KI-Wurm: Wenn Malware selbst denkt – und jeden Patch überlistet

Computerwürmer kennen wir seit Jahrzehnten. Sie nutzen Sicherheitslücken, kopieren sich selbst weiter und sorgen für Chaos in Netzwerken. Gegen sie hilft eine bewährte Strategie: Lücke finden, Lücke schließen, fertig. Forscher der Universität Toronto haben jetzt gezeigt, warum diese Strategie beim KI-Wurm nicht mehr funktioniert – und was das für die IT-Sicherheit bedeutet.

Was ist überhaupt ein Computerwurm?

Bevor wir zur Neuigkeit kommen: kurz die Grundlage. Ein Computerwurm ist eine besondere Form von Schadsoftware. Im Unterschied zu einem Virus braucht er keinen Wirt – er verbreitet sich selbstständig, indem er bekannte Schwachstellen in Software ausnutzt, sich Zugang zu einem Rechner verschafft und dort Kopien von sich selbst anlegt, die dann wiederum versuchen, ins nächste Gerät einzudringen.

Der erste große Vorfall dieser Art liegt schon eine Weile zurück: 1988 legte der sogenannte Morris-Wurm – ein missglücktes Experiment eines Studenten – rund zehn Prozent des damaligen Internets lahm. Seitdem ist das Prinzip bekannt. Und weil es bekannt ist, gibt es auch Gegenmaßnahmen: Wenn eine Schwachstelle identifiziert ist, wird sie gepatcht. Der Wurm verliert seinen Angriffspunkt. So weit, so klassisch.

Der KI-Wurm bricht dieses Spielprinzip auf

Genau hier setzt der neue Prototyp der Universität Toronto an – und er verändert die Spielregeln grundlegend. Der Unterschied zum klassischen Wurm: Statt auf eine einzige hartcodierte Schwachstelle ausgerichtet zu sein, steckt in diesem Wurm ein großes Sprachmodell. Ein LLM – also dieselbe Art von KI, die hinter Systemen wie ChatGPT oder Claude steckt.

Das Ergebnis ist ein Angreifer, der nicht auf eine Schwachstelle festgelegt ist, sondern für jedes Ziel eine maßgeschneiderte Strategie entwickelt. Der KI-Wurm analysiert das Ziel, wählt den passenden Angriffsweg und handelt situativ. Das ist ein qualitativer Sprung gegenüber allem, was bisher bekannt war.

Noch beunruhigender: Der Wurm kann sogar auf Schwachstellen reagieren, die zum Zeitpunkt seines Trainings noch gar nicht existierten. Im Experiment nutzte er laut dem veröffentlichten Forschungspaper drei Sicherheitslücken aus, die erst 2026 – also nach dem Ende der LLM-Trainingsphase – bekannt wurden. Wie? Indem er öffentlich zugängliche Sicherheitshinweise zur Laufzeit einbezog und daraus funktionierende Exploits ableitete. Der Wurm lernt also nicht nur aus dem, was er mitbekommen hat – er liest aktiv nach.

Was das für IT-Security bedeutet

Nicolas Papernot, Professor für Computertechnik an der University of Toronto und Leiter des Projekts, bringt es gegenüber der New York Times auf den Punkt: „Man braucht ein absolut sicheres System, um sich dagegen zu verteidigen – und wir wissen, dass das derzeit nicht machbar ist.“

Das klingt drastisch, ist aber präzise formuliert. Der klassische Patch-Ansatz funktioniert, weil bekannte Würmer bekannte Schwachstellen angreifen. Ein KI-Wurm hingegen entwickelt seinen Angriff dynamisch. Es gibt keinen einzelnen Patch mehr, den man einspielen könnte, um geschützt zu sein. Die Verteidigung muss genauso adaptiv werden wie der Angreifer.

Papernot ergänzt: Das KI-Modul „macht es deutlich schwieriger, die Ausbreitung von Malware zu stoppen.“ Das ist keine Übertreibung – es ist eine nüchterne Einschätzung der veränderten Bedrohungslage.

Kein optimiertes Angriffswerkzeug – noch nicht

Wer jetzt Panik bekommt: Die Forschenden betonen ausdrücklich, dass ihr Prototyp alles andere als ein ausgefeiltes Angriffstool ist. Sie haben ihn streng vom öffentlichen Internet isoliert und bewusst darauf verzichtet, Verschleierungs- oder Täuschungsmodule zu integrieren – also genau die Komponenten, mit denen sich professionelle Malware vor Entdeckung schützt. Wer die Netzwerkaktivität überwacht, würde den Wurm relativ leicht bemerken.

Auch die Erfolgsquote im Testnetz war begrenzt: Im beschriebenen Worst-Case-Szenario, ohne jede aktive Verteidigungssoftware im Netz, war der KI-Wurm in rund 50 % der Fälle erfolgreich. Das ist weniger als man bei so viel Aufsehen erwarten würde – und gleichzeitig der Beweis, wie viel Potenzial in dem Konzept steckt, wenn es weiterentwickelt wird.

Welches konkrete KI-Modell eingesetzt wurde, haben die Forschenden im Paper bewusst verschwiegen – um Missbrauch zu erschweren.

Warnschuss für Politik und Industrie

Die Forschenden verstehen ihre Arbeit ausdrücklich als Warnschuss. Ihr Fazit ist deutlich: Angesichts dieser neuen Generation von Bedrohungen müssen Regierungen und Industrie gemeinsam handeln.

Besonders heikel ist dabei die Dezentralität des Problems: Kein einzelner Anbieter kontrolliert das KI-Modell, die Hardware oder die Infrastruktur, auf der solche Würmer basieren könnten. Klassische Regulierungsansätze greifen ins Leere. Stattdessen braucht es laut den Forschenden koordinierte Maßnahmen über Forschung, Sicherheitsbranche, Industrie und Politik hinweg – inklusive Bewertungsrahmen, die KI-Fähigkeiten auf Systemebene testen, und Erkennungssysteme, die auf das Verhaltensmuster solcher Würmer ausgerichtet sind.

Was bedeutet das für dich?

Als Einzelperson oder Unternehmen kannst du nicht direkt auf den nächsten KI-Wurm-Angriff vorbereitet sein – das wäre illusorisch. Aber ein paar Dinge bleiben unverändert wichtig: Netzwerkmonitoring, schnelles Einspielen von Patches, Zero-Trust-Architekturen und das Bewusstsein, dass Bedrohungslagen sich schneller verändern als viele IT-Abteilungen reagieren können.

Die eigentliche Botschaft des Papers ist keine technische – sie ist eine strategische: KI verändert nicht nur, wie wir arbeiten und kommunizieren. Sie verändert auch, wie Angriffe funktionieren. Wer das heute noch als Zukunftsthema abtut, wird morgen unvorbereitet sein.

Der KI-Wurm ist kein Science-Fiction-Szenario mehr. Er ist ein Laborexperiment – und Laborexperimente haben die unangenehme Eigenschaft, irgendwann die Labore zu verlassen.