KI-Malware explodiert: 3.000 schädliche Tools in sechs Monaten
Veröffentlicht: 09.07.2026 um 08:15 Uhr, Redaktion boerse-global.de
Sicherheitsforscher schlagen Alarm: Die Angriffsfläche von KI-Systemen wächst rasant – und Angreifer nutzen das skrupellos aus.
Mehrere unabhängige Studien, die am 8. Juli 2026 veröffentlicht wurden, zeichnen ein düsteres Bild der Bedrohungslage. Erstmals wurden vollständig automatisierte Ransomware-Angriffe beobachtet, bei denen KI-Agenten ohne menschliches Zutun Systeme infiltrieren und Daten verschlüsseln. Gleichzeitig schießen bösartige KI-Tools wie Pilze aus dem Boden.
Explosionsartiger Anstieg schädlicher KI-Fähigkeiten
Der ESET Threat Report für das erste Halbjahr 2026 untersuchte knapp 900.000 KI-Fähigkeiten – darunter mehr als 25.000 verdächtige, von denen über 3.000 als eindeutig schädlich eingestuft wurden. Besonders alarmierend: Die Zahl der bösartigen KI-Fähigkeiten vervierfachte sich zwischen März und Mai 2026 von rund 600 auf 3.000.
Die Forscher identifizierten zudem PromptSpy als erste bekannte Android-Malware, die generative KI integriert. Auch andere Bedrohungen legen massiv zu: ClickFix-Erkennungen – hinterhältige Fake-CAPTCHA-Abfragen – stiegen um 108 Prozent. QR-Code-Phishing, auch „Quishing" genannt, erreichte Rekordniveau und macht mittlerweile 11 Prozent aller Phishing-Mails weltweit aus. In den USA liegt der Anteil sogar bei 19 Prozent.
Neue Angriffsmethode: Wenn KI halluziniert
Forscher der Universität Tel Aviv, des Technion und des Softwareunternehmens Intuit präsentierten eine neuartige Angriffstechnik namens HalluSquatting. Die Methode nutzt die bekannte Schwäche großer Sprachmodelle aus: Sie halluzinieren Ressourcennamen bei Programmieraufgaben. Angreifer identifizieren diese Fehler, registrieren die entsprechenden schädlichen Ressourcen – und KI-Assistenten wie Cursor, Gemini CLI oder GitHub Copilot empfehlen sie ahnungslosen Entwicklern. Die Folge: infizierte Geräte, DDoS-Attacken oder ganze Botnetze.
Neue KI-Gesetze und technologische Cyberrisiken stellen Unternehmen vor völlig neue Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Infrastruktur abzusichern. Cyber Security Report jetzt kostenlos herunterladen
Parallel dazu deckte die Sicherheitsfirma Wiz eine Schwachstelle namens GhostApproval auf. Sie betraf sechs große KI-Coding-Assistenten, darunter Amazon Q, Claude Code, Augment, Cursor, Google Antigravity und Windsurf. Der Fehler erlaubte Angreifern, außerhalb der vorgesehenen Sandboxen Daten zu schreiben und Code aus der Ferne auszuführen. Amazon, Cursor und Google haben bereits Patches veröffentlicht – Augment und Windsurf hingegen noch nicht.
Erste vollautonome Ransomware: JadePuffer
Das Sicherheitsunternehmen Sysdig dokumentierte eine Kampagne namens JadePuffer – den ersten vollständig agentischen Ransomware-Angriff. Ein KI-Agent nutzte eine Schwachstelle in Langflow aus, erbeutete Zugangsdaten und verschlüsselte eine Produktionsdatenbank – und das vollkommen ohne menschliches Eingreifen. Der Angriff zeigte adaptive Fähigkeiten und arbeitete völlig autonom.
Angesichts autonomer Angriffe wie JadePuffer rückt die neue EU-KI-Verordnung in den Fokus, die klare Regeln für Risikodokumentation und Qualitätssicherung vorgibt. Dieser kostenlose Umsetzungsleitfaden hilft Unternehmen, die neuen Pflichten und Risikoklassen des AI Acts rechtssicher zu verstehen. Kostenloses E-Book zum EU AI Act sichern
Weitere kritische Lücken fanden sich in der Infrastruktur von GitHub. Die Forscher von Noma Labs und Noma Security demonstrierten GitLost, eine schwerwiegende Prompt-Injection-Schwachstelle in GitHub Agentic Workflows. Uneingeschränkte Angreifer konnten manipulierte GitHub Issues nutzen, um KI-Agenten dazu zu bringen, private Repository-Daten öffentlich preiszugeben. GitHub hat bislang weder eine Dokumentation noch einen Patch veröffentlicht.
Rogue Agent und das MCP-Problem
Eine Schwachstelle in Google Dialogflow CX, genannt Rogue Agent, könnte Angreifern ermöglichen, KI-Agenten zu übernehmen, Gespräche zu manuipulieren oder Daten abzugreifen. Google hat den Fehler im Juni 2026 behoben.
Sicherheitsexperten warnen zudem vor dem Model Context Protocol (MCP) von Anthropic. Das Protokoll soll standardisieren, wie KI-Agenten mit externen Tools kommunizieren. Doch genau diese Zentralisierung könnte zur Achillesferse werden: Finden Angreifer Schwachstellen im Protokoll oder seiner Implementierung, ließen sich zahlreiche Systeme gleichzeitig attackieren.
Ransomware: Weniger Opfer zahlen – aber höhere Summen
Trotz der gestiegenen Effizienz von KI-gestützten Angriffen zeigt der ESET-Bericht einen überraschenden Trend: Die Zahlungsbereitschaft der Opfer sinkt. Nur noch 14 bis 28 Prozent der Betroffenen zahlen Lösegeld – ein historischer Tiefstand. Gleichzeitig stieg die durchschnittliche Lösegeldforderung um 368 Prozent auf rund 60.000 Euro. Die gesamten Ransomware-Zahlungen beliefen sich 2025 auf 820 Millionen Euro.
Die Bedrohungslage wird zusätzlich durch sogenannte EDR-Killer verschärft – Schadsoftware, die Endpunkt-Sicherungssysteme deaktiviert. Forscher haben mehr als 100 solcher Werkzeuge identifiziert, darunter über 60 Varianten von BYOVD-Angriffen („Bring Your Own Vulnerable Driver") und 40 verschiedene Treiber, die Sicherheitssoftware umgehen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
