Ausgabe vom 12. Mai 2026

Der Report unter dem Titel „Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access“ markiert laut GTIG-Chef John Hultquist einen qualitativen Sprung. Bisher hatte Google Threat Intelligence Group nur KI-gestützte Malware dokumentiert: PROMPTFLUX (November 2025), ein VBScript, das per Gemini-API seinen eigenen Quellcode obfuskiert; PROMPTSTEAL alias LAMEHUG (APT28/GRU), das über Hugging Face Qwen2.5-Coder-32B-Instruct zur Laufzeit konsultiert. Beides war ein Werkzeug-Einsatz von KI durch Menschen. Der neue Fall ist anders: Hier hat eine KI eigenständig einen funktionsfähigen Exploit für eine semantische Logiklücke geschrieben.

Die technische Schwachstelle ist instruktiv. Es handelt sich nicht um einen Memory-Corruption-Klassiker wie Buffer Overflow, sondern um eine „hardcoded trust assumption“ — der Entwickler hatte eine Vertrauensannahme im Code fest verdrahtet, sodass die 2FA-Erzwingung unter bestimmten Konstellationen ausgehebelt werden konnte. Voraussetzung des Angriffs sind gültige User-Credentials. Diese Bug-Klasse galt jahrelang als das Reservoir erfahrener Pentester: Sie verlangt das Lesen der Entwickler-Intention aus dem Quellcode und das Erkennen logischer Widersprüche. Genau diese Aufgabe übernehmen LLMs jetzt zuverlässig.

Identifiziert wurde der KI-Ursprung an mehreren Artefakten. Übertrieben pädagogische Docstrings im Stil von Online-Tutorials, ein halluzinierter CVSS-Score, der keiner echten CVE entspricht, eine textbuchartig saubere Python-Struktur sowie eine standardisierte `_C`-ANSI-Color-Klasse — alles Marker, die normalerweise im Trainingsmaterial großer Code-LLMs auftauchen. Google sagt explizit: Das verwendete Modell war nicht Gemini. CyberScoop zitiert die Quelle so, dass auch Anthropics Mythos ausgeschlossen wird. Der konkrete Modellname bleibt offen — vermutlich ein Open-Weights-Modell, das sich der Kontrolle der Frontier-Labs entzieht.

Bemerkenswert ist die Discovery-Pipeline. GTIG hat den Exploit-Code nicht in einem laufenden Angriff abgefangen, sondern durch Reverse-Engineering von Samples aus Cybercrime-Foren identifiziert. Vor dem geplanten „mass exploitation event“ koordinierte Google mit dem Vendor und Strafverfolgungsbehörden einen stillen Patch. Vendor- und CVE-Name werden bewusst nicht veröffentlicht. Die kriminelle Koalition hinter dem Vorhaben wird im Report mit „strong record of high-profile incidents and mass exploitation“ umschrieben, aber nicht namentlich genannt.

Die Implikationen für Threat-Intel sind doppelt. Erstens: Indicators of Compromise verschieben sich von Binär-Signaturen auf Stil-Signaturen — Docstring-Muster, CVSS-Halluzinationen und „unused filler“-Kommentare werden Detection-Merkmale. Zweitens: Der Zugang zu Schwachstellenklassen, die bisher Spezialist:innen vorbehalten waren, demokratisiert sich rasant. John Hultquist von GTIG bringt es so auf den Punkt: „The game's already begun and we expect the capability trajectory is pretty sharp.“ Für jede entdeckte KI-gebaute Lücke gibt es vermutlich viele weitere, die ohne deutliche Artefakte auskommen. Defender-Pipelines wie AISLE und OpenAI Daybreak werden zur Pflichtausstattung — nicht aus Hype, sondern aus Asymmetrie.

Die Mechanik der Schwachstelle ist elegant in ihrer Einfachheit. Der FreeBSD-Default-DHCP-Client `dhclient(8)` parst die BOOTP-Felder einer eingehenden DHCP-Antwort und schreibt sie in das lokale Lease-File, das wiederum von `dhclient-script(8)` beim nächsten Boot oder Service-Reload neu eingelesen wird. AISLE-Forscher Joshua Rogers entdeckte, dass eingebettete doppelte Anführungszeichen im File-Feld nicht escaped werden. Ein Angreifer im selben Broadcast-Domain betreibt einen Rogue-DHCP-Server, antwortet auf eine DHCP-Anfrage des Opfers mit präparierten Werten und kann dadurch beliebige `dhclient.conf`-Direktiven injizieren — beim nächsten Reload werden diese als Code mit Root-Rechten ausgeführt.

