Ein neu entdeckter Sicherheitsvorbehalt in künstlichen Intelligenz-Systemen von autonomen Fahrzeugen könnte Cyberkriminellen ermöglichen, diese ohne Wissen der Fahrer zu übernehmen. Forscher der Georgia Institute of Technology entdeckten eine bislang unbekannte Schwachstelle namens VillainNet, die in den sogenannten SuperNets – komplexen AI-Infrastrukturen, die selbstfahrende Autos steuern – eingebettet ist. Diese Schwachstelle bleibt über längere Zeit inaktiv, bis bestimmte, realweltbasierte Bedingungen eintreten, wie beispielsweise Regen oder sich verändernde Fahrbahnbedingungen. Sobald ausgelöst, übernimmt der Angreifer nahezu vollständig die Kontrolle über das Fahrzeug, was zu gefährlichen Szenarien wie Geiselnahme oder gezielter Kollisionen führen könnte. VillainNet nutzt die Architektur von SuperNets aus, die als „Schweizer Taschenmesser der KI“ fungieren: Sie wechseln dynamisch zwischen Hunderten oder Tausenden kleiner, spezialisierter Subnetze, je nach Aufgabe. Die Forscher zeigten, dass ein Angreifer nur ein einzelnes dieser Subnetze manipulieren muss, um eine kontrollierte, gezielte Angriffsfläche zu schaffen. Die Schwachstelle bleibt dabei unsichtbar, da sie nur aktiv wird, wenn das spezifische Subnetz im Einsatz ist – und ansonsten völlig harmlos erscheint. „Ein Angreifer muss nicht das gesamte System infiltrieren, sondern nur ein winziges Werkzeug angreifen, das nur gelegentlich verwendet wird“, erklärte David Oygenblik, Doktorand an der Georgia Tech und Hauptforscher. „Das macht die Erkennung extrem schwierig – es ist wie die Suche nach einer Nadel in einem Heuhaufen von bis zu 10 Quintillionen möglichen Konfigurationen.“ In Experimenten erreichte der VillainNet-Angriff eine Erfolgsquote von 99 Prozent, ohne dass die Manipulation durch Standard-Sicherheitsprüfungen erkannt wurde. Die Forscher fanden zudem heraus, dass die Überprüfung auf solche Backdoors mindestens 66-mal mehr Rechenleistung und Zeit erfordert als herkömmliche Tests – eine Herausforderung, die aktuelle Sicherheitsinfrastrukturen weit überfordert. Die Studie wurde auf der ACM Conference on Computer and Communications Security (CCS) im Oktober 2025 vorgestellt und trägt den Titel „VillainNet: Targeted Poisoning Attacks Against SuperNets Along the Accuracy-Latency Pareto Frontier“. Beteiligt waren neben Oygenblik auch Masterstudenten Abhinav Vemulapalli und Animesh Agrawal, Doktorand Debopam Sanyal sowie die Associate Professoren Alexey Tumanov und Brendan Saltaformaggio. Die Entdeckung wirft erhebliche Fragen über die Sicherheit zukünftiger autonomer Systeme auf. Experten warnen, dass der Übergang zu adaptiven, dynamischen KI-Architekturen ohne entsprechende Sicherheitsarchitekturen ein erhebliches Risiko darstellt. „Dies ist kein hypothetisches Szenario, sondern eine dringende Warnung an die Industrie“, betont ein Sicherheitsexperte aus dem Bereich autonome Fahrzeuge. „Die Entwicklung von KI-Systemen muss mit Sicherheitsüberlegungen von Anfang an einhergehen – nicht nachträglich.“ Unternehmen wie Tesla, Waymo und Mobileye, die auf SuperNet-basierte Architekturen setzen, werden nun unter Druck geraten, ihre Systeme auf solche gezielten, latenten Angriffe zu überprüfen und neue Detektionsmethoden zu entwickeln. Die Forschung unterstreicht, dass die Sicherheit von KI nicht nur in der Robustheit gegen bekannte Angriffe, sondern auch in der Fähigkeit zur Erkennung von „versteckten“, bedingungsabhängigen Backdoors liegt.