KI-Sicherheit, Schwachstellen

KI-Sicherheit: 99,9% der Schwachstellen bleiben ungepatcht

Veröffentlicht: 13.07.2026 um 17:10 Uhr, Redaktion boerse-global.de

Orca Security Report zeigt massive Sicherheitslücken in KI-Infrastruktur. 81 Prozent der Firmen betreiben verwundbare KI-Pakete.

KI-Sicherheitsreport: 99,9 Prozent aller Schwachstellen ungepatcht
Cybersicherheitsexperte prüft holografische Datenvisualisierungen zu ungepatchten KI-Schwachstellen in Cloud-Infrastruktur, symbolisiert digitale Bedrohungen. Illustration mit AI erstellt übermittelt durch boerse-global.de

Rund 99,9 Prozent aller behebbaren KI-Schwachstellen sind weiterhin ungepatcht – und das, obwohl Unternehmen ihre KI-Systeme immer schneller in den Produktivbetrieb überführen. Der „Orca Security 2026 State of AI Security Report“ zeigt: Die Schere zwischen KI-Adoption und Sicherheitsmaßnahmen klafft dramatisch auseinander.

Explosionsartiger Anstieg öffentlicher Exploits

Die Zahlen sind alarmierend: 81 Prozent aller Organisationen betreiben verwundbare KI-Pakete – ein deutlicher Anstieg gegenüber 62 Prozent im Jahr 2024. Besonders brisant: Für rund die Hälfte aller KI-Paket-Schwachstellen existiert inzwischen ein öffentlicher Exploit. Das entspricht einer 250-fachen Zunahme der Zugänglichkeit dieser Bedrohungen für Angreifer.

Das mangelhafte Patchen fällt mit einem rasanten Ausbau der KI-Infrastruktur zusammen. Bereits 56 Prozent der Unternehmen haben KI-Agenten im Produktivbetrieb, 64 Prozent nutzen Vektordatenbanken. Und 51,5 Prozent setzen KI ein, um eigene Anwendungen zu entwickeln. Doch bei aller operativen Reife fehlen grundlegende Sicherheitsmaßnahmen: Zwischen 87 und 98 Prozent der befragten Organisationen verzichten auf kundenverwaltete Verschlüsselungsschlüssel für ihre KI-Workloads.

Kritische Lücken in Frameworks und Agenten

Mit der zunehmenden Integration von KI treten spezifische technische Schwachstellen zutage. Die als CVE-2026-48710 („BadHost“) bekannte kritische Lücke im Starlette-Toolkit ermöglicht HTTP-Host-Header-Angriffe zur Umgehung pfadbasierter Autorisierungen. Da Starlette die Basis für FastAPI, vLLM und zahlreiche Agent-Frameworks bildet, sind potenziell Millionen von Servern und Modell-Schnittstellen betroffen.

Noch gravierender: Im PraisonAI CodeAgent wurde eine kritische Remote-Code-Execution-Lücke (CVE-2026-61447) identifiziert. Hier ermöglicht Prompt Injection die Ausführung KI-generierten Codes mit vollständiger Umgebungsvariablen-Vererbung – und das, obwohl Sandboxing-Funktionen angeblich aktiviert waren. Eine weitere Schwachstelle in der AICoder UI (GHSA-9mp3-24cc-77mg) erlaubt beliebiges Dateischreiben und die Ausführung von Befehlen.

Anzeige

99,9% aller behebbaren KI-Schwachstellen sind ungepatcht – und 81% der Organisationen betreiben verwundbare KI-Pakete. Der Orca Security Report zeigt: Ohne 6-Stunden-Patch-Zyklus wird die EU-AI-Act-Frist zur Haftungsfalle. Jetzt kostenlosen Sicherheits-Report anfordern

Lichtblicke bei Cloud-Infrastruktur

Nicht alle Entwicklungen sind negativ. Die Cloud-Infrastruktur zeigt Verbesserungen: Der Root-Zugriff auf Amazon SageMaker-Instanzen sank von 98 auf 76 Prozent, unsichere IMDSv2-Konfigurationen fielen von 77 auf 48 Prozent. Doch dieser Fortschritt wird durch neue Risiken konterkariert.

KI-generierter Code erweist sich zunehmend als Sicherheitsrisiko. Daten eines Veracode-Reports von 2025 zufolge produzieren KI-Coding-Tools in rund 45 Prozent der Fälle unsicheren Code. Sie reproduzieren veraltete Muster oder empfehlen verwundbare Pakete. Eine Studie im „Empirical Software Engineering Journal“ fand sogar heraus: KI-geschriebene Programme enthalten bis zu 2,74 Mal mehr Schwachstellen als menschlich erstellter Code.

Die Geschwindigkeit der Ausnutzung überholt zudem traditionelle Verteidigungszeiten. Der Cybersicherheitsdienst Darktrace beobachtete Fälle, in denen Schwachstellen 7 bis 20 Tage vor ihrer öffentlichen Offenlegung ausgenutzt wurden.

EU-Regulierung rückt näher

Anzeige

KI-generierter Code enthält bis zu 2,74x mehr Schwachstellen als menschlicher. Gleichzeitig treten Hochrisiko-Pflichten des EU AI Acts im August 2026 in Kraft. Dieser Report liefert die Compliance-Roadmap und automatisierte Erkennungstools – bevor Prüfungen verbindlich werden. EU-AI-Act-Roadmap jetzt sichern

Die Ergebnisse kommen zu einem kritischen Zeitpunkt. Bereits am 2. August 2026 treten die Hochrisiko-Verpflichtungen des EU AI Acts in Kraft. In den USA beginnt die Durchsetzung eines Colorado-KI-Gesetzes am 1. Januar 2027.

Branchenführer fordern drastisch schnellere Reaktionszeiten. Beim AWS Summit 2026 betonte Amazons Chief Security Officer Steve Schmidt die Notwendigkeit, Patch-Zyklen vom Branchenstandard von 30 bis 90 Tagen auf 6 bis 12 Stunden zu reduzieren – nur so könne man mit automatisierten Bedrohungen Schritt halten.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69761041 |