KI-Entwicklung: Erster KI-generierter Zero-Day-Exploit entdeckt

Google vereitelte einen Großangriff – und OpenAI startet eine Milliarden-Offensive zur Cyberabwehr.

Die digitale Sicherheitswelt erlebte diese Woche eine Zeitenwende. Forscher der Google Threat Intelligence Group (GTIG) entdeckten am Montag den ersten dokumentierten Fall eines Zero-Day-Exploits, der vollständig von Künstlicher Intelligenz entwickelt wurde. Der Angriff zielte darauf ab, die Zwei-Faktor-Authentifizierung (2FA) zu umgehen – ein Alarmsignal für Banken und Finanzinstitute weltweit.

Während Tech-Giganten Milliarden in die Cyberabwehr investieren, eröffnen sich für Anleger enorme Möglichkeiten in den Bereichen Cybersecurity und Robotik. Dieser kostenlose Sonderreport zeigt, wie Sie frühzeitig von der nächsten großen Technologie-Welle profitieren können. Das große Tech-Comeback: Jetzt Gratis-Report sichern

Der Angriff: Wie KI zur Waffe wurde

Die Angreifer nutzten ein Tool namens OpenClaw, um eine bis dahin unbekannte Sicherheitslücke auszunutzen. Ihr Ziel: die Umgehung von 2FA-Verfahren, die als grundlegende Sicherheitsbarriere für Online-Transaktionen gelten. Dass Google den Angriff vereiteln konnte, lag an einem typischen KI-Fehler: Die Angreifer verwendeten einen halluzinierten CVSS-Score (Common Vulnerability Scoring System), den das Large Language Model erfunden hatte. Diese Ungenauigkeit diente den Google-Systemen als digitale Signatur, um die schadhafte Aktivität zu identifizieren.

Google betont, dass das eigene KI-Modell Gemini nicht für den Angriff genutzt wurde. Zur Abwehr setzt der Konzern nun spezialisierte KI-Tools wie Big Sleep und CodeMender ein, die proaktiv Schwachstellen im Code aufspüren und schließen sollen.

Der Vorfall wirft ein Schlaglicht auf ein wachsendes Problem: Finanzinstitute sind bevorzugte Ziele, da sie massiv auf Multi-Faktor-Authentifizierung setzen. Die Geschwindigkeit, mit der KI-generierte Angriffscodes erstellt werden können, überfordert zunehmend traditionelle Sicherheitsmaßnahmen.

OpenAIs Antwort: „Daybreak“ und eine Milliarden-Offensive

Als direkte Reaktion auf die eskalierende Bedrohungslage launchte OpenAI am Dienstag die Cybersicherheitsplattform Daybreak. Das System basiert auf den Modellen GPT-5.5 und GPT-5.5-Cyber und soll als Frontline-Verteidigung für Unternehmensinfrastrukturen dienen.

Die Plattform kommt nicht allein: Ein breites Bündnis aus Technologie- und Sicherheitspartnern unterstützt das Projekt – darunter Cloudflare, Cisco, CrowdStrike, Palo Alto Networks, Oracle, Zscaler und Fortinet. Daybreak bietet drei Zugriffsstufen: eine Standardversion, eine „Trusted Access“-Stufe und die spezialisierte GPT-5.5-Cyber-Ebene für Penetrationstests und Schwachstellenanalysen.

Bereits in der Entwicklungsphase halfen ähnliche Tools laut OpenAI bei der Behebung von über 3.000 Sicherheitslücken.

Parallel dazu gründete OpenAI am Montag die OpenAI Deployment Company – ein neues Unternehmen mit einem Wert von umgerechnet rund 13 Milliarden Euro. Investoren unter Führung von TPG sowie Advent, Bain Capital, Brookfield und Beratungsriesen wie McKinsey und Capgemini steuerten rund 3,7 Milliarden Euro bei. Die Firma soll globale Konzerne dabei unterstützen, KI-Projekte vom Pilotstadium in die Massenproduktion zu überführen.

