Open-Source-KI hat die Innovation in einem beispiellosen Tempo beschleunigt. Leichte Bereitstellungen, lokale Inferenz und gemeinschaftlich gesteuerte Entwicklung haben die Einstiegshürden für Entwickler weltweit gesenkt. Doch diese gleiche Offenheit legt nun eine kritische Bruchlinie offen.

Cybersecurity-Forscher schlagen Alarm, nachdem sie Tausende von öffentlich zugänglichen KI-Servern entdeckt haben, die Open-Source-Modelle für große Sprachverarbeitung (LLMs) betreiben, und dies ohne grundlegende Sicherheitsvorkehrungen.

Fehlkonfigurierte Bereitstellungen, insbesondere solche, die Ollama ausführen, sitzen still im öffentlichen Internet. Keine Passwörter. Keine Zugriffsrestriktionen. Keine Sicherheitsvorkehrungen. Für Bedrohungsakteure ist das keine Herausforderung. Es ist eine Einladung.

Da Angreifer zunehmend exponierte KI-Modelle für Phishing, Deepfakes und Datendiebstahl als Waffe einsetzen, sind die Risiken nicht mehr theoretisch. Sie sind operationell, global und nehmen zu.

Wichtigste Erkenntnisse

• Tausende von Open-Source-AI-Servern sind öffentlich zugänglich, was groß angelegte Entführungen durch Cyberkriminelle ermöglicht.

• Hackern nutzen aktiv unsichere Ollama-Bereitstellungen aus, um Phishing, Deepfakes und Datendiebstahl anzutreiben.

• Schlechte Sicherheitsmaßnahmen bei der Bereitstellung von KI entwickeln sich zu einem systematischen Cyberrisiko, und nicht zu einer Randfallanfälligkeit.

Erforschen Sie KI-gesteuerte Möglichkeiten und handeln Sie sicher aufBitrueum bei aufkommenden Technologie-Risiken und -Trends an der Spitze zu bleiben.

Wie Open-Source-KI-Server zu leichten Zielen wurden

Die Hauptursache für diese wachsende Bedrohung ist täuschend einfach: Fehlkonfiguration. Viele Entwickler setzen auf Ollama-basierte KI-Modelle für Experimente oder interne Nutzung, versäumen es jedoch, den Netzwerkzugriff zu beschränken. Infolgedessen sind diese Server aus dem öffentlichen Internet ohne Authentifizierung erreichbar.

Im Gegensatz zu zentralisierten KI-Plattformen,open-source LLMsoft über eingebaute Sicherheitsmaßnahmen. Wenn sie exponiert sind, fungieren sie als rohe Rechenmaschinen - leistungsstark, anonym und uneingeschränkt. Hacker müssen nicht einbrechen. Sie verbinden sich einfach.

Dies schafft eine gefährliche Asymmetrie. Verteidiger setzen auf Unklarheit. Angreifer setzen auf Umfang.

Lese auch:Warum die Microsoft-Aktie fiel: Langsame Cloud-Wachstums, Rekord-Ausgaben für KI und ROI-Fragen

Expositionsskala: Ein globaler KI-Sicherheitsblindspot

Der Umfang der Exposition ist weit größer als die meisten Organisationen erkennen. SentinelOne und Censys analysierten mehr als 7,23 Millionen Datenpunkte über 300 Tage und identifizierten ungefähr 23.000 durchgehend aktive KI-Hosts in 130 Ländern.

China macht etwa 30% der exponierten Server aus, die stark in Peking konzentriert sind. Die Vereinigten Staaten folgen mit 18-20%, die oft auf in Virginia ansässige Rechenzentren zurückgeführt werden.

Noch besorgniserregender ist, dass 56 % dieser KI-Hosts über private Internetverbindungen betrieben werden, was es Angreifern ermöglicht, bösartigen Verkehr mit gewöhnlichen Haushalts-IP-Adressen zu mischen, eine Täuschungstaktik, die die Zuordnung und Erkennung erschwert.

Insgesamt schätzen Forscher, dass bis zu 175.000 private Server intermittierend anfällige KI-Modelle betreiben könnten, was eine ständig sich verändernde Angriffsfläche schafft.

Auch lesen:Die Mehrheit der CEOs sagt, dass KI weder den Umsatz gesteigert noch die Kosten gesenkt hat: Umfrageergebnisse

Hacker-Ausbeutungstaktiken, die auf Open-Source-KI-Modelle abzielen

Bedrohungsakteure verlassen sich auf Automatisierung und Sichtbarkeit. Sie verwenden Plattformen wie Shodan und Censys, um nach Ollama-Servern zu scannen, die auf dem Standardport 11434 lauschen. Sobald sie identifiziert sind, ist die Ausnutzung oft trivial.

Häufige Techniken sind:

• Server-seitige Anforderungsfälschung (SSRF)um tiefer in vernetzte Systeme einzutauchen

• AbfrageflutUm das Verhalten des Modells, die Kontextgrenzen und die Berechtigungen zu prüfen.

