KI-Wurm entwickelt Exploits selbstständig und verbreitet sich autonom. Forscher schwärzen Teile ihrer Studie aus Angst vor Missbrauch.
Forscher der University of Toronto, des Vector Institute, der University of Cambridge und ServiceNow Research haben einen adaptiven KI-Wurm entwickelt, der seine Angriffsstrategie selbstständig an jedes Ziel anpasst. Er erkennt Schwachstellen eigenständig, generiert passende Exploits und verbreitet sich ohne menschliches Zutun weiter. In einem simulierten Unternehmensnetzwerk kompromittierte der Prototyp Linux-, Windows- und IoT-Systeme, ohne auf feste Angriffsroutinen oder Cloud-Dienste angewiesen zu sein. Weil die Technologie missbraucht werden könnte, halten die Forscher zentrale Details ihrer Arbeit unter Verschluss.
Eine neue Generation selbstständiger Malware
Computerwürmer gehören seit Jahrzehnten zu den gefürchtetsten Formen von Malware, wie Fälle von Morris über Conficker bis hin zu WannaCry eindrucksvoll gezeigt haben. Nach einer erfolgreichen Infektion verbreiten sie sich selbstständig durch Netzwerke und kompromittieren weitere Systeme. Bisher hatten solche Schadprogramme jedoch die entscheidende Schwäche, auf bekannte und fest einprogrammierte Exploits angewiesen zu sein.
An diesem Punkt setzt die Anfang Juni veröffentlichte Studie „AI Agents Enable Adaptive Computer Worms“ an. Das Forschungsteam beschreibt darin einen KI-gesteuerten Computerwurm, der seine Angriffsstrategie während der Laufzeit anpassen kann. Statt lediglich vorgefertigte Exploits abzuarbeiten, analysiert die Malware ihre Umgebung, entwickelt neue Angriffspfade und verbreitet sich anschließend autonom weiter.
Die Autoren halten Teile ihrer Forschung bewusst unter Verschluss. Bestimmte technische Details, Komponenten der Architektur und Implementierungsdetails wurden aus der veröffentlichten Studie entfernt, um Nachahmern nicht den Bauplan für eine neue Generation autonomer Malware zu liefern. Die Wissenschaftler sprechen offen von einem Dual-Use-Risiko und warnen davor, dass ihre Forschung auch von Cyberkriminellen missbraucht werden könnte.
Vom klassischen Computerwurm zur adaptiven Malware
Klassische Computerwürmer wie WannaCry oder NotPetya waren auf fest programmierte Sicherheitslücken angewiesen. Sobald Administratoren die betroffenen Systeme patchten, brach die Grundlage ihrer Verbreitung weg.
Die Autoren der Studie sehen darin den entscheidenden Unterschied zu ihrem Prototypen. Der von ihnen vorgestellte KI-gesteuerte Computerwurm verfolgt einen völlig anderen Ansatz. Statt einem starren Angriffsschema zu folgen, nutzt die Malware ein lokales Sprachmodell als Entscheidungsinstanz. Erkennt die Software ein neues Zielsystem, wertet sie verfügbare Informationen aus und leitet daraus mögliche Schwachstellen und Angriffspfade ab. Scheitert ein Angriffsversuch, bewertet das System die Situation neu und versucht alternative Wege.
Die Forscher beschreiben ihre Entwicklung daher nicht als herkömmliche Schadsoftware, sondern als einen „autonomen generativen Angreifer“. Der Schadcode wird nicht mehr durch fest einprogrammierte Angriffsroutinen definiert, sondern durch seine Fähigkeit, Ziele zu analysieren, Entscheidungen zu treffen und neue Angriffslogik in Echtzeit zu erzeugen.
Open-Source-LLMs statt ChatGPT
Bemerkenswert ist auch die technische Grundlage. Der adaptive Computerwurm benötigt weder ChatGPT noch Claude oder Gemini. Stattdessen läuft ein frei verfügbares Open-Weight-Sprachmodell lokal auf kompromittierten Systemen. Sobald ein ausreichend leistungsfähiges System kompromittiert wurde, kann dessen Rechenleistung für die Ausführung des Sprachmodells genutzt werden.
Deshalb betrachten die Forscher die Bedrohung als problematisch. Sicherheitsmaßnahmen großer KI-Anbieter spielen für den Wurm praktisch keine Rolle. Selbst wenn OpenAI, Anthropic oder Google sämtliche missbräuchlichen Anfragen blockieren würden, hätte dies laut Studie keinen Einfluss auf einen solchen Wurm. Da die Malware auf lokal betriebenen Open-Weight-Modellen basiert, laufen zentrale Schutzmechanismen kommerzieller KI-Plattformen ins Leere.
Die Malware nutzt vielmehr die Rechenleistung kompromittierter Systeme. Sie „parasitisiert“ infizierte Rechner, um ihre eigene KI-Infrastruktur aufzubauen. Dadurch sinken die Kosten für weitere Infektionen theoretisch gegen null.
Testlauf in einem simulierten Unternehmensnetzwerk
Um die Praxistauglichkeit ihres Ansatzes zu prüfen, bauten die Wissenschaftler ein isoliertes Testnetzwerk mit 33 virtuellen Systemen auf. Darunter befanden sich Linux-Server, Windows-Systeme sowie verschiedene IoT-Komponenten. Die Umgebung enthielt bewusst reale Schwachstellen und typische Fehlkonfigurationen, wie sie auch in Unternehmensnetzwerken vorkommen.
