{"id":33508,"date":"2026-05-27T12:06:32","date_gmt":"2026-05-27T10:06:32","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33508"},"modified":"2026-05-26T12:07:02","modified_gmt":"2026-05-26T10:07:02","slug":"llmjacking-2026-private-ai-server-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/llmjacking-2026-private-ai-server-security\/33508\/","title":{"rendered":"LLMjacking, und wie man diese J\u00e4ger abwehrt"},"content":{"rendered":"<p>KI-Sicherheit hat viele Facetten: Sie muss Datendiebstahl verhindern, <a href=\"https:\/\/www.kaspersky.de\/blog\/moltbot-enterprise-risk-management\/33231\/\" target=\"_blank\" rel=\"noopener\">betr\u00fcgerische KI-Agenten<\/a> b\u00e4ndigen und sch\u00e4dliche Ratschl\u00e4ge von KI-Assistenten erkennen. Eine relativ einfache Bedrohung nimmt immer mehr Fahrt auf: Versuche, die Rechenleistung zu stehlen und fremde neuronale Netzwerke zum eigenen Vorteil auszunutzen. Diese Methode wird als LLMjacking bezeichnet. Da die Prognose <a href=\"https:\/\/oplexa.com\/ai-inference-cost-crisis-2026\/\" target=\"_blank\" rel=\"noopener nofollow\">einen dramatischen Anstieg<\/a> der Kosten f\u00fcr KI-Rechenvorg\u00e4nge voraussagt, wird auch die Zahl der Angreifer wachsen, die auf dieser Welle reiten. Bei der Bereitstellung propriet\u00e4rer KI-Server und entsprechender \u00d6kosysteme wie <a href=\"https:\/\/de.wikipedia.org\/wiki\/Retrieval-Augmented_Generation\" target=\"_blank\" rel=\"noopener nofollow\">RAG<\/a> oder <a href=\"https:\/\/de.wikipedia.org\/wiki\/Model_Context_Protocol\" target=\"_blank\" rel=\"noopener nofollow\">MCP<\/a> sind daher von Anfang an strenge Sicherheitsma\u00dfnahmen notwendig.<\/p>\n<h2>Statistiken aus einem Honeypot<\/h2>\n<p>Wie umfangreich diese Diebstahlversuche sind und welche rasante Entwicklung sie nehmen, veranschaulicht ein <a href=\"https:\/\/web.archive.org\/web\/20260412230759\/https:\/www.reddit.com\/r\/ollama\/comments\/1sff7i0\/30_days_of_an_llm_honeypot\/?solution=64b4494d52a1506664b4494d52a15066&amp;js_challenge=1&amp;token=bbbe4bf1c9a2b5160829c4be34da586161e5e506c5ef56a1c8acb5184e8d115f\" target=\"_blank\" rel=\"noopener nofollow\">Experiment,<\/a> das im April\u00a02026 ausf\u00fchrlich dokumentiert wurde. Der Forscher konfigurierte einen Raspberry\u00a0Pi so, dass er sich als leistungsstarker privater KI-Server ausgab, und machte den Server \u00fcber das Internet zug\u00e4nglich. Bei Anfragen wurde die Verf\u00fcgbarkeit der Server Ollama, LM\u00a0Studio, AutoGPT, LangServe und text-gen-webui gemeldet\u00a0\u2013 Tools, die \u00fcblicherweise als Wrapper f\u00fcr lokal gehostete KI-Modelle dienen. Zudem gab der Server vor, API-Anfragen im OpenAI-Format zu akzeptieren, das inzwischen als Branchenstandard gilt.<\/p>\n<p>Alle diese Dienste wurden scheinbar durch eine lokale Instanz von Qwen3-Coder 30B\u00a0Heretic unterst\u00fctzt, einem der st\u00e4rksten Open-Source-Modelle, aus in diesem Fall die Sicherheitsbeschr\u00e4nkung (safety alignment) entfernt wurde. Damit das Ganze noch appetitlicher wirkte, spiegelte der Honeypot-Server das Vorhandensein verschiedener RAG-Datenbanken und eines MCP-Servers mit verlockenden Funktionen wie <em>get_credentials<\/em> vor.<\/p>\n<p>In Wirklichkeit beherbergte der Raspberry\u00a0Pi lediglich 500\u00a0zuvor gespeicherte Antworten eines echten Qwen3-Modells, wobei ein einfaches Skript jeweils die relevanteste Antwort f\u00fcr eingehende Anfragen herauspickte. Diese Konfiguration gen\u00fcgte, um eine oberfl\u00e4chliche Pr\u00fcfung zu bestehen, und schon konnte der Forscher die Absichten von Angreifern untersuchen.