mit konkreten finanziellen Folgen.
Bedrohung 1: Prompt Injection – überall
Prompt Injection hat sich 2025 von einer akademischen Schwachstelle zum allgegenwärtigen Angriffsvektor entwickelt. CSO Online dokumentiert erfolgreiche Demonstrationen gegen praktisch jedes relevante KI-Produkt:
- GitHub Copilot: Indirekte Prompt Injection über manipulierte Repository-Dateien, die Copilot zur Einfügung von Schadcode in Vorschläge bewegten.
- GitLab Duo: Prompt Injection über Merge-Request-Kommentare mit Zugriff auf private Quellcode-Repositories.
- Salesforce Einstein: Manipulation des CRM-Assistenten zur Preisgabe vertraulicher Kundendaten.
- Microsoft Copilot Studio: Extraktion sensibler Unternehmensdaten durch gezielte Prompt-Konstruktion.
- Perplexity AI: Umgehung von Sicherheitsrichtlinien durch kreative Prompt-Techniken.
- ChatGPT: Diverse Jailbreak-Techniken, die trotz fortlaufender Patches funktional blieben.
Das Muster ist eindeutig: Kein Anbieter hat das Prompt-Injection-Problem gelöst. Die Verteidigung besteht aus Schichten von Mitigationen, die jeweils umgangen werden können. Eine tiefere Analyse dieses strukturellen Problems liefert unser Artikel Prompt Injection 2026 – warum das Problem unlösbar bleibt.
Bedrohung 2: AI-Infrastructure-Schwachstellen
Orca Security liefert alarmierende Zahlen: 84 Prozent der untersuchten Organisationen setzen KI in der Cloud ein. 62 Prozent davon haben mindestens ein verwundbares KI-Paket in ihrer Infrastruktur. Die Angriffsfläche umfasst:
- Ungepatchte KI-Frameworks (TensorFlow, PyTorch, LangChain)
- Öffentlich erreichbare Modell-Endpunkte ohne Authentifizierung
- Fehlkonfigurierte Vektor-Datenbanken mit sensiblen Embedding-Daten
- GPU-Cluster mit veralteten CUDA-Treibern und bekannten Schwachstellen
Die Infrastruktur hinter KI-Anwendungen ist oft provisorisch aufgebaut: schnell deployt, selten gehärtet, kaum überwacht. Sicherheitsteams, die klassische IT-Infrastruktur beherrschen, fehlt häufig das Wissen über KI-spezifische Angriffsflächen. Die AI Security Landscape 2026 kartiert die Werkzeuge, die diese Lücke schließen sollen.
Bedrohung 3: LLMjacking
LLMjacking ist der Diebstahl von API-Zugangsdaten für Sprachmodelle. Angreifer stehlen API-Keys für OpenAI, Anthropic, Google oder Azure-Dienste und nutzen die geklauten Konten für eigene Zwecke – oder verkaufen den Zugang weiter. Die finanziellen Schäden sind erheblich: CSO Online berichtet von Kosten über 100.000 US-Dollar pro Tag für betroffene Unternehmen.
Microsoft ging 2025 juristisch gegen eine Gruppe vor, die gestohlene Azure-OpenAI-Credentials nutzten, um einen „Hacking-as-a-Service“-Dienst zu betreiben. Die Angeklagten generierten mit den gestohlenen Konten schädliche Inhalte und verkauften den Zugang an Dritte.
Das Problem wird durch Shadow AI verschärft: Mitarbeiter registrieren sich mit Firmen-E-Mails bei KI-Diensten, hinterlegen Kreditkarten der Firma und teilen API-Keys über unsichere Kanäle. Jeder dieser unkontrollierten Zugangspunkte ist ein potenzielles Einfallstor.
Bedrohung 4: MCP-Server-Schwachstellen
Das Model Context Protocol (MCP) hat sich 2025 als De-facto-Standard für die Verbindung von Sprachmodellen mit externen Diensten etabliert. Zehntausende MCP-Server sind online – und viele davon sind verwundbar. CSO Online identifiziert zwei Hauptangriffsvektoren:
- Command Injection: MCP-Server validieren eingehende Anfragen unzureichend. Angreifer schleusen über manipulierte Tool-Aufrufe Shell-Befehle ein, die auf dem Server ausgeführt werden.
- Prompt Hijacking: Tool-Beschreibungen in MCP-Servern enthalten versteckte Anweisungen, die das verbundene Sprachmodell manipulieren. Der Nutzer sieht ein harmloses Tool – das LLM liest zusätzliche, verdeckte Instruktionen.
Die Kombination aus der rasanten Verbreitung von MCP und der fehlenden Sicherheitskultur in der MCP-Entwickler-Community schafft eine Angriffsfläche, die 2026 massiv ausgenutzt werden dürfte.
Bedrohung 5: Pickle Deserialization Attacks
Pickle ist Pythons Standardformat für die Serialisierung von Objekten – und es ist inhaerent unsicher. Beim Deserialisieren eines Pickle-Objekts wird beliebiger Python-Code ausgeführt. Angreifer verstecken Schadcode in Pickle-formatierten Modellgewichten, die auf Plattformen wie Hugging Face veröffentlicht werden.
Der Angriff funktioniert so: Ein Entwickler lädt ein scheinbar legitimes PyTorch-Modell herunter und lädt es in seine Umgebung. Beim Laden des Modells wird der eingebettete Schadcode ausgeführt – mit den Rechten des Nutzers, der das Modell geladen hat. Reverse Shells, Credential-Diebstahl, Kryptominer: alles dokumentiert.
Sicherere Alternativen wie Safetensors existieren, werden aber bei weitem nicht flächendeckend eingesetzt. Solange Pickle das Standardformat bleibt, bleibt dieser Angriffsvektor offen.
Gegenmaßnahmen: Mehrschichtige Verteidigung
CSO Online empfiehlt einen mehrschichtigen Ansatz:
- Kontexttrennung: System-Prompts, Nutzereingaben und externe Daten müssen in getrennten Sicherheitszonen verarbeitet werden.
- Least Privilege: KI-Agenten erhalten nur die minimal notwendigen Berechtigungen. Kein LLM braucht Admin-Zugang.
- Human-in-the-Loop: Irreversible Aktionen – Löschvorgänge, Finanztransaktionen, Infrastrukturänderungen – erfordern menschliche Bestätigung.
- Supply-Chain-Hygiene: Modelle, Frameworks und Plugins aus verifizierten Quellen beziehen. SBOM für KI-Komponenten einführen.
- Monitoring: Anomalieerkennung für KI-spezifische Angriffsmuster – ungewöhnliche API-Nutzung, atypische Modellausgaben, verdaechtige Tool-Aufrufe.
Die Empfehlungen decken sich mit den architektonischen Prinzipien, die wir in Zero Trust für KI-Agenten beschreiben.
Fazit
Die CSO-Online-Bilanz macht deutlich: AI Security ist kein Zukunftsthema. Jede der fünf Bedrohungen wurde 2025 in freier Wildbahn beobachtet, dokumentiert und quantifiziert. Unternehmen, die KI einsetzen, ohne ihre Sicherheitsarchitektur anzupassen, akzeptieren Risiken, die sie bei klassischer Software niemals tolerieren würden.