clauding.de
EN
2 Min. Lesezeit KI-generiert

KI-Sicherheit: Selbst Google navigiert im Dunkeln

Artikel als Markdown kopieren

Geloeschte API-Keys bleiben 23 Minuten aktiv, Entwickler bekommen fuenfstellige Rechnungen durch unbefugte Gemini-Aufrufe, und Shadow Agents unterlaufen Sicherheitsrichtlinien. Die KI-Sicherheitslage ist ernuechternd.

Google KI-Sicherheit API Gemini Shadow Agents
Featured image for "KI-Sicherheit: Selbst Google navigiert im Dunkeln"

Wenn selbst Google zugibt, KI-Sicherheit noch nicht im Griff zu haben, sollten wir alle aufmerksam werden. Ein TechCrunch-Bericht von diesem Wochenende zeichnet ein ernuechterndes Bild der aktuellen Sicherheitslage rund um KI-Systeme.

23 Minuten Geisterzeit

Die Sicherheitsfirma Aikido hat eine beunruhigende Luecke entdeckt: Wenn Entwickler einen kompromittierten Google-API-Key loeschen, bleibt er noch bis zu 23 Minuten aktiv. Der Grund: Googles Widerrufs-Mechanismus verbreitet sich schrittweise ueber die Infrastruktur. In diesem Fenster koennen Angreifer Dateien und zwischengespeicherte Gesprächsdaten aus Gemini abgreifen.

Das klingt nach einer Kleinigkeit? Ist es nicht. In der Welt moderner Angriffe ist die durchschnittliche Zeit zwischen dem ersten Einbruch und der naechsten Angriffsstufe auf 22 Sekunden geschrumpft. 23 Minuten sind da eine Ewigkeit.

Fuenfstellige Rechnungen ueber Nacht

Noch unangenehmer: Google-Cloud-Entwickler wurden mit Rechnungen im fuenfstelligen Bereich ueberrascht - verursacht durch unbefugte API-Aufrufe an Gemini. Wenn jemand deinen API-Key abgreift und ihn fuer massive KI-Anfragen nutzt, zahlst erst mal du.

Shadow Agents - das unsichtbare Risiko

Ein neues Phaenomen macht Sicherheitsteams besonders nervoes: sogenannte Shadow Agents. Das sind KI-Agenten, die Mitarbeiter eigenmaechtig einsetzen, um Aufgaben zu automatisieren. Das Problem: Diese Agenten erstellen unsichtbare, unkontrollierte Daten-Pipelines und koennen Organisationen Sicherheits-, Compliance- und Datenschutzrisiken aussetzen - ohne dass die IT-Abteilung davon weiss.

Was LinkedIn-CISO Lea Kissner sagt

Lea Kissner, Chief Information Security Officer bei LinkedIn, bringt es auf den Punkt: Die Branche werde KI-Sicherheit ‘mindestens mehrere Jahre lang’ nicht nachhaltig verstehen. Das ist eine ehrliche Einschaetzung - und eine, die man ernst nehmen sollte.

Google selbst hat reagiert: Drei neue Security Operations Agents gehen in die Preview, aufbauend auf einem bestehenden Triage-Agent, der im letzten Jahr ueber 5 Millionen Alerts verarbeitet hat. Die Analyse-Zeit pro Alert sank von 30 Minuten auf 60 Sekunden. Fortschritt, ja - aber gegen 22-Sekunden-Angriffe reicht auch das noch nicht.

Was das fuer Claude-Nutzer bedeutet

Anthropic hat mit Project Glasswing und dem Mythos-Modell gerade einen anderen Weg gewaehlt: KI zur Verteidigung einsetzen, statt nur zu reagieren. Aber die grundsaetzlichen Probleme - API-Key-Management, Shadow Agents, die Geschwindigkeit moderner Angriffe - betreffen die gesamte Branche. Wer KI-Tools im Unternehmen einsetzt, sollte seine API-Keys wie Passwörter behandeln und ein Auge auf unkontrollierte KI-Agenten haben.

Quellen: