Am 5. Juni 2026 berichtete 404 Media, dass Angreifer den KI-Kundenservice von Meta ausgenutzt hatten, um Instgram-Konten zu stehlen. Die Taktik war denkbar einfach: Die Angreifer baten den Agenten darum, die Konten an E-Mail-Adressen zu verknüpfen, die sie kontrollierten, und der Agent erfüllte diesen Wunsch ohne zu zögern. Diese einfache Anforderung hatte weitreichende Folgen, darunter das Eindringen in den inaktiven Twitter-Account des Obama White House und das Verfassen pro-iranischer Beiträge.
KI und Cybersicherheit: Ein bekanntes Problem
Die Sorgen um die Sicherheit von KI-Technologien sind nicht neu. Seit Anthropic im April ankündigte, dass ihr Mythos-Modell für Hacking zu gefährlich sei, um der Öffentlichkeit zugänglich gemacht zu werden, beschäftigt sich eine Vielzahl von Kommentatoren, Forschern und Regierungsvertretern mit der Theorie, dass extrem leistungsfähige KI-Systeme unsere Computerinfrastruktur gefährden könnten. Im Fall des Instagram-Hacks war die KI jedoch nicht der Angreifer, sondern das Ziel. Der Vorgehensweise war wesentlich einfacher als das, was ein Modell wie Mythos entwickeln würde.
Ein Fall von Nachlässigkeit?
Neil Gong, Professor für Elektrotechnik und Informatik an der Duke University, kommentiert die Situation und sagte: “Je mehr KI eingesetzt wird, insbesondere zur Automatisierung von Arbeitsabläufen wie der Kontowiederherstellung, desto mehr Motivation haben Angreifer, die KI selbst anzugreifen.” Diese Aussage verdeutlicht die potenziellen Gefahren, die in der heutigen digitalen Landschaft lauern.
Gong und andere Wissenschaftler warnen schon lange vor den Sicherheitsanfälligkeiten von KI-Agenten. Sie veröffentlichen regelmäßig Studien, die Angriffsformen wie den indirekten Prompt-Injektionsangriff erläutern, bei dem Agenten durch versteckte Kommandos in Websites oder E-Mails gehackt werden. Im Vergleich zu diesen komplexeren Angriffsmethoden war der Hack bei Meta nahezu primitiv. Der einzige Stolperstein für die Angreifer war die Notwendigkeit, ein VPN zu verwenden, das mit dem Standort des echten Kontoinhabers übereinstimmte, bevor sie direkt bei dem Support-Agenten nach einer Änderung des E-Mail-Kontos fragten.
Fragen zur Sicherheitsstrategie von Meta
Meta hat bisher keine offizielle Stellungnahme veröffentlicht, wie diese sicherheitsrelevante Lücke unentdeckt blieb. Neil Gong äußert sich überrascht: “Es ist wirklich überraschend. Ich verstehe nicht, warum sie dieses einfache Problem nicht gefunden haben.”
Jessica Ji, Senior Research Analyst am Georgetown Center for Security and Emerging Technology, fügt hinzu: “Es wirft Fragen auf, wie: Gab es überhaupt Sicherheitsvorkehrungen? Hat jemand jemals an diese Art von Szenario gedacht?” Mit einer derartigen Expertise in KI und Cybersicherheit ist der Vorfall besonders auffällig.
Möglichkeiten zur Risikominderung
Es gibt jedoch Möglichkeiten, solche Risiken zu mindern. Unternehmen können traditionelle Software verwenden, um sicherzustellen, dass Agenten strikte Regeln befolgen, wie beispielsweise das Stellen von Sicherheitsfragen, bevor sie sensitive Kontoinformationen an eine neue E-Mail-Adresse weitergeben. Die Experten sind sich einig, dass Agenten rigorosen Red-Teaming-Prozessen unterzogen werden sollten, bei denen Entwickler versuchen, ein System anzugreifen, um seine Sicherheitsanfälligkeiten aufzudecken, bevor es implementiert wird.
Trotz dieser Möglichkeiten gibt es Kräfte, die gegensätzlich wirken. Unternehmen sind bestrebt, leistungsfähige Agenten zu implementieren, und je mehr Kraft ein Agent hat – und je weniger Sicherheitsvorkehrungen er befolgt –, desto mehr Aufgaben kann er potenziell übernehmen. Bo Li, Professor für Informatik an der University of Illinois Urbana-Champaign, erklärt: “Sicherheit und Nutzen stehen immer in einem Trade-off zueinander.”
Um angemessen geschützt zu sein, müssen Verteidiger mehr Ressourcen aufwenden als Angreifer, da diese oft nur eine einzige Schwachstelle finden müssen, während Verteidiger versuchen, möglichst viele zu entdecken und zu beheben.
Ausblick auf zukünftige Sicherheitsherausforderungen
Mit den Fortschritten im Bereich der KI könnte es tatsächlich einfacher werden, die Verteidigungen gegen solche Angriffe zu verstärken. Obwohl die probabilistische Natur der großen Sprachmodelle bedeutet, dass LLM-Agenten immer anfällig für bestimmte Angriffsformen sein werden, könnte ein ausgeklügelteres Modell möglicherweise verdächtige Aktivitäten, wie den Versuch, die E-Mail-Adresse eines hochkarätigen Kontos zu ändern, früher erkennen. Zudem können KI-Systeme genutzt werden, um vorab Schwachstellen in Agenten aufzudecken.
Experten sind sich jedoch einig, dass das Problem, KI-Agenten abzusichern, in Zukunft drängender werden wird. Unternehmen, die KI-Agenten einführen, möchten diesen möglicherweise mehr Macht verleihen, um mehr Leistungen mit weniger menschlichen Ressourcen anzubieten und um nicht hinter ihren Wettbewerbern zurückzubleiben. Jha betont: “Jeder möchte der Erste sein, der etwas tut, und schiebt Dinge ohne sorgfältige Prüfung und Red-Teaming heraus. Ich halte das für sehr gefährlich.”
