Während die Softwareindustrie Fortschritte bei der sicheren Produktlieferung gemacht hat, gefährdet die rasche Einführung von KI diesen Fortschritt. Unternehmen eilen damit, Large Language Model (LLM)-Infrastrukturen selbst zu hosten, wobei die Geschwindigkeit über die Sicherheit gestellt wird. Nach dem **ClawdBot**-Vorfall – einem selbst gehosteten KI-Assistenten, der von Schwachstellen geplagt wurde – untersuchte das **Intruder**-Team die Sicherheitslage von KI-Infrastrukturen. Mithilfe von Certificate Transparency Logs analysierten sie über 2 Millionen Hosts mit 1 Million exponierten Diensten und deckten erhebliche Sicherheitslücken auf. ## Standardmäßig keine Authentifizierung Ein wiederkehrendes Problem war die Bereitstellung von Hosts ohne Authentifizierung. Die Analyse des Quellcodes ergab, dass viele KI-Projekte die Authentifizierung nicht standardmäßig aktivieren, wodurch Benutzerdaten und Unternehmenswerkzeuge exponiert bleiben. ### Frei zugängliche Chatbots Viele Instanzen beinhalteten Chatbots, die Benutzergespräche preisgaben. Ein Beispiel, das auf **OpenUI** basiert, enthüllte die vollständige LLM-Konversationshistorie von Benutzern. In Unternehmensumgebungen können diese Chat-Verläufe sensible Informationen enthalten.  Generische Chatbots, die diverse Modelle hosten, einschließlich multimodaler LLMs, waren ebenfalls frei zugänglich. Böswillige Akteure können diese Modelle "jailbreaken", um Sicherheitsmaßnahmen für illegale Aktivitäten zu umgehen und die Infrastruktur von Unternehmen ohne Konsequenzen zu nutzen. Missbräuche von Unternehmens-Chatbots wurden bereits beobachtet, wobei Benutzer ohne entsprechende Berechtigung auf leistungsfähigere Modelle zugriffen. Einige Chatbots gaben sogar große Mengen persönlicher NSFW-Gespräche preis, wobei die Software **Claude**-basierte Bot API-Schlüssel im Klartext offenbarte.  ### Weit offene Agentenmanagement-Plattformen Exponierte Instanzen von Agentenmanagement-Plattformen wie **n8n** und **Flowise** wurden entdeckt, wobei einige für den internen Gebrauch bestimmte Instanzen ohne Authentifizierung zugänglich waren. Eine **Flowise**-Instanz enthüllte die gesamte Geschäftslogik eines LLM-Chatbot-Dienstes.  Obwohl **Flowise** keine gespeicherten Anmeldeinformationen direkt preisgab, konnten Angreifer die verbundenen Tools ausnutzen, um sensible Informationen zu exfiltrieren. Der Mangel an ordnungsgemäßen Zugriffsmanagementkontrollen in KI-Tools bedeutet, dass der Zugriff auf einen Bot oft den Zugriff auf alle verbundenen Systeme gewährt. Eine weitere exponierte Konfiguration enthüllte Internet-Parsing-Tools und potenziell gefährliche lokale Funktionen wie Dateischreibvorgänge und Code-Interpretationen, die eine serverseitige Codeausführung ermöglichen.  Über 90 exponierte Instanzen wurden in verschiedenen Sektoren identifiziert, darunter Regierung, Marketing und Finanzen. Angreifer könnten Workflows ändern, Datenverkehr umleiten, Benutzerdaten preisgeben oder Antworten vergiften. ### Hallo an unsichere Ollama APIs Eine beträchtliche Anzahl exponierter **Ollama**-APIs war ohne Authentifizierung zugänglich und mit einem Modell verbunden. Eine einfache "Hallo"-Anfrage an diese Server lieferte Antworten von 31 % der über 5.200 abgefragten Server. Die Antworten zeigten die vielfältigen Verwendungen dieser APIs, einschließlich Integrationen mit Cloud-Management-Systemen und Gesundheits- und Wohlfühlhilfen. Während **Ollama** keine Nachrichten direkt speichert, verpackten viele Instanzen kostenpflichtige Frontier-Modelle von **Anthropic**, **Deepseek**, **Moonshot**, **Google** und **OpenAI**. 518 Modelle, die auf allen Servern identifiziert wurden, verpackten bekannte Frontier-Modelle. ## Insecure by Design Weitere Analysen deckten wiederkehrende unsichere Muster auf: * **Schlechte Bereitstellungspraktiken:** Unsichere Standardeinstellungen, falsch konfigurierte Docker-Setups, hartcodierte Anmeldeinformationen und Anwendungen, die als Root laufen. * **Keine Authentifizierung bei Neuinstallationen:** Benutzer erhalten oft sofort hochprivilegierte Konten mit vollem Verwaltungszugriff. * **Hartcodierte und statische Anmeldeinformationen:** Anmeldeinformationen sind oft in Setup-Beispielen und Docker-Compose-Dateien eingebettet, anstatt bei der Installation generiert zu werden. * **Neue technische Schwachstellen:** Beliebte KI-Projekte wurden schnell Schwachstellen zur beliebigen Codeausführung entdeckt.