Erste App-genaue Firewall, die KI-gestützte Würmer
KI-erweiterte Schadsoftware fragt inzwischen während laufender Angriffe ChatGPT, Claude und Gemini ab, um Aufklärungsbefehle zu generieren und der Erkennung zu entgehen. NetInsightPro identifiziert Nicht-Browser-Prozesse, die LLM-API-Aufrufe tätigen, kennzeichnet autonome Lateralbewegung im 60-Sekunden-Fenster nach einer LLM-Antwort und eskaliert, wenn dasselbe Bedrohungsmuster auf 3 oder mehr Hosts in Ihrem Netzwerk auftritt.
Verfügbar in den Tarifen Pro und Enterprise. Phase-2-MVP — Erkennung und Telemetrie. Admin-UI-Tab in Phase 3 (Roadmap).
Vom Labor zur bestätigten Verbreitung
KI-erweiterte Schadsoftware ist 2025 von theoretischer Forschung zu bestätigtem staatlich gefördertem Einsatz übergegangen. CrowdStrike dokumentierte in seinem 2026 Global Threat Report einen Anstieg von 89 % bei KI-gestützten Angriffsoperationen.[5]
Erster demonstrierter selbstreplizierender Wurm, der auf GenAI-Ökosysteme abzielt. Nutzte RAG-Datenbankvergiftung und adversariale Prompt-Einbettung, um sich über ChatGPT-4, Gemini Pro und LLaVA zu verbreiten.
Erste bestätigte Schadsoftware in freier Wildbahn, die während aktiver Angriffe ein Live-LLM (Hugging Face, Qwen2.5) abfragt, um Windows-Aufklärungsbefehle zu generieren, und dann Dokumente über SSH an einen Angreifer-C2 exfiltriert.
Backdoor, die die OpenAI Assistants API als C2-Kanal nutzt. Eine .NET-DLL fragt ein angreifergesteuertes OpenAI-Konto nach verschlüsselten Befehlen ab — der Verkehr ist Standard-HTTPS zu api.openai.com, per TLS-Inspektion nicht von legitimer Entwicklernutzung zu unterscheiden.
Phase-2-MVP: drei Erkennungsheuristiken
Die bestehende App-genaue Egress-Telemetrie von NetInsightPro schafft eine einzigartige Erkennungsfläche. Phase 2 liefert drei Heuristiken mit dem besten Signal-Rausch-Verhältnis — ausgewählt für niedrige Falsch-Positiv-Raten nach Allowlist-Kalibrierung.
LLM-API-Egress aus Nicht-Browser-Prozessen
Warnt, wenn ein Prozess, der nicht auf der Mandanten-Allowlist steht, Verbindungen zu bekannten LLM-API-Endpunkten aufbaut (api.openai.com, api.anthropic.com, generativelanguage.googleapis.com, Hugging Face, Mistral, Cohere). Nicht-Entwicklerprozesse, die diese Endpunkte aufrufen, sind der grundlegende Indikator sowohl für LLM-als-C2 (SesameOp-Muster) als auch für LLM-gestützte Aufklärung (PROMPTSTEAL-Muster).
Erkennung von Lateralbewegung nach LLM-Kontakt
Kennzeichnet, wenn derselbe Prozess (oder ein von ihm erzeugter Kindprozess) innerhalb von 60 Sekunden nach Erhalt einer LLM-API-Antwort eine SSH-, SMB- oder Kubernetes-API-Verbindung zu einem Host außerhalb der Geräte-Baseline aufbaut. Dies ist das Signal für LLM-orchestrierte Aufklärung — das LAMEHUG/PROMPTSTEAL-Muster, bei dem Schadsoftware LLM-generierte Befehle erhält und sofort Lateralbewegung versucht.
Host-übergreifende Prozess-Hash-Replikation
Eskaliert, wenn derselbe Prozess-Binär-Hash innerhalb eines 5-Minuten-Fensters auf 3 oder mehr verschiedenen Geräten eines Mandanten LLM-API-Aufrufe tätigt und dieser Hash zuvor nicht in der Mandanten-Baseline war. Dies ist das klarste Signal für Wurm-Verbreitung — ein neuartiges Binary, das sich auf mehrere Hosts ausbreitet und KI-APIs aufruft.
Vollständige Heuristik-Spezifikationen einschließlich H3 (Byte-Asymmetrie), H4 (Prozess-Lineage), H5 (Lateralbewegung nach LLM-Kontakt) und H6 (lokaler LLM-Port-Zugriff) befinden sich in der Phase-3–5-Roadmap. Falsch-Positiv-Schätzungen gelten vor der Kalibrierung; Allowlist-Feintuning reduziert die Raten innerhalb von 14 Tagen pro Mandant erheblich.
Erkennung, ohne Ihre Prompts zu lesen.
KI-Bedrohungserkennung arbeitet auf der Ebene der Netzwerk-Metadaten. NetInsightPro sieht nie Prompt-Text oder LLM-Antwortinhalte. Die Erkennung basiert vollständig auf Verhaltenssignalen: welcher Prozess sich verbindet, mit welchem Endpunkt, in welchem Intervall und bei welchem Byte-Volumen.
