Der Google Threat Intelligence Group (GTIG) hat heute einen neuen Bericht veröffentlicht, der einen deutlichen Wandel in der Cyber-Sicherheitslandschaft aufzeigt. Angreifer nutzen künstliche Intelligenz (KI) zunehmend nicht mehr nur zur Steigerung der Produktivität, sondern entwickeln nun auch neue, kreative Angriffsstrategien, die KI gezielt missbrauchen. Laut dem Bericht haben staatlich unterstützte Akteure aus Nordkorea, dem Iran und der Volksrepublik China versucht, KI-Technologien für ihre Operationen zu nutzen – von der Recherche über die Erstellung überzeugender Phishing-Lures bis hin zur Datenexfiltration. Besonders besorgniserregend ist die Entwicklung von KI-gestützten Malware, die in der Lage ist, Malware-Skripte dynamisch zu generieren und ihren Code in Echtzeit zu verändern. Dadurch können diese Schadsoftwarevarianten bestehende Sicherheitsmechanismen wie Antivirenprogramme oder Echtzeit-Scanning-Systeme umgehen. Diese adaptive Fähigkeit macht die Erkennung und Bekämpfung der Bedrohung erheblich schwieriger. Darüber hinaus beobachtete GTIG, dass Angreifer versuchen, die Sicherheitsfilter von KI-Systemen zu umgehen, indem sie sich als Studenten, Forscher oder andere legitime Benutzer ausgeben, um in ihren Anfragen vertrauliche oder gesperrte Informationen zu extrahieren. Diese Taktik nutzt die sogenannten „Safety Guardrails“ von KI-Modellen aus, die normalerweise verhindern sollen, dass sensible oder schädliche Inhalte generiert werden. Durch gezielte, vorgefertigte Prompts gelingt es manchen Angreifern, diese Schutzmaßnahmen zu umgehen. Ein weiterer alarmierender Trend ist der Zugang zu unterirdischen digitalen Märkten, in denen kriminelle Akteure hochentwickelte KI-Tools erwerben können. Diese Tools dienen der Erstellung von Phishing-Nachrichten, der Entwicklung von Malware und der Forschung zu Sicherheitslücken. So wird KI-Technologie nicht nur als Angriffswerkzeug, sondern auch als Dienstleistung im kriminellen Underground angeboten. Google reagiert auf diese Bedrohungen mit konkreten Maßnahmen. Der GTIG hat bereits mehrere Infrastrukturen, die mit schädlicher Aktivität in Verbindung standen, deaktiviert. Zudem nutzt Google die gesammelten Erkenntnisse, um seine eigenen Klassifizierungssysteme und KI-Modelle weiter zu stärken. Durch die Analyse von Angriffsvektoren und -methoden wird die Fähigkeit von Google Cloud verbessert, potenzielle Bedrohungen frühzeitig zu erkennen und zu blockieren. Der Bericht unterstreicht, dass die Nutzung von KI durch Cyberkriminelle und staatliche Akteure einen neuen, komplexeren Bedrohungsrahmen schafft, der erhebliche Anpassungen in der Cyberabwehr erfordert. Die Zusammenarbeit zwischen Technologieunternehmen, Sicherheitsforschern und Behörden wird entscheidend sein, um diese Herausforderungen zu bewältigen. Weitere Einzelheiten und technische Details finden sich im vollständigen Bericht auf der Google Cloud Threat Intelligence-Blogseite.