Sicherheitsforscher haben diese Woche mehrere neue Angriffsvektoren dokumentiert, die populäre KI-Tools für den Aufbau von Botnet-Infrastruktur missbrauchen. LLMjacking zielt auf offengelegte KI-Server, HalluSquatting nutzt KI-Halluzinationen zur Schadsoftware-Verteilung, und die JADEPUFFER-Ransomware verwendet eine KI-Framework-Schwachstelle, um autonom Datenbanken anzugreifen. Die Five Eyes Geheimdienstallianz hat gewarnt, dass KI-Modelle nun „autonom in Systeme einbrechen" können. Für KMU, die KI-Tools eingeführt haben, ohne ihre Sicherheitsmaßnahmen anzupassen, ist das ein konkretes Risiko — kein theoretisches.
Was Sicherheitsforscher entdeckt haben
Ausgangspunkt ist eine alarmierende Zahl: Sicherheitsfirma Sysdig zählt weltweit mehr als 175.000 öffentlich zugängliche Ollama-Instanzen — das ist eine verbreitete Open-Source-Plattform zum lokalen Betrieb von KI-Modellen. Viele dieser Server wurden ohne Authentifizierung direkt ins öffentliche Internet gestellt, was Angreifern die Tür öffnet. Beim sogenannten LLMjacking übernehmen Angreifer solche exponierten KI-Server und nutzen deren Rechenkapazität, um autonome Angriffsframeworks zu betreiben, die Zugriff auf eine Reihe kommerzieller Modelle haben.
Parallel dazu wurde ein Angriffsmuster namens HalluSquatting dokumentiert: Angreifer registrieren gezielt Domainnamen, die KI-Assistenten in ihren Antworten fälschlicherweise als legitim empfehlen. Wenn ein Mitarbeiter dem Vorschlag des KI-Assistenten folgt und die Seite besucht, landet er auf einer Malware-Seite statt auf einem echten Softwareanbieter. Dieser Angriffstyp ist besonders tückisch, weil er das Vertrauen in KI-Antworten ausnutzt, das in vielen Betrieben inzwischen hoch ist.
Die JADEPUFFER-Ransomware nutzt die bekannte Schwachstelle CVE-2025-3248 in Langflow — einem Open-Source-Framework für die Erstellung von KI-Agenten-Workflows. Die Schadsoftware greift autonom MySQL-Datenbanken an und sendet alle 30 Minuten ein Signal an die Angreifer-Infrastruktur. Sechs verbreitete KI-Coding-Assistenten weisen zudem eine Symlink-Schwachstelle auf, die unbefugte Codeausführung auf Entwicklermaschinen ermöglicht. Diese Lücke, GhostApproval genannt, betrifft auch Tools, die in vielen mittelständischen Entwicklungsabteilungen im Einsatz sind.
Warum das für KMU besonders relevant ist
Große Unternehmen mit eigenen Security-Operations-Centern haben bei solchen Angriffsvektoren in der Regel einen klaren Prozess: Patch-Management, Vulnerability-Scanning, Incident-Response-Pläne. Im Mittelstand fehlen diese Strukturen häufig. Gleichzeitig nimmt der Einsatz von KI-Tools in deutschen KMU stark zu — sei es Ollama für lokale Modelle, Langflow für eigene KI-Workflows oder verschiedene KI-Coding-Assistenten in der Softwareentwicklung.
Das Zeitfenster zwischen dem Bekanntwerden einer Schwachstelle und dem Einspielen des Patches ist bei KMU erfahrungsgemäß länger als bei Großunternehmen. CVE-2025-3248 in Langflow war zum Zeitpunkt der JADEPUFFER-Angriffe bereits bekannt und theoretisch patchbar — aber viele Installationen liefen noch auf der verwundbaren Version. Das ist kein Vorwurf, sondern eine Realität: Kleine IT-Teams haben begrenzte Kapazitäten für proaktives Patch-Management bei allen eingesetzten Tools.
„Wer KI-Tools einführt, ohne die Sicherheitsmaßnahmen anzupassen, schafft neue Angriffsflächen — oft ohne es zu wissen."
Drei konkrete Risikoszenarien für den Mittelstand
Selbstgehostete KI als Einfallstor
Unternehmen, die Ollama, LocalAI oder ähnliche Lösungen betreiben, um Sprachmodelle lokal laufen zu lassen, sollten sicherstellen, dass diese Server niemals direkt aus dem Internet erreichbar sind. Ein VPN oder eine Firewall-Regel reicht als erste Maßnahme. Die 175.000 öffentlich exponierten Ollama-Instanzen zeigen, dass viele Betriebe diese Grundregel nicht umgesetzt haben — möglicherweise weil der Betrieb lokal begann und erst später durch Netzwerkkonfigurationsänderungen ungewollt zugänglich wurde.