Die Payload-Entropie-Erfassung (Heuristik H3) ist pro Mandant opt-in und standardmäßig deaktiviert. Jeder Mandant kann sich per einzelnem AppConfig-Schlüssel vollständig von der KI-Bedrohungstelemetrie abmelden.
- Es werden nie Rohprompt-Texte oder LLM-Antwortinhalte gespeichert, protokolliert oder übertragen — nur Netzwerk-Metadaten (Endpunkt-Hostnamen, Byte-Zählungen, Timing-Intervalle)
- Prozess-Metadaten beschränken sich auf Prozessname und einen Einweg-Lineage-Hash — vollständige Befehlszeilenargumente sind ausdrücklich ausgeschlossen
- Die Payload-Entropie-Erfassung (Heuristik H3) ist pro Mandant opt-in, standardmäßig deaktiviert
- Opt-out pro Mandant: AppConfig-Schlüssel ai_threat_telemetry_enabled (standardmäßig aktiviert) — bei false werden keine KI-Bedrohungsheuristik-Ereignisse erfasst oder gespeichert
- Keine mandantenübergreifende Aggregation von Bedrohungsdaten — die Korrelation läuft nur innerhalb des Mandanten-Stacks
- GDPR Art. 5 Datenminimierung und Speicherbegrenzung: KI-Bedrohungsanomalie-Zeilen werden 90 Tage aufbewahrt (wie bestehende TenantAnomalies)
In Pro und Enterprise enthalten.
Pro
Early Access- H1: LLM-API-Egress-Warnung auf Ihrem Gerät
- H5: Erkennung von Lateralbewegung nach LLM-Kontakt (60-Sek.-Fenster)
- H7: Wurm-Hash-Replikationssignal (5-Min.-Fenster)
- Opt-out pro Mandant verfügbar
- KI-Bedrohungstelemetrie in Ihrem Geräte-Flow-Verlauf
Enterprise
Early Access- Alles in Pro
- Host-übergreifendes H7-Wurm-Signal über Ihre Flotte
- KI-Bedrohungsanomalie-Zeilen in Admin-DDB (Phase 2)
- Admin-UI-KI-Bedrohungs-Tab (Phase 3 — Roadmap)
- ai_worm_guard-Blockrichtlinienvorlage (Phase 4 — Roadmap)
- SIEM-Weiterleitung von ai_category-Bedrohungswerten (OCSF)
Phase 2 ist live. Phasen 3–5 kommen.
Phase-2-MVP hat Erkennungstelemetrie und Backend-Sichtbarkeit ausgeliefert. Wir sind transparent darüber, was live ist gegenüber dem, was in der Roadmap steht, damit Sie Bereitstellungen präzise planen können.
- H1: LLM-API-Egress aus nicht-allowgelisteten Prozessen
- H5: Erkennung von Lateralbewegung nach LLM-Kontakt (60-Sek.-Fenster)
- H7: Host-übergreifende Binär-Replikation (Wurm-Signal, 5-Min.-Fenster)
- Neue ai_category-Telemetriewerte vom Agenten emittiert
- Backend-DynamoDB-Sichtbarkeit für erkannte Ereignisse
- Admin-Konsolen-KI-Bedrohungs-Tab (/admin/tenants/{id}/ai-threats)
- Mandantenseitige Anomalie-Detailansicht mit Heuristik-Aufschlüsselung
- SIEM-Integrationsleitfaden für neue ai_category-Werte
- H2-Polling-Anomalie- + H4-Prozess-Lineage-Heuristiken
- Mobiler KI-Bedrohungs-Bildschirm
- Enterprise-ai_worm_guard-Richtlinienvorlage (Blockmodus, ausdrückliches Opt-in)
- Self-Service-UI für Entwickler-Allowlist
- Integration von Community-IOC-Feed (URLhaus-KI-Kategorie, MISP-KI-Wurm-Tags)
- Bekannter-C2-Domain-Abgleich für LLM-missbrauchende Schadsoftware-Familien
- Automatisierte IOC-zu-Blockregel-Propagierung für Enterprise
Referenzen
- Cohen, S., Bitton, R., Nassi, B. "Here Comes the AI Worm: Unleashing Zero-click Worms that Target GenAI-Powered Applications." arXiv:2403.02817, März 2024 (überarbeitet Januar 2025). Cornell Tech.
- CERT-UA / Splunk Threat Research. "LAMEHUG's LLM-Driven Cyber Intrusion." Splunk Security Blog, Juli 2025.
- Google Threat Intelligence Group (GTIG). "GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools." Google Cloud Blog, 2025. Behandelt PROMPTSTEAL, PROMPTFLUX, APT28-Zuordnung.
- Microsoft Security Blog. "SesameOp: Novel backdoor uses OpenAI Assistants API for command and control." 3. November 2025.
- CrowdStrike. "2026 CrowdStrike Global Threat Report: AI Accelerates Adversaries and Reshapes the Attack Surface." Februar 2026.
Sprechen Sie mit uns über KI-Wurm-Erkennung.
Nennen Sie uns Ihre Flottengröße, Ihr SIEM und Ihren IdP. Wir führen Sie durch die Phase-2-Heuristiken, den Allowlist-Kalibrierungsprozess und den Zeitplan der Phase-3-Admin-UI. Kein Spam. Antwort innerhalb eines Werktags.
Pro- und Enterprise-Tarife · Early Access · Phase-2-MVP ausgeliefert