<\/p>\n<p>Nach Angaben des Forschers entdeckte die popul\u00e4re Suchmaschine Shodan den Server innerhalb von drei Stunden nach Inbetriebnahme. Schon eine Stunde sp\u00e4ter gingen Anfragen ein, die offenbar die Funktionen erkunden sollten. Innerhalb des folgenden Monats verarbeitete der Server mehr als 113.000\u00a0Anfragen von Tausenden eindeutiger IP-Adressen. Dabei zielten 23\u00a0% des Datenverkehrs speziell darauf ab, KI-Funktionen zu finden und lokale LLMs und KI-Agenten auszunutzen.<\/p>\n<p>Mit Anfragen wie <em>\/api\/tags<\/em> und <em>\/v1\/models<\/em> k\u00f6nnen Angreifer einen Fingerabdruck erhalten und feststellen, welche Modelle auf einem Server gehostet werden. Ein Scan mit <em>\/.cursor\/rules<\/em> deutet gew\u00f6hnlich auf einen anschlie\u00dfenden Exploit-Versuch gegen den KI-Agenten hin. Eine \u00dcberpr\u00fcfung mit <em>\/.well-known\/mcp.json<\/em> dient der Inventarisierung fremder MCP-Server. Zwar erw\u00e4hnt der Autor nicht, wie viele Angriffe den Rahmen einer einfachen \u00dcberpr\u00fcfung sprengten. Allein in der letzten Woche des Experiments gab es jedoch 175\u00a0aktive Versuche, das LLM zu kapern.<\/p>\n<h2>Was wollen die Angreifer?<\/h2>\n<p>Laut den Beobachtungen des Forschers versuchte keiner der Angreifer, die sich f\u00fcr den Lockvogel-Server interessierten, irgendwelchen Code auszuf\u00fchren oder Root-Zugriff zu erhalten. (Anmerkung der Redaktion: Das ist \u00fcberraschend und k\u00f6nnte auf eine l\u00fcckenhafte Protokollierung hinweisen.) Fast alle Angriffe hatten das Ziel, Ressourcen abzuzweigen. W\u00e4hrend des Experiments wurden beispielsweise folgende Aktivit\u00e4ten protokolliert:<\/p>\n<ul>\n<li>Ein gut strukturierter Versuch, die technische Dokumentation auf dem Mikroprozessor zu analysieren<\/li>\n<li>Ein Prompt, um einen erotischen Roman zu schreiben<\/li>\n<li>Anfragen zur Analyse und Struktur von Social-Media-Textdaten \u00fcber neue Schwachstellen<\/li>\n<li>Ein Versuch, den kompromittierten Server als API-Proxy zu verwenden, um Anthropic-Modelle aufzurufen<\/li>\n<\/ul>\n<p>Bemerkenswert ist, dass zum Scannen von KI-Ressourcen standardisierte Tools eingesetzt werden, die sich rapide weiterentwickeln. Die Anfragen der Anwendung \u201eLLM-Scanner\u201c stammten aus der Infrastruktur von sieben verschiedenen Cloud-Anbietern in acht L\u00e4ndern. Ein Hinweis darauf, dass die LMM-J\u00e4ger \u00fcber etablierte Methoden verf\u00fcgen und ihre Techniken \u00fcber spezialisierte Plattformen miteinander teilen. Ab der dritten Woche des Experiments nutzte der Scanner eine zus\u00e4tzliche \u00dcberpr\u00fcfung: Anhand einfacher abstrakter Fragen ermittelte er, ob mit einer Live-KI oder einem Honeypot interagiert wurde, der vorgefertigte Antworten zur\u00fcckgibt.<\/p>\n<p>Unter den unspezifischen Angriffen verzeichnete das Experiment zahlreiche Versuche, Anmeldeinformationen aus der Datei <em>.env<\/em> zu extrahieren. Die Angreifer durchsuchten systematisch alle erdenklichen Serververzeichnisse nach dieser Datei. Eine \u00f6ffentlich zug\u00e4ngliche <em>.env<\/em>-Datei ist einer der primitivsten Fehler bei der Projektbereitstellung auf Laravel, <em>Node.js<\/em> und anderen Frameworks. Trotzdem ist dieses Versehen immer noch weit verbreitet\u00a0\u2013 insbesondere unter Anf\u00e4ngern und Vibe-Programmierern. Die Angreifer hatten also gute Gr\u00fcnde, diese Datei aufzusp\u00fcren.