Der Bug ist 21 Jahre alt. FreeBSD hat den OpenBSD-DHCP-Client im Jahr 2005 mit Version 6.0 importiert. OpenBSD selbst hat das betroffene Subsystem 2012 deprecated, ohne die Schwachstelle dabei zu entdecken. FreeBSD führte den Code in Default-Installationen weiter, ohne dass das Problem in 21 Jahren menschlicher Reviews und Fuzzing-Kampagnen aufgefallen wäre. AISLEs AI-basierter „Cyber Reasoning System“-Ansatz fand den Bug bei einem systematischen Durchgang der Netzwerk-Subsysteme; im Anschluss verifizierte ein menschliches Security-Team den Befund und entwickelte den vollen PoC.

Die Disclosure-Zeitleiste war diszipliniert. Discovery am 13. April 2026, Meldung an das FreeBSD Security Team am 14. April, CVE-Reservierung am 28. April, Patch und Advisory FreeBSD-SA-26:12.dhclient am 29. April, CVE-Veröffentlichung am 30. April. Updates sind über `pkg`, FreeBSD-Update-Tools oder Source-Patches erhältlich. Netzwerk-seitig schützen DHCP-Snooping-Konfigurationen auf Enterprise-Switches gegen den Angriffsvektor — eine Maßnahme, die in Unternehmens-LANs ohnehin Best Practice sein sollte.

AISLE selbst ist erst seit Oktober 2025 aus dem Stealth-Modus. Gegründet von Ondrej Vlcek (Ex-Avast-CEO), Jaya Baloo (Ex-CISO Avast/Rapid7) und Stanislav Fort (Ex-Anthropic, Ex-DeepMind). Investorenliste mit prominenten Angels: Jeff Dean (Google Chief Scientist), Thomas Wolf (Hugging Face), Olivier Pomel (Datadog). Die Erfolgs-Bilanz seit Anfang 2026 ist ungewöhnlich: am 27. Januar fand AISLE alle zwölf Zero-Days der OpenSSL-Coordinated-Release-Welle, darunter Bugs aus 1998 bis 2000. Insgesamt mehr als 100 extern validierte CVEs in über 30 Open-Source-Projekten — Linux Kernel, glibc, Chromium, Firefox, WebKit, Apache HTTPd, GnuTLS, OpenVPN, Samba, NASAs CryptoLib.

Für Infrastruktur-Verantwortliche ist die Lehre konkret. Erstens: Defender-Tools mit KI-Reasoning entdecken Bug-Klassen, die klassische Fuzzer und SAST-Tools systematisch übersehen — Logikfehler, fehlende Escaping-Pfade, Vertrauensannahmen. Zweitens: Selbst extrem alter, viel-reviewter Code in kritischer Infrastruktur enthält wahrscheinlich noch undetektierte Schwachstellen — ein nicht unwesentlicher Teil davon mit Root-Eskalation. Drittens: Die Welle an „Old-Bug“-Funden 2025/2026 wird die CVE-Pipeline überlasten; FIRST prognostiziert für 2026 median 59.427 CVEs gegenüber rund 40.000 im Vorjahr. Patch-Management-Prozesse müssen entsprechend skalieren.

Der Leitlinien-Entwurf zu Artikel 50 fächert die Transparenzpflichten in vier Kategorien auf. Interaktive KI-Systeme wie Chatbots und Sprachassistenten müssen sich „unmissverständlich“ als nicht-menschlich zu erkennen geben — mit besonderem Schutz für Kinder. Synthetische Inhalte (Bild, Video, Audio, Text) müssen in maschinenlesbarem Format markiert werden, mit C2PA als wahrscheinlichem Standard. Emotionserkennung und biometrische Kategorisierung lösen strikte Informationspflichten gegenüber Betroffenen aus. Deepfakes und KI-Texte zu öffentlichen Themen erfordern eine klare Kennzeichnung, mit klar umrissenen Ausnahmen für Kunst, Satire, private nicht-berufliche Nutzung und reine Grammatikkorrektur.

Die Fristen sind ehrgeizig. Bis zum 3. Juni 2026 läuft die öffentliche Konsultation, dann folgt die finale Fassung. Am 2. August 2026 wird die Markierungspflicht für synthetische Inhalte in neuen Systemen verbindlich. Bestandssysteme haben bis zum 2. Dezember Zeit für die Umsetzung sichtbarer Wasserzeichen. Strafen reichen bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes bei Verstößen gegen GPAI-Pflichten, bis zu 35 Millionen Euro oder sieben Prozent bei verbotenen Praktiken. Durchsetzungsverantwortlich ist das EU AI Office unter der politischen Federführung von Executive Vice-President Henna Virkkunen.