• Prompt-Injectionsangriffe, insbesondere bei Modellen mit aktiviertem Tool-Calling

Nahezu 48% der exponierten Server unterstützen das Tool-Calling, was den Explosionsradius dramatisch erweitert. Durch sorgfältig ausgearbeitete Eingabeaufforderungen können Angreifer API-Schlüssel extrahieren, auf lokale Dateien zugreifen oder verbundene Dienste übernehmen.

Diese kompromittierten KI-Instanzen werden nicht privat gehalten. Operationen wie „Bizarre Bazaar“ verkaufen offen gehackten KI-Zugang zu niedrigen Preisen, bieten fertige Infrastruktur für Spam-Kampagnen, Deepfake-Generierung und das Sammeln von Zugangsdaten an.

GreyNoise hat zwischen Oktober 2025 und Anfang 2026 über 91.000 KI-bezogene Angriffe aufgezeichnet, was unterstreicht, wie aggressiv dieser Vektor ausgenutzt wird.

Auch lesen:WhatsApp erhebt Betriebsgebühren für KI-Chatbots in Italien

Cyberkriminalität und der Anstieg autonomer KI-gesteuerter Angriffe

Dieser Trend existiert nicht isoliert. Laut dem Sicherheitsausblick von Check Point für 2026 stiegen die globalen Cyberangriffe zwischen 2023 und 2025 um 70%, wobei KI zunehmend in offensive Werkzeugketten integriert wird.

Einige Angriffe operieren inzwischen halbautonom. Ende 2025 dokumentierten Forscher eine KI-gestützte Spionagekampagne, die in der Lage war, den Phishing-Inhalt in Echtzeit dynamisch anzupassen. Exponierte LLMs verstärken diese Bedrohung, indem sie kostenlose, skalierbare Intelligenzmaschinen ohne ethische Einschränkungen bereitstellen.

Schlimmer noch, neu offengelegte Schwachstellen wie CVE-2025-197 und CVE-2025-66959 ermöglichen es Angreifern, bis zu 72 % der verwundbaren Hosts durch Schwächen im weit verbreiteten GGUF_K Modell-Dateiformat zum Absturz zu bringen oder zu destabilisieren.

Verfügbarkeitsangriffe, Datenlecks und laterale Bewegungen sind keine Randerscheinungen mehr; sie sind die Standardfolgen schlechter KI-Hygiene.

Warum exponierte KI-Implementierungen eine langfristige Sicherheitsbedrohung darstellen

Die Gefahr von ungeschütztemKI-Modelleist strukturell. Im Gegensatz zu traditionellen Servern sind LLMs interaktive Systeme. Sie denken nach. Sie erinnern sich an Kontexte. Sie verbinden sich mit Tools. Wenn sie kompromittiert werden, werden sie zu Multiplikatoren für Social Engineering, Betrug und Überwachung.

Open-Source-KI ist nicht von Natur aus unsicher. Aber die Bereitstellung ohne Zugangskontrollen, Authentifizierung oder Überwachung verwandelt die Innovationsinfrastruktur effektiv in eine Infrastruktur für Cyberkriminalität. Mit der beschleunigten Einführung wächst auch das Potenzial für massenhafte Ausbeutung.

Lesen Sie auch:Google Assistant-Spionage-Klage endet mit 68 Millionen Dollar Vergleich aufgrund von Datenschutzbedenken

Mitigationsstrategien zur Sicherung von Open-Source-AI-Modellen

Defensive Maßnahmen sind weder komplex noch optional. Best Practices umfassen:

• Binding AI-Dienste wie Ollama strikt an localhost oder private Netzwerke

• Durchsetzung von Authentifizierung und Zugriffskontrollen

• Deaktivierung unnötiger Werkzeugaufruf-Funktionen

• Kontinuierliches Monitoring für internet-exponierte Endpunkte

Im AI-Zeitalter ist Sicherheit durch Annahme nicht mehr ausreichend. Sichtbarkeit, Konfigurationsdisziplin und Bedrohungsmodellierung müssen zur Standardpraxis werden.

Häufig gestellte Fragen

Was macht Open-Source-AI-Server anfällig für Hacker?

Die meisten Angriffe nutzen einfache Fehlkonfigurationen aus, bei denen KI-Server öffentlich zugänglich sind, ohne Passwörter oder Netzwerkschranken.

Warum sind Ollama-Deployments speziell Zielscheiben?

Ollama läuft oft auf einem bekannten Standardport und wird häufig ohne Authentifizierung eingesetzt, wodurch es einfach ist, es im großen Stil zu scannen und zu übernehmen.

Wie nutzen Hacker entführte KI-Modelle?

Kompromittierte Modelle werden für Phishing-Inhalte, die Generierung von Deepfakes, Spam-Kampagnen, Datendiebstahl und automatisierte Cybercrime-Operationen verwendet.

Wie weit verbreitet ist die Exposition von KI-Servern?

Forscher haben weltweit Zehntausende aktive exponierte KI-Hosts identifiziert, mit Schätzungen von bis zu 175.000 verwundbaren Servern.

Wie können Entwickler Open-Source-AI-Deployments absichern?

Durch Einschränkung des Netzwerkzugriffs, Aktivierung der Authentifizierung, Deaktivierung riskanter Funktionen und aktives Überwachen auf öffentliche Exposition.