KI-Sicherheit: 99,9% der Schwachstellen bleiben ungepatcht
Veröffentlicht: 13.07.2026 um 17:10 Uhr, Redaktion boerse-global.de
Rund 99,9 Prozent aller behebbaren KI-Schwachstellen sind weiterhin ungepatcht – und das, obwohl Unternehmen ihre KI-Systeme immer schneller in den Produktivbetrieb überführen. Der „Orca Security 2026 State of AI Security Report“ zeigt: Die Schere zwischen KI-Adoption und Sicherheitsmaßnahmen klafft dramatisch auseinander.
Explosionsartiger Anstieg öffentlicher Exploits
Die Zahlen sind alarmierend: 81 Prozent aller Organisationen betreiben verwundbare KI-Pakete – ein deutlicher Anstieg gegenüber 62 Prozent im Jahr 2024. Besonders brisant: Für rund die Hälfte aller KI-Paket-Schwachstellen existiert inzwischen ein öffentlicher Exploit. Das entspricht einer 250-fachen Zunahme der Zugänglichkeit dieser Bedrohungen für Angreifer.
Das mangelhafte Patchen fällt mit einem rasanten Ausbau der KI-Infrastruktur zusammen. Bereits 56 Prozent der Unternehmen haben KI-Agenten im Produktivbetrieb, 64 Prozent nutzen Vektordatenbanken. Und 51,5 Prozent setzen KI ein, um eigene Anwendungen zu entwickeln. Doch bei aller operativen Reife fehlen grundlegende Sicherheitsmaßnahmen: Zwischen 87 und 98 Prozent der befragten Organisationen verzichten auf kundenverwaltete Verschlüsselungsschlüssel für ihre KI-Workloads.
Kritische Lücken in Frameworks und Agenten
Mit der zunehmenden Integration von KI treten spezifische technische Schwachstellen zutage. Die als CVE-2026-48710 („BadHost“) bekannte kritische Lücke im Starlette-Toolkit ermöglicht HTTP-Host-Header-Angriffe zur Umgehung pfadbasierter Autorisierungen. Da Starlette die Basis für FastAPI, vLLM und zahlreiche Agent-Frameworks bildet, sind potenziell Millionen von Servern und Modell-Schnittstellen betroffen.
Noch gravierender: Im PraisonAI CodeAgent wurde eine kritische Remote-Code-Execution-Lücke (CVE-2026-61447) identifiziert. Hier ermöglicht Prompt Injection die Ausführung KI-generierten Codes mit vollständiger Umgebungsvariablen-Vererbung – und das, obwohl Sandboxing-Funktionen angeblich aktiviert waren. Eine weitere Schwachstelle in der AICoder UI (GHSA-9mp3-24cc-77mg) erlaubt beliebiges Dateischreiben und die Ausführung von Befehlen.
99,9% aller behebbaren KI-Schwachstellen sind ungepatcht – und 81% der Organisationen betreiben verwundbare KI-Pakete. Der Orca Security Report zeigt: Ohne 6-Stunden-Patch-Zyklus wird die EU-AI-Act-Frist zur Haftungsfalle. Jetzt kostenlosen Sicherheits-Report anfordern
Lichtblicke bei Cloud-Infrastruktur
Nicht alle Entwicklungen sind negativ. Die Cloud-Infrastruktur zeigt Verbesserungen: Der Root-Zugriff auf Amazon SageMaker-Instanzen sank von 98 auf 76 Prozent, unsichere IMDSv2-Konfigurationen fielen von 77 auf 48 Prozent. Doch dieser Fortschritt wird durch neue Risiken konterkariert.
KI-generierter Code erweist sich zunehmend als Sicherheitsrisiko. Daten eines Veracode-Reports von 2025 zufolge produzieren KI-Coding-Tools in rund 45 Prozent der Fälle unsicheren Code. Sie reproduzieren veraltete Muster oder empfehlen verwundbare Pakete. Eine Studie im „Empirical Software Engineering Journal“ fand sogar heraus: KI-geschriebene Programme enthalten bis zu 2,74 Mal mehr Schwachstellen als menschlich erstellter Code.
Die Geschwindigkeit der Ausnutzung überholt zudem traditionelle Verteidigungszeiten. Der Cybersicherheitsdienst Darktrace beobachtete Fälle, in denen Schwachstellen 7 bis 20 Tage vor ihrer öffentlichen Offenlegung ausgenutzt wurden.
EU-Regulierung rückt näher
KI-generierter Code enthält bis zu 2,74x mehr Schwachstellen als menschlicher. Gleichzeitig treten Hochrisiko-Pflichten des EU AI Acts im August 2026 in Kraft. Dieser Report liefert die Compliance-Roadmap und automatisierte Erkennungstools – bevor Prüfungen verbindlich werden. EU-AI-Act-Roadmap jetzt sichern
Die Ergebnisse kommen zu einem kritischen Zeitpunkt. Bereits am 2. August 2026 treten die Hochrisiko-Verpflichtungen des EU AI Acts in Kraft. In den USA beginnt die Durchsetzung eines Colorado-KI-Gesetzes am 1. Januar 2027.
Branchenführer fordern drastisch schnellere Reaktionszeiten. Beim AWS Summit 2026 betonte Amazons Chief Security Officer Steve Schmidt die Notwendigkeit, Patch-Zyklen vom Branchenstandard von 30 bis 90 Tagen auf 6 bis 12 Stunden zu reduzieren – nur so könne man mit automatisierten Bedrohungen Schritt halten.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