Brisanter ist die zweite Meldung des Tages. Thomas Regnier, Sprecher der EU-Kommission, bestätigte in einer Pressekonferenz, dass die Kommission „eine Reihe von Risiken“ in den neuen Frontier-Cyber-Modellen sieht und seit Wochen mit beiden Anbietern verhandelt. OpenAI bietet GPT-5.5-Cyber proaktiv den EU-Institutionen, ENISA, DG Connect, Mitgliedsstaaten-Regierungen sowie autorisierten europäischen Cyber-Behörden an. Regnier lobte OpenAIs „Transparenz und Bereitschaft“. Anthropic dagegen: vier bis fünf Meetings ohne Zugangsangebot. Die EU war ausdrücklich nicht in Project Glasswing eingeladen.

Die Asymmetrie hat einen einfachen Grund: Bis zum 2. August 2026 hat das EU AI Office keine formellen Durchsetzungsbefugnisse. Modell-Recalls, Mitigations-Anordnungen und Bußgelder bei Frontier-Modellen mit systemischem Risiko (Trainings-FLOPs über ungefähr 10^25) greifen erst dann — geregelt in Artikel 55. Bis dahin ist die EU auf freiwillige Kooperation der US-Anbieter angewiesen. Anthropic argumentiert die Restriktion sicherheitspolitisch: Ein Modell, das autonom Browser-Exploits mit verketteten Vulnerabilities baut, soll nicht in die Hände unkalibrierter Empfänger gelangen. OpenAIs Trusted-Access-Programm versucht den Mittelweg — verifizierter Zugang für Defender, aber breit genug, dass die EU ihren Anteil bekommt.

Für europäische SaaS-Unternehmen verdichten sich daraus drei Linien. Erstens: Wer KI-generierte Inhalte produziert, sollte bis Q2/2026 C2PA-Workflows oder vergleichbare Wasserzeichen-Standards verbindlich integrieren — die Anforderungen sind interoperabel mit der Foto/Video-Branche, aber Backend-Implementierungen brauchen Zeit. Zweitens: GPAI-Compliance ist kein abstraktes Datenschutz-Thema mehr; ab dem 2. August können Untersuchungen, Auskunftsverlangen und Recalls schnell verlaufen. Drittens: Wer Frontier-Modelle für interne Defender-Use-Cases evaluiert, sollte den Trusted-Access-Pfad bei OpenAI parallel zu klassischen Drittanbietern (Snyk, Semgrep, AISLE) prüfen — die Wartezeiten werden mit zunehmender Nachfrage steigen.

Microsoft Purview ist die unternehmensweite Data-Security-, Compliance- und Governance-Suite des Konzerns — DLP, Insider Risk Management, Communication Compliance, eDiscovery in einer Plattform. Die jetzt erweiterte Komponente ist Insider Risk Management mit einem neuen „Risky AI usage“-Indikator-Set. Analyst:innen können künftig nicht nur sehen, dass ein Mitarbeitender potenziell riskante Inhalte an eine KI gegeben hat — sie können den Prompt und die Modell-Antwort im Klartext ansehen, inklusive Inhalten aus Microsoft 365 Copilot, Copilot Studio Agents und konfigurierten Third-Party-Generative-AI-Apps.

Die als Datenschutz-Maßnahme vermarktete Anonymisierung erweist sich bei näherem Hinsehen als Sichtschutz. Technisch handelt es sich um Pseudonymisierung: Nutzerinnen und Nutzer erscheinen mit Platzhalter-IDs, solange ein Vorgang in der Triage-Liste steht. Über eine eingebaute Deanonymisierungs-Funktion können Berechtigte mit der entsprechenden Purview-RBAC-Rolle die Identität jederzeit aufdecken — formal „bei berechtigten Vorfällen unter Beibehaltung des Privatsphärenschutzes“, praktisch ein Knopfdruck. heise online formuliert es spitz: Wer das Feature aktiviert, hat „Sichtschutz mit Reveal-Button“, nicht echte Anonymität.

Es handelt sich nicht um eine klassische CVE-Schwachstelle, sondern um ein konzeptionelles Design-Problem. Microsoft hat das Feature selbst über Message Center und Roadmap angekündigt; heise online, Neowin, Winbuzzer und das deutsche Cloud-Magazin haben am 11. Mai die Datenschutz-Implikationen herausgearbeitet. Der Rollout: Public-Preview-Phase Anfang Mai, Public Preview abgeschlossen Mitte Mai, General Availability Mitte Juni 2026. Parallel kommt Ende Mai „Purview for Agents“ — KI-Agenten werden als First-Class-Identities behandelt, mit Detection für anomalen Datenzugriff und sensible Outputs.