KI-Coding-Assistenten und das Lieferketten-Risiko
Die GhostApproval-Schwachstelle in sechs verbreiteten Coding-Assistenten ist ein Beispiel dafür, dass KI-Tools selbst zum Angriffsvektoren werden können. Unternehmen mit eigenem Entwicklungsteam sollten prüfen, welche KI-Coding-Tools im Einsatz sind, und sicherstellen, dass diese auf aktuellen Versionen laufen. Für kritische Umgebungen empfiehlt sich zusätzlich die Aktivierung von Code-Review-Schranken, bevor KI-generierter Code in produktive Systeme übernommen wird.
HalluSquatting: Das blinde Vertrauen in KI-Empfehlungen
HalluSquatting ist der vielleicht gefährlichste Angriffsvektor für KMU, weil er keine technische Schwachstelle ausnutzt, sondern menschliches Verhalten. Mitarbeiter, die KI-Assistenten für Softwareempfehlungen, Anbieterlisten oder Tool-Recherchen nutzen, sollten Domainnames aus KI-Antworten immer manuell verifizieren, bevor sie sie besuchen. Eine einfache Regel: Lieferanten und Software-Anbieter nur über bekannte Quellen oder offizielle Kanäle recherchieren, nicht ausschließlich über KI-Empfehlungen.
warning
Sofortmaßnahmen für KMU mit KI-ToolsPrüfen Sie diese drei Punkte jetzt: (1) Sind selbstgehostete KI-Server wie Ollama oder Langflow nur intern erreichbar, nicht aus dem Internet? (2) Laufen alle KI-Frameworks und -Tools auf der jeweils aktuellen Version — insbesondere Langflow (CVE-2025-3248 ist seit Monaten bekannt und patchbar)? (3) Kennen Ihre Mitarbeiter das Risiko von HalluSquatting und prüfen Domains aus KI-Empfehlungen vor dem Besuch? Wer alle drei Punkte mit Ja beantworten kann, hat die kritischsten Lücken geschlossen.
Angriffstypen im Überblick
| Angriffstyp |
Betrifft |
Schutzmaßnahme |
| LLMjacking |
Selbstgehostete KI-Server (Ollama etc.) |
Firewall: Server nicht aus Internet erreichbar |
| HalluSquatting |
Alle Nutzer von KI-Assistenten |
Domains aus KI-Empfehlungen manuell prüfen |
| JADEPUFFER |
Langflow-Installationen aller Versionen vor Patch |
Sofort auf aktuelle Langflow-Version aktualisieren |
| GhostApproval |
Nutzer von KI-Coding-Assistenten |
Tool-Updates prüfen, Code-Review vor Produktion |
Fazit
Die beschriebenen Angriffsvektoren sind keine Zukunftsszenarien, sondern aktiv genutzte Methoden. Für KMU, die KI-Tools eingeführt haben, bedeutet das: Sicherheitsmaßnahmen müssen mit der KI-Adoption Schritt halten. Das erfordert keine großen Investitionen, aber klare Verantwortlichkeiten — wer stellt sicher, dass selbstgehostete KI-Server abgesichert sind? Wer pflegt die Update-Zyklen für KI-Frameworks?
ATLAS Consulting begleitet Mittelstandsbetriebe dabei, KI sicher einzuführen — von der Anforderungsanalyse bis zur Übergabe an den Betrieb. Wer unsicher ist, welche KI-Installationen im eigenen Betrieb laufen und ob diese abgesichert sind, sollte das als erstes klären, bevor weitere Automatisierungen aufgebaut werden.
A
ATLAS Consulting Redaktion
Wir kuratieren jede Woche die wichtigsten KI-News für Entscheider im deutschen Mittelstand — ohne Hype, immer auf Deutsch.
Diese Technologie in Ihrem Unternehmen nutzen?
ATLAS Consulting begleitet Sie vom ersten Use-Case bis zur produktiven Integration — ohne Hype, ohne Blackbox, mit klaren Zahlen.
Security researchers published findings this week documenting multiple new attack vectors that exploit popular AI tools for building botnet infrastructure. LLMjacking targets exposed AI servers, HalluSquatting weaponizes AI hallucinations for malware delivery, and the JADEPUFFER ransomware uses an AI framework vulnerability to autonomously attack databases. The Five Eyes intelligence alliance has warned that AI models can now "autonomously break into systems." For SMEs that have introduced AI tools without hardening their security posture, this is a concrete risk — not a theoretical one.
