Home Strategie Lösungen → Website-Erstellung (599 €) Software Telefon-KI
Nach Branchen Spedition Autovermietung Pflegedienste Fahrschulen
KI News Über Uns Karriere Termin Kontakt
Regulierung

LLMjacking und KI-Botnets:
Wenn KI-Tools zur Angriffsfläche werden

Sicherheitsforscher haben 9 beliebte KI-Tools als Vektoren für Botnet-Aufbau identifiziert. LLMjacking, HalluSquatting und die JADEPUFFER-Ransomware zeigen: KI-Nutzung bringt neue Sicherheitsrisiken für KMU.

A
ATLAS Consulting Redaktion
11. Juli 2026 · 7 Min Lesezeit
shield_lock

Sicherheitsforscher haben diese Woche mehrere neue Angriffsvektoren dokumentiert, die populäre KI-Tools für den Aufbau von Botnet-Infrastruktur missbrauchen. LLMjacking zielt auf offengelegte KI-Server, HalluSquatting nutzt KI-Halluzinationen zur Schadsoftware-Verteilung, und die JADEPUFFER-Ransomware verwendet eine KI-Framework-Schwachstelle, um autonom Datenbanken anzugreifen. Die Five Eyes Geheimdienstallianz hat gewarnt, dass KI-Modelle nun „autonom in Systeme einbrechen" können. Für KMU, die KI-Tools eingeführt haben, ohne ihre Sicherheitsmaßnahmen anzupassen, ist das ein konkretes Risiko — kein theoretisches.

Was Sicherheitsforscher entdeckt haben

Ausgangspunkt ist eine alarmierende Zahl: Sicherheitsfirma Sysdig zählt weltweit mehr als 175.000 öffentlich zugängliche Ollama-Instanzen — das ist eine verbreitete Open-Source-Plattform zum lokalen Betrieb von KI-Modellen. Viele dieser Server wurden ohne Authentifizierung direkt ins öffentliche Internet gestellt, was Angreifern die Tür öffnet. Beim sogenannten LLMjacking übernehmen Angreifer solche exponierten KI-Server und nutzen deren Rechenkapazität, um autonome Angriffsframeworks zu betreiben, die Zugriff auf eine Reihe kommerzieller Modelle haben.

Parallel dazu wurde ein Angriffsmuster namens HalluSquatting dokumentiert: Angreifer registrieren gezielt Domainnamen, die KI-Assistenten in ihren Antworten fälschlicherweise als legitim empfehlen. Wenn ein Mitarbeiter dem Vorschlag des KI-Assistenten folgt und die Seite besucht, landet er auf einer Malware-Seite statt auf einem echten Softwareanbieter. Dieser Angriffstyp ist besonders tückisch, weil er das Vertrauen in KI-Antworten ausnutzt, das in vielen Betrieben inzwischen hoch ist.

Die JADEPUFFER-Ransomware nutzt die bekannte Schwachstelle CVE-2025-3248 in Langflow — einem Open-Source-Framework für die Erstellung von KI-Agenten-Workflows. Die Schadsoftware greift autonom MySQL-Datenbanken an und sendet alle 30 Minuten ein Signal an die Angreifer-Infrastruktur. Sechs verbreitete KI-Coding-Assistenten weisen zudem eine Symlink-Schwachstelle auf, die unbefugte Codeausführung auf Entwicklermaschinen ermöglicht. Diese Lücke, GhostApproval genannt, betrifft auch Tools, die in vielen mittelständischen Entwicklungsabteilungen im Einsatz sind.

Warum das für KMU besonders relevant ist

Große Unternehmen mit eigenen Security-Operations-Centern haben bei solchen Angriffsvektoren in der Regel einen klaren Prozess: Patch-Management, Vulnerability-Scanning, Incident-Response-Pläne. Im Mittelstand fehlen diese Strukturen häufig. Gleichzeitig nimmt der Einsatz von KI-Tools in deutschen KMU stark zu — sei es Ollama für lokale Modelle, Langflow für eigene KI-Workflows oder verschiedene KI-Coding-Assistenten in der Softwareentwicklung.

Das Zeitfenster zwischen dem Bekanntwerden einer Schwachstelle und dem Einspielen des Patches ist bei KMU erfahrungsgemäß länger als bei Großunternehmen. CVE-2025-3248 in Langflow war zum Zeitpunkt der JADEPUFFER-Angriffe bereits bekannt und theoretisch patchbar — aber viele Installationen liefen noch auf der verwundbaren Version. Das ist kein Vorwurf, sondern eine Realität: Kleine IT-Teams haben begrenzte Kapazitäten für proaktives Patch-Management bei allen eingesetzten Tools.

