Ein Forschungsteam hat untersucht, wie weit sich Malware mit KI-Agenten automatisieren lässt. Das Ergebnis ist ein Proof-of-Concept-Wurm, der nicht nur bekannte Schwachstellen ausnutzt, sondern seine Angriffsschritte dynamisch an das jeweilige Zielsystem anpasst.
Beteiligt waren vor allem Wissenschaftler der Universität Toronto, des Vector Institute, der Universität Cambridge und von ServiceNow Research. Ihre Forschungsarbeit „KI-Agenten ermöglichen adaptive Computer-Würmer“ wurde als Pre-Print auf arxiv.org veröffentlicht. Darin beschreiben sie einen Wurm, der sich von Gerät zu Gerät bewegt und mithilfe großer Sprachmodelle passende Exploits für die jeweils vorgefundenen Schwachstellen entwickelt.
Klassische Computer-Würmer sind seit Jahren ein bekanntes Risiko. Sie verbreiten sich häufig ohne weitere Nutzerinteraktion, können Netzwerke beeinträchtigen oder zusätzliche Schadsoftware verteilen. Viele bisherige Würmer, etwa WannaCry, zielen jedoch auf konkrete Sicherheitslücken. Werden diese geschlossen, lässt sich die Verbreitung eindämmen. Der getestete KI-Wurm folgt einem anderen Prinzip: Er arbeitet nicht mit fest vorgegebenem Exploit-Code, sondern analysiert seine Umgebung und erzeugt passende Angriffsschritte selbst.
Dafür nutzt der Wurm infizierte Rechner, um offene große Sprachmodelle lokal auszuführen. So behält er seine Entscheidungsfähigkeit und kann neue Ziele weiter angreifen, ohne dass die Angreifer eigene Rechenleistung bereitstellen müssen. Gleichzeitig umgeht dieser Ansatz zentrale Sicherheitschecks und Ratenbegrenzungen kommerzieller KI-Angebote, weil die Modelle auf den kompromittierten Systemen laufen.
Getestet wurde der Wurm in einem isolierten Netzwerk mit 33 Geräten, darunter Linux-Server, Windows-Umgebungen und IoT-Systeme. Die Forscher ließen dort bekannte Schwachstellen offen, wie sie auch in realen Unternehmensnetzwerken vorkommen. In mehreren Testläufen über jeweils sieben Tage erkannte der KI-Wurm rund ein Drittel der Schwachstellen korrekt. Auf einem Viertel der Maschinen nutzte er Schwachstellen zur Rechteausweitung, verbreitete sich auf rund 20 Prozent der Geräte und erreichte sieben Generationen der Selbstfortpflanzung.
Zusammengefasst attackierte der Proof-of-Concept-Wurm knapp 75 Prozent des Testnetzwerks erfolgreich und replizierte sich auf knapp zwei Drittel des Netzes. Auffällig war dabei, dass etwa drei der ausgenutzten Schwachstellen erst 2026 bekannt wurden und damit außerhalb des Trainings-Cutoffs der verwendeten Sprachmodelle lagen. Die Modelle entwickelten aus veröffentlichten Informationen selbstständig funktionierende Exploits und waren nicht auf bereits vorhandene Proof-of-Concept-Exploits angewiesen.
Für IT-Sicherheitsteams verschiebt sich damit die Fragestellung. Es geht nicht mehr nur darum, bekannte Schadsoftware oder einzelne Exploits zu erkennen. Relevanter wird die Abwehr von Systemen, die Ziele analysieren, aus Beobachtungen lernen und Angriffsschritte während der Ausführung neu ableiten. Die Forscher sprechen deshalb von autonomen generativen Gegnern: Malware, die sich ohne menschliches Zutun verbreitet und ihre Angriffslogik in Echtzeit entwickelt.