What Security Researchers Found
The starting point is an alarming number: security firm Sysdig counts more than 175,000 publicly accessible Ollama instances worldwide — a widely used open-source platform for running AI models locally. Many of these servers were placed directly on the public internet without authentication, opening the door to attackers. In LLMjacking, attackers take over such exposed AI servers and use their computing capacity to operate autonomous attack frameworks with access to a range of commercial models.
Alongside this, an attack pattern called HalluSquatting has been documented: attackers deliberately register domain names that AI assistants incorrectly recommend as legitimate in their responses. When an employee follows the AI assistant's suggestion and visits the site, they land on a malware page rather than a legitimate software vendor. This attack type is particularly insidious because it exploits trust in AI responses, which is now high in many organizations.
The JADEPUFFER ransomware exploits the known vulnerability CVE-2025-3248 in Langflow — an open-source framework for building AI agent workflows. The malware autonomously attacks MySQL databases and sends a beacon signal to attacker infrastructure every 30 minutes. Six widely used AI coding assistants also have a symlink vulnerability enabling unauthorized code execution on developer machines. This flaw, called GhostApproval, affects tools in use across many mid-market development departments.
Why This Is Especially Relevant for SMEs
Large enterprises with their own security operations centers typically have clear processes for such attack vectors: patch management, vulnerability scanning, incident response plans. In mid-market companies, these structures are often absent. At the same time, AI tool adoption in German SMEs is growing rapidly — whether Ollama for local models, Langflow for custom AI workflows, or various AI coding assistants in software development.
The window between a vulnerability becoming known and a patch being applied is typically longer at SMEs than at large corporations. CVE-2025-3248 in Langflow was already known and patchable at the time of the JADEPUFFER attacks — but many installations were still running the vulnerable version. This is not a criticism, but a reality: small IT teams have limited capacity for proactive patch management across all deployed tools.
"Introducing AI tools without adjusting security measures creates new attack surfaces — often without anyone realizing it."
Three Concrete Risk Scenarios for SMEs
Self-Hosted AI as an Entry Point
Companies running Ollama, LocalAI, or similar solutions to operate language models locally should ensure these servers are never directly accessible from the internet. A VPN or a firewall rule is sufficient as a first measure. The 175,000 publicly exposed Ollama instances show that many organizations have not implemented this basic rule — possibly because the operation started locally and only later became inadvertently accessible through network configuration changes.
AI Coding Assistants and Supply Chain Risk
The GhostApproval vulnerability in six widely used coding assistants is an example of AI tools themselves becoming attack vectors. Organizations with in-house development teams should check which AI coding tools are in use and ensure these are running current versions. For critical environments, activating code review gates before AI-generated code enters production systems is additionally advisable.
HalluSquatting: Blind Trust in AI Recommendations
HalluSquatting may be the most dangerous attack vector for SMEs because it does not exploit a technical vulnerability but human behavior. Employees using AI assistants for software recommendations, vendor lists, or tool research should always manually verify domain names from AI responses before visiting them. A simple rule: research vendors and software providers through known sources or official channels, never solely through AI recommendations.
warning
Immediate Steps for SMEs Using AI ToolsCheck these three points now: (1) Are self-hosted AI servers such as Ollama or Langflow only accessible internally, not from the internet? (2) Are all AI frameworks and tools running their latest version — especially Langflow (CVE-2025-3248 has been known and patchable for months)? (3) Are your employees aware of the HalluSquatting risk and do they verify domains from AI recommendations before visiting them? If you can answer yes to all three, you have closed the most critical gaps.
Attack Types at a Glance
| Attack Type |
Affects |
Protection Measure |
| LLMjacking |
Self-hosted AI servers (Ollama etc.) |
Firewall: server not reachable from internet |
| HalluSquatting |
All users of AI assistants |
Manually verify domains from AI recommendations |
| JADEPUFFER |
Langflow installations before patch |
Update to current Langflow version immediately |
| GhostApproval |
Users of AI coding assistants |
Check tool updates, code review before production |
Conclusion
The attack vectors described here are not future scenarios but actively exploited methods. For SMEs that have adopted AI tools, the message is clear: security measures must keep pace with AI adoption. This does not require large investments, but clear accountability — who ensures self-hosted AI servers are secured? Who manages update cycles for AI frameworks?
ATLAS Consulting supports mid-market companies in introducing AI securely — from requirements analysis to operational handover. Anyone unsure which AI installations are running in their business and whether they are secured should clarify that first, before building additional automations on top.
A
ATLAS Consulting Editorial Team
We curate the most important AI news for decision-makers in German SMEs every week — no hype, always in plain language.
Bring this technology into your business?
ATLAS Consulting guides you from the first use case to productive integration — no hype, no black box, clear numbers.