Ein Schwerpunkt liegt auf dem Finanzsektor: Die spanische Großbank BBVA ist Gründungspartner und will die KI-Transformation auf ihre Geschäfte in 25 Ländern ausweiten. Weitere Referenzkunden sind John Deere, das durch KI-Empfehlungen den Chemikalieneinsatz um 70 Prozent reduzierte, sowie die HR-Plattform Rippling. Zur Stärkung der technischen Kapazitäten übernahm OpenAI die Londoner Firma Tomoro mit rund 150 Ingenieuren – mit dem Ziel, diese Zahl innerhalb von drei Jahren auf bis zu 4.000 zu erhöhen.

EU verschärft Regeln – und gewährt Aufschub

Während die Tech-Konzerne ihre Abwehrsysteme hochrüsten, justieren die Regierungen nach. Am 7. Mai einigten sich EU-Parlament und Rat auf Omnibus VII, der die Umsetzungsfristen des EU AI Acts anpasst.

Die neuen Deadlines im Überblick:
- Stand-alone Hochrisiko-KI-Systeme: müssen bis zum 2. Dezember 2027 konform sein
- In Produkte eingebettete KI-Systeme: haben bis zum 2. August 2028 Zeit
- Nationale KI-Sandboxen: müssen bis zum 2. August 2027 eingerichtet sein

Die neuen Übergangsfristen der EU-KI-Verordnung stellen Unternehmen vor komplexe Herausforderungen bei der Risikodokumentation. Dieser kostenlose Praxisleitfaden verschafft Ihnen den nötigen Überblick über alle Anforderungen, Pflichten und Risikoklassen des EU AI Acts. Jetzt kostenlosen Umsetzungsleitfaden sichern

Die Industrie begrüßt die Fristverlängerungen als Schritt zur Marktberuhigung. Gleichzeitig treibt die EU-Kommission strengere Transparenzregeln voran: Eine Konsultation zu Artikel 50 (Kennzeichnung KI-generierter Inhalte) läuft noch bis zum 3. Juni 2026.

Ein interessantes Detail: Die EU-Kommission begrüßte OpenAIs Angebot, GPT-5.5-Cyber zertifizierten Sicherheitsteams in der EU kostenlos zur Verfügung zu stellen. Der Rivale Anthropic gewährte dagegen trotz mehrerer Treffen mit der Kommission noch keinen Zugang zu seinem Modell Mythos. Der Streit darüber, ob KI-Labore die alleinige Kontrolle über ihre Sicherheitsmodelle behalten sollten, spitzt sich zu.

Flickenteppich in den USA – und neue Gesetze in Kanada

Während die EU einen einheitlichen Rahmen schafft, wird die Regulierung in den USA zunehmend fragmentiert. Florida verabschiedete ein Gesetz zur Regulierung von KI-Rechenzentren. Mehrere Bundesstaaten, darunter Ohio, erwägen Verbote der Rechtspersönlichkeit für KI – um zu verhindern, dass Systeme Eigentum erwerben oder als Unternehmensvorstände fungieren.

In Kanada wurde Bill C-16 verschärft: Die Erstellung KI-generierter „beinahe-nackter“ Bilder wird nun strafbar. Die US-Handelsbehörde FTC erinnert Unternehmen daran, dass der Take It Down Act die Entfernung nicht-einvernehmlicher intimer Bilder innerhalb von 48 Stunden vorschreibt.

Ausblick: Wettrüsten der Algorithmen

Für die Finanzbranche zeichnet sich eine phase des Hochrisiko-Übergangs ab. Die Identifizierung des ersten KI-Entwickelten Zero-Days durch Google beweist, dass aktuelle Abwehrsysteme automatisierte Bedrohungen erkennen können. Doch der halluzinierte CVSS-Score, der zur Entdeckung führte, ist ein Fehler, den zukünftige offensive KI-Versionen vermutlich beheben werden.

Analysten erwarten, dass die nächsten 18 bis 24 Monate entscheiden werden, ob Finanzinstitute die neuen, groß angelegten Abwehrmodelle integrieren können – während sie gleichzeitig das sich ständig verändernde regulatorische Umfeld in der EU und den USA navigieren müssen. Das Wettrüsten zwischen defensiven Plattformen wie OpenAIs Daybreak und offensiven Tools wie OpenClaw hat gerade erst begonnen.

de | wissenschaft | 69311549 |