Für DACH-Unternehmen mit gesetzlicher Mitbestimmung ist der Punkt kritisch. Klartext-Einsicht in Mitarbeiter-Prompts berührt §87 BetrVG (Mitbestimmung bei technischen Überwachungseinrichtungen) und Artikel 88 DSGVO (Beschäftigtendatenschutz). Datenschutzbehörden in mehreren Bundesländern haben in ähnlichen Fällen (Microsoft 365 Audit-Logs, Office-Nutzer-Telemetrie) bereits restriktiv geurteilt. Die deutsche Cloud-Magazin-Analyse empfiehlt unter anderem: RBAC-Rollen für Reviewer streng begrenzen, Audit-Logs auf Deanonymisierungs-Ereignisse überwachen, Betriebsrat und Datenschutzbeauftragten einbinden, Mitarbeitenden transparent kommunizieren, dass „anonymisiert“ hier „pseudonymisiert mit Reveal-Option“ bedeutet.

Im weiteren Kontext ist die Funktion verständlich. Mitarbeitende geben zunehmend Kundendaten, IP, vertrauliche Verträge und Quellcode in Copilot und externe KI-Tools. Klassische DLP-Pipelines (Endpoint, Mail, Network) sehen das nur partiell. Purviews Anspruch ist es, die gleiche Compliance-Maschinerie auf KI-Interaktionen auszudehnen. Die Frage ist nicht, ob Unternehmen das brauchen — die Frage ist, wie sie es so implementieren, dass Datenschutz und Compliance gleichzeitig stimmen. Pauschale Aktivierung ohne RBAC-Härtung und Mitarbeiter-Information dürfte in vielen DACH-Umgebungen rechtlich angreifbar sein.

Der Prozess Musk vs Altman erreicht in seiner dritten Woche jene Phase, in der Insider-Aussagen kontroverse Details aus dem Board-Saal zutage fördern. Sutskever, früherer Chief Scientist bei OpenAI und einer der Kernunterstützer der Altman-Entlassung im November 2023, hatte im April per Deposition bereits sein 52-seitiges Memorandum bestätigt. Im Live-Zeugenstand am Montag wiederholte er die Substanz und ergänzte: Altmans Verhalten habe das „Untergraben und gegeneinander Ausspielen von Führungskräften“ umfasst. Sein Schlüsselzitat zur Frage, warum er die Entlassung mittrug: „I simply cared for it, and I didn't want it to be destroyed.“

Bemerkenswert sind die neuen Details zum Tag nach dem Ouster. Das Restboard verhandelte mit Anthropic über ein Merger-Szenario, in dem Anthropic OpenAI hätte übernehmen und führen sollen — die ehemaligen Konkurrenten als zukünftige Eigentümer. Sutskever sagte aus, er habe den parallelen Microsoft-Notfallplan (Aufnahme von Altman, Brockman und einem Großteil des Teams in eine MS-Tochter) am Wochenende nicht wahrgenommen, weil er das Internet weitgehend gemieden habe. Microsoft-CEO Satya Nadella, der am selben Tag aussagte, distanzierte sich von Musks Vorwürfen und betonte, Musk habe nie Bedenken zur Microsoft-Investition geäußert.

Sutskevers OpenAI-Anteil ist ein Nebenthema, aber materiell relevant. Auf Befragung durch Musks Anwälte bestätigte er, dass seine Beteiligung heute rund 7 Milliarden Dollar wert ist — einer der größten Einzelaktionärspositionen. Das gibt ihm signifikantes Einkommen aus genau jenem Unternehmen, dessen Führung er einst absetzen ließ.

Parallel dazu der Stand seines neuen Unternehmens. Safe Superintelligence Inc. (SSI), gegründet im Juni 2024, wurde Anfang 2025 mit 32 Milliarden Dollar bewertet. Die Runde wurde von Greenoaks Capital mit 500 Millionen Dollar geleitet; a16z, Lightspeed, DST Global, Alphabet und NVIDIA sind weitere Investoren. Total Funding rund 3 Milliarden Dollar. Das Team: rund 20 Mitarbeiter. Das Produkt: noch keines. Google Cloud ist Compute-Provider. SSI verfolgt explizit nicht den Frontier-Modell-Wettlauf — Sutskever spricht öffentlich von einem Single-Product-Ansatz: „Safe Superintelligence“ als einziges Ziel, ohne Zwischen-Releases.