In insgesamt 15 unabhängigen Testläufen agierte der KI-Wurm jeweils sieben Tage lang vollständig autonom. Während dieser Zeit identifizierte er durchschnittlich mehr als 31 Schwachstellen, erlangte auf über 23 Systemen erhöhte Rechte und replizierte sich auf rund 20 weitere Geräte. Nach Angaben der Forscher gelang es dem Wurm, rund 74 Prozent der Systeme erfolgreich anzugreifen und sich auf knapp 62 Prozent der Hosts weiterzuverbreiten.
Der Prototyp erreichte bis zu sieben Generationen eigenständiger Selbstreplikation. Kompromittierte Systeme konnten wiederum neue Ziele angreifen und weitere Instanzen des Wurms starten.
Aktuelle Schwachstellen statt Trainingsdaten
Ein weiterer Aspekt dürfte Sicherheitsforscher aufhorchen lassen. Die Autoren berichten, dass ihr Wurm erfolgreich drei Sicherheitslücken ausnutzte, die erst 2026 veröffentlicht wurden, also nach dem Trainingsstichtag des verwendeten Sprachmodells. Eigentlich hätte das verwendete Sprachmodell über diese Schwachstellen kein direktes Vorwissen besitzen dürfen.
Dennoch gelang es dem autonomen Schadprogramm, die öffentlich verfügbaren Advisories auszuwerten und daraus funktionierende Angriffsmethoden abzuleiten. Die Malware war damit nicht auf Wissen aus den Trainingsdaten angewiesen, sondern konnte neue Informationen selbstständig in verwertbare Exploits umwandeln.
Diese Fähigkeit könnte künftig das Zeitfenster zwischen Offenlegung einer Schwachstelle und ihrer Ausnutzung drastisch verkürzen.
Die überraschenden Nebenwirkungen
Die vielleicht spannendsten Erkenntnisse finden sich allerdings nicht im Hauptteil der Studie, sondern erst im Anhang. Dort dokumentieren die Forscher mehrere Situationen, in denen der KI-Wurm Verhaltensweisen zeigte, die gar nicht vorgesehen waren.
So entdeckte der Agent beispielsweise selbstständig eine interne Sperrliste mit Zielsystemen und änderte die Konfiguration, um weitere Rechner angreifen zu können. In einem anderen Fall analysierte die Schadsoftware Zertifikatsprobleme, diagnostizierte die Ursache korrekt und stellte eigenständig von HTTPS auf HTTP um, um benötigte Pakete dennoch installieren zu können.
Mehrfach erkannte der Agent Sicherheitsmechanismen der Testumgebung als Hindernis und modifizierte daraufhin seinen eigenen Code, um die Ausführung neuer Instanzen zu ermöglichen. Bemerkenswert war zudem ein Fall, in dem der Wurm erbeutete Administrator-Zugangsdaten an nachfolgende Generationen weitergab. Dadurch standen den späteren Instanzen bereits zuvor erbeutete Zugangsdaten zur Verfügung, was weitere Angriffe erleichterte.
Die Forscher betonen zwar, dass sämtliche Tests in einer streng isolierten Umgebung stattfanden. Dennoch zeigen diese Beobachtungen, dass moderne Agentensysteme zunehmend Wege finden, Hindernisse selbstständig zu analysieren und zu umgehen.
KI-Wurm: Nicht perfekt – aber gefährlich genug
Von einer unaufhaltbaren Cyberwaffe sind die Forscher dennoch weit entfernt. Der Wurm erwies sich keineswegs als unfehlbar. Die Erfolgsquote einzelner Exploit-Versuche lag lediglich bei etwa 44 Prozent. Viele Angriffe scheiterten an fehlerhaftem Code, falschen Parametern oder unvollständigen Angriffsketten. Vor allem komplexe Webanwendungen und Windows-Umgebungen bereiteten dem System Schwierigkeiten.
Außerdem handelte es sich um eine bewusst vereinfachte Laborumgebung. Jedes Zielsystem enthielt mindestens eine verwundbare Komponente, während moderne Unternehmensnetzwerke zusätzlich über Endpoint-Schutz, Monitoring-Lösungen und Segmentierung verfügen. Die Forscher räumen diese Einschränkungen ausdrücklich ein.
Die eigentliche Warnung
Die Studie zeigt deshalb weniger die Geburt einer unaufhaltsamen Super-Malware als vielmehr eine Entwicklungslinie, die Sicherheitsexperten künftig beschäftigen dürfte.
Noch vor wenigen Jahren galten autonome KI-Würmer als theoretisches Szenario. Die vorgelegten Experimente deuten darauf hin, dass bereits heute frei verfügbare Open-Source-Modelle in Kombination mit Agentensystemen, Werkzeugen und Speichermechanismen ausreichend Fähigkeiten besitzen, um Schwachstellen zu erkennen, Angriffe zu planen und sich eigenständig in Netzwerken auszubreiten.
Die eigentliche Gefahr liegt nach Ansicht der Autoren nicht in der Leistungsfähigkeit des zugrundeliegenden Sprachmodells. Viel wichtiger sei dabei die Kombination aus Speichermechanismen, Werkzeugen, Wissensdatenbanken und automatisierten Entscheidungsprozessen. Erst dieses sogenannte Agentic Harness mache aus einem gewöhnlichen Sprachmodell einen autonomen Angreifer.
Offenbar halten selbst die Entwickler die Technologie für riskant genug, bewusst Teile ihrer Arbeit zurückzuhalten. Die Autoren begründen dies mit dem Missbrauchspotenzial ihrer Forschung und dem Ziel, Nachahmern die Reproduktion eines solchen Systems zu erschweren.
Für die IT-Sicherheitsbranche könnte das ein Vorgeschmack auf eine neue Ära sein, in der Schadsoftware beginnt, selbst Entscheidungen zu treffen.