„Wer KI-Tools einführt, ohne die Sicherheitsmaßnahmen anzupassen, schafft neue Angriffsflächen — oft ohne es zu wissen."

Drei konkrete Risikoszenarien für den Mittelstand

Selbstgehostete KI als Einfallstor

Unternehmen, die Ollama, LocalAI oder ähnliche Lösungen betreiben, um Sprachmodelle lokal laufen zu lassen, sollten sicherstellen, dass diese Server niemals direkt aus dem Internet erreichbar sind. Ein VPN oder eine Firewall-Regel reicht als erste Maßnahme. Die 175.000 öffentlich exponierten Ollama-Instanzen zeigen, dass viele Betriebe diese Grundregel nicht umgesetzt haben — möglicherweise weil der Betrieb lokal begann und erst später durch Netzwerkkonfigurationsänderungen ungewollt zugänglich wurde.

KI-Coding-Assistenten und das Lieferketten-Risiko

Die GhostApproval-Schwachstelle in sechs verbreiteten Coding-Assistenten ist ein Beispiel dafür, dass KI-Tools selbst zum Angriffsvektoren werden können. Unternehmen mit eigenem Entwicklungsteam sollten prüfen, welche KI-Coding-Tools im Einsatz sind, und sicherstellen, dass diese auf aktuellen Versionen laufen. Für kritische Umgebungen empfiehlt sich zusätzlich die Aktivierung von Code-Review-Schranken, bevor KI-generierter Code in produktive Systeme übernommen wird.

HalluSquatting: Das blinde Vertrauen in KI-Empfehlungen

HalluSquatting ist der vielleicht gefährlichste Angriffsvektor für KMU, weil er keine technische Schwachstelle ausnutzt, sondern menschliches Verhalten. Mitarbeiter, die KI-Assistenten für Softwareempfehlungen, Anbieterlisten oder Tool-Recherchen nutzen, sollten Domainnames aus KI-Antworten immer manuell verifizieren, bevor sie sie besuchen. Eine einfache Regel: Lieferanten und Software-Anbieter nur über bekannte Quellen oder offizielle Kanäle recherchieren, nicht ausschließlich über KI-Empfehlungen.

warning

Sofortmaßnahmen für KMU mit KI-ToolsPrüfen Sie diese drei Punkte jetzt: (1) Sind selbstgehostete KI-Server wie Ollama oder Langflow nur intern erreichbar, nicht aus dem Internet? (2) Laufen alle KI-Frameworks und -Tools auf der jeweils aktuellen Version — insbesondere Langflow (CVE-2025-3248 ist seit Monaten bekannt und patchbar)? (3) Kennen Ihre Mitarbeiter das Risiko von HalluSquatting und prüfen Domains aus KI-Empfehlungen vor dem Besuch? Wer alle drei Punkte mit Ja beantworten kann, hat die kritischsten Lücken geschlossen.

Angriffstypen im Überblick

Angriffstyp Betrifft Schutzmaßnahme
LLMjacking Selbstgehostete KI-Server (Ollama etc.) Firewall: Server nicht aus Internet erreichbar
HalluSquatting Alle Nutzer von KI-Assistenten Domains aus KI-Empfehlungen manuell prüfen
JADEPUFFER Langflow-Installationen aller Versionen vor Patch Sofort auf aktuelle Langflow-Version aktualisieren
GhostApproval Nutzer von KI-Coding-Assistenten Tool-Updates prüfen, Code-Review vor Produktion

Fazit

Die beschriebenen Angriffsvektoren sind keine Zukunftsszenarien, sondern aktiv genutzte Methoden. Für KMU, die KI-Tools eingeführt haben, bedeutet das: Sicherheitsmaßnahmen müssen mit der KI-Adoption Schritt halten. Das erfordert keine großen Investitionen, aber klare Verantwortlichkeiten — wer stellt sicher, dass selbstgehostete KI-Server abgesichert sind? Wer pflegt die Update-Zyklen für KI-Frameworks?

ATLAS Consulting begleitet Mittelstandsbetriebe dabei, KI sicher einzuführen — von der Anforderungsanalyse bis zur Übergabe an den Betrieb. Wer unsicher ist, welche KI-Installationen im eigenen Betrieb laufen und ob diese abgesichert sind, sollte das als erstes klären, bevor weitere Automatisierungen aufgebaut werden.

A
ATLAS Consulting Redaktion
Wir kuratieren jede Woche die wichtigsten KI-News für Entscheider im deutschen Mittelstand — ohne Hype, immer auf Deutsch.

Diese Technologie in Ihrem Unternehmen nutzen?

ATLAS Consulting begleitet Sie vom ersten Use-Case bis zur produktiven Integration — ohne Hype, ohne Blackbox, mit klaren Zahlen.