Im Kontext des Prozesses zeichnet sich eine Linie ab. Musks Anwälte versuchen, OpenAI als ursprünglich gemeinnütziges Projekt darzustellen, das durch Altmans Führung verraten worden sei. Sutskever als Zeuge belegt aus erster Hand das Misstrauen innerhalb des damaligen Boards — was Musks Erzählung stützt. Mira Murati, ehemalige OpenAI-CTO und Interims-CEO nach dem Ouster, hatte zuvor ebenfalls ausgesagt, dass Altman sie in mehrfacher Hinsicht getäuscht habe. Polymarket beziffert die Wahrscheinlichkeit eines Musk-Siegs auf 43 Prozent, mit zwölf Prozent für ein Settlement über zehn Milliarden Dollar. Phase-2-Remedies, die nur die Richterin entscheidet, beginnen am 18. Mai; Altman selbst sagt vom 11. bis 13. Mai aus.

Mira Murati hat OpenAI im September 2024 verlassen und im Februar 2025 Thinking Machines Lab gegründet. Die Seed-Runde im Juli 2025 — 2 Milliarden Dollar bei 12 Milliarden Post-Money-Bewertung, geführt von a16z — gilt als die größte Seed-Runde der Geschichte. Eine geplante Follow-on-Runde bei 50 Milliarden Bewertung scheiterte, was im Markt als erste Korrektur an der Erwartungshaltung gewertet wurde.

Die Verge-Story vom 11. Mai stellt vier strategische Punkte ins Zentrum. Erstens: Mit NVIDIA hat Thinking Machines im März 2026 nicht nur ein Equity-Investment, sondern auch einen Multi-Year-Vertrag über ein Gigawatt Vera-Rubin-Compute abgeschlossen — ein Volumen, das Thinking Machines auf Augenhöhe mit den deutlich größeren Frontier-Labs spielen lässt. Zweitens: Im April 2026 folgte ein Multi-Milliarden-Dollar-Cloud-Deal mit Google, der die bestehende Partnerschaft vertieft. Drittens: Im Januar 2026 verlor das Unternehmen Co-Founder/CTO Barret Zoph und den Forscher Luke Metz an OpenAI — ein Vorgang, der in der Branche als Talent-War-Eskalation gewertet wird. Vierter Punkt: Soumith Chintala, einer der PyTorch-Mitgründer, ist neuer CTO; John Schulman (OpenAI-Mitgründer) bleibt Chief Scientist, Lilian Weng (Ex-OpenAI VP) bleibt im Team.

Das einzige veröffentlichte Produkt heißt Tinker und ist seit dem 12. Dezember 2025 generell verfügbar. Tinker ist eine Cloud-API zum Feintunen offener Sprachmodelle via LoRA (Low-Rank Adaptation) — also eine Entwickler-Plattform für effiziente Modell-Anpassung ohne Training-from-scratch. Tinker ist kein direkter Wettbewerber zu Anthropics Claude oder OpenAIs GPT-5.5; es bedient eher das mittlere Marktsegment der Open-Weights-Fine-Tuning-Dienste neben Hugging Face Inference Endpoints, AWS Bedrock und Fireworks AI.

Bemerkenswert ist die Lücke zwischen Bewertung und Output. Ein 12-Milliarden-Unternehmen, das nach gut zehn Monaten Marktpräsenz nur eine LoRA-API als Produkt vorweist und dessen eigenes Foundation Model laut Chief Scientist Schulman „im Verlauf von 2026“ erwartet wird — das ist eine extreme Vertrauensvorschuss-Bewertung. Murati hat per Aktionärsvereinbarung Mehrheits-Stimmrecht im Board, die rechtliche Form ist eine Public Benefit Corporation. Die strategische Wette der Investoren: Murati, Schulman, Weng und Chintala bauen mittel- bis langfristig eine Frontier-Alternative auf, die — anders als Anthropic — über Tinker und nutzungsbasierte APIs den Massenmarkt bedient.

Für SaaS-Unternehmen, die in den nächsten 12 Monaten Modell-Lieferanten evaluieren, ist Thinking Machines noch keine Option für Produktivität-Workloads. Tinker eignet sich für Fine-Tuning-Experimente auf Open-Weights-Modellen (Llama, Qwen, Mistral), nicht für Frontier-Inferenz. Wer das eigene Foundation Model abwarten will, sollte parallele Beziehungen zu OpenAI Trusted Tier, Anthropic Enterprise und Google Vertex aufbauen — und Thinking Machines beobachten, bis ein klarer Use Case für die kombinierte LoRA-Plattform plus eigenes Modell entsteht. Der Talent-Verlust an OpenAI im Januar mahnt zur Vorsicht: Auch in einer Public Benefit Corporation gilt Compute plus Brand, und OpenAI hat beides in größerer Konzentration.