In Malware integrierter Prompt umgeht KI-basierter Bedrohungserkennung.
Check Point Research (CPR), die IT-Forensiker von Check Point Software Technologies, hat den ersten dokumentierten Fall von Malware entdeckt, die versucht, KI-basierte Erkennungsmaßnahmen durch Prompt Injection zu umgehen. Der Angreifer passte dabei nicht etwa den Code an, sondern versuchte, über direkte Kommunikation mit der KI diese so zu manipulieren, dass sie die verseuchte Datei als harmlos einstuft.
Prompt Injection: So funktioniert die Taktik
Anfang Juni 2025 wurde anonym aus den Niederlanden eine Malware-Probe bei VirusTotal hochgeladen. Auf den ersten Blick schien sie unvollständig zu sein. Einige Teile des Codes waren nicht voll funktionsfähig, und es wurden Systeminformationen ausgegeben, die normalerweise an einen externen Server exfiltriert würden.
Die Probe enthielt mehrere Sandbox-Umgehungstechniken und einen eingebetteten TOR-Client. Auffällig war eine in den Code eingebettete Zeichenfolge, die offenbar für eine KI und nicht für einen Menschen geschrieben worden war. Sie war mit der Absicht erstellt worden, automatisierte, KI-basierte Analysen zu beeinflussen, nicht um einen Menschen zu täuschen, der sich den Code ansieht. Die Malware enthält eine hartkodierte C++-Zeichenfolge, die im folgenden Codeausschnitt zu sehen ist:
Durch die Verwendung einer Sprache, die den Befehlston eines legitimen Benutzers imitiert, der Anweisungen an das LLM gibt, versucht der Angreifer, die KI so zu manipulieren, dass sie ein gefälschtes Urteil ausgibt und sogar bösartigen Code ausführt. Ein Paradebeispiel für „Prompt-Injection“.
Der Versuch schlug fehl, doch die Absicht ist klar
CPR hat die Malware-Probe mit Check Points MCP-Protokoll-basierten Analysesystem getestet. Die Prompt-Injection war nicht erfolgreich: Das zugrunde liegende Modell hat die Datei korrekt als bösartig gekennzeichnet und nüchtern hinzugefügt: „Die Binärdatei versucht eine Prompt-Injection.”
Der Fall tritt in einer Zeit auf, in der große Sprachmodelle (LLMs) zunehmend in Malware-Analyse-Workflows integriert werden, insbesondere durch Tools, die das Model Context Protocol (MCP) verwenden. Dieses Protokoll ermöglicht es KI-Systemen, direkt beim Reverse Engineering zu helfen, und da diese Art der Integration immer häufiger wird, beginnen Angreifer, sich anzupassen.
„AI Evasion“ eine Reaktion auf steigende Nutzung KI-basierter Erkennung
Auch wenn die Umgehung in diesem Fall nicht erfolgreich war, markiert die Entdeckung einen Wendepunkt in der Strategie von Hackern und die Entstehung einer neuen Bedrohungskategorie. Angriffe wie dieser werden immer besser und ausgefeilter werden. Dies ist der Beginn einer neuen Klasse von Umgehungsstrategien, die CPR als „AI-Evasion“ (KI-Umgehung) bezeichnet. Techniken dieser Art werden wahrscheinlich immer ausgefeilter werden, da Angreifer lernen, die Feinheiten der LLM-basierten Erkennung auszunutzen.
Durch frühzeitiges Erkennen dieser neuen Bedrohung können IT-Sicherheitsexperten Strategien und Erkennungsmethoden entwickeln, die speziell auf die Identifizierung von Malware zugeschnitten sind und versuchen, KI-Modelle zu manipulieren. Dies ist kein Einzelfall, sondern eine Herausforderung, mit der sich jeder Sicherheitsanbieter bald konfrontiert sehen wird.
Ausführliche technische Details, einschließlich Codeausschnitten, Analysemethoden und Erkenntnissen zur Erkennung, finden Sie im vollständigen Check Point Research-Bericht.