<\/p>\n<h2>Fazit und Tipps zur Verteidigung<\/h2>\n<p>Das Scannen und die Ausnutzung \u00f6ffentlich zug\u00e4nglicher Server sind ein alter Hut. Mit dem Aufkommen von LLMs bietet sich Angreifern jedoch eine weitere M\u00f6glichkeit, ihre unredlichen Bem\u00fchungen zu monetarisieren. Diese Methode ist f\u00fcr Kriminelle \u00e4u\u00dferst lukrativ\u00a0\u2013 und f\u00fcr ihre Opfer verheerend. Wie massiv diese Angriffe werden k\u00f6nnen, zeigt ein Blick auf den Cryptojacking-Markt. Dort stehlen Kriminelle Rechnerressourcen, um damit Kryptow\u00e4hrungen zu sch\u00fcrfen. Allein <a href=\"https:\/\/www.economist.com\/science-and-technology\/2026\/04\/22\/crypto-miners-are-quietly-colonising-computers\" target=\"_blank\" rel=\"noopener nofollow\">im Jahr\u00a02025 wuchs dieser Markt um 20\u00a0%<\/a>. Da sich KI-basierte L\u00f6sungen immer mehr verbreiten, die Abokosten der gro\u00dfen Anbieter steigen und lokale KI-Chips knapp bleiben, ist zu erwarten, dass LLMjacking zu einem Ph\u00e4nomen mit industriellem Ma\u00dfstab wird.<\/p>\n<p>Wichtige Schutzma\u00dfnahmen f\u00fcr eine private KI-Infrastruktur<\/p>\n<ul>\n<li>F\u00fcr KI-Systeme, die lokal auf einem Computer ausgef\u00fchrt werden, m\u00fcssen Server wie LM\u00a0Studio, Ollama oder \u00e4hnliche so konfiguriert werden, dass Verbindungen nur auf der lokalen Schnittstelle (localhost) und nicht auf allen verf\u00fcgbaren Netzwerkschnittstellen akzeptiert werden. Dadurch wird der LLM-Zugriff auf den Host-Computer eingeschr\u00e4nkt und die KI ist nicht \u00fcber das Internet erreichbar.<\/li>\n<li>F\u00fcr Server, die Remote-Anfragen verarbeiten (auch wenn der Server nur innerhalb eines lokalen Unternehmensnetzwerks betrieben wird), solltest du <a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-benefit-from-identity-security\/48399\/\" target=\"_blank\" rel=\"noopener nofollow\">eine robuste Authentifizierung und Autorisierung<\/a> implementieren. Vertraue nicht ausschlie\u00dflich auf die \u00dcberpr\u00fcfung des API-Schl\u00fcssels. Am effektivsten sind L\u00f6sungen, die auf OIDC oder OAuth2 und kurzlebigen Token basieren. Dies sch\u00fctzt nicht nur vor LLMjacking, es erm\u00f6glicht auch ein genaueres Tracking der Benutzeraktivit\u00e4ten und verhindert den Missbrauch von API-Schl\u00fcsseln. Gefahr droht \u00fcbrigens nicht durch externe Angreifer. Ein wachsendes Risiko ist auch der <a href=\"https:\/\/www.theregister.com\/2026\/04\/27\/cursoropus_agent_snuffs_out_pocketos\/\" target=\"_blank\" rel=\"noopener nofollow\">Missbrauch von Schl\u00fcsseln durch KI-Agenten<\/a>. Dies gilt sowohl f\u00fcr LLM-Schnittstellen als auch f\u00fcr MCP, RAG und andere.<\/li>\n<li>Verwende Netzwerksegmentierung und IP-Erlaubnislisten, um den Zugriff auf den KI-Server nur jenen Abteilungen, Mitarbeitern und Diensten zu gew\u00e4hren, die ihn wirklich ben\u00f6tigen.<\/li>\n<li>Stelle sicher, dass alle Verbindungen zwischen Clients und Servern mit einer aktuellen TLS-Version gesch\u00fctzt sind.<\/li>\n<li>Verwende das <a href=\"https:\/\/www.kaspersky.com\/blog\/what-is-the-principle-of-least-privilege\/50232\/\" target=\"_blank\" rel=\"noopener nofollow\">Prinzip der geringsten Berechtigungen<\/a> und einen getrennten Zugriff auf bestimmte Dienste. MCP- und LLM-Komponenten sollten beispielsweise \u00fcber eigene Zugriffstoken verf\u00fcgen.<\/li>\n<li>Stelle sicher, dass der <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/endpoint-detection-response-edr?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">EDR-Sicherheitsagent<\/a> auf allen Workstations und Servern installiert ist. Auch auf jenen, die KI-Modelle hosten.<\/li>\n<li>\u00dcberwache den KI-Ressourcenverbrauch, lege Nutzungskontingente f\u00fcr verschiedene Mitarbeiterrollen fest und richte Benachrichtigungen f\u00fcr ungew\u00f6hnliche Aktivit\u00e4tsspitzen ein.<\/li>\n<li>F\u00fchre detaillierte Protokolle \u00fcber LLM-Antworten und Anfragen, die an das Modell und die Zusatztools gestellt wurden. Integriere diese Datenquellen in <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/managed-detection-and-response?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">dein SIEM<\/a>. Sorge daf\u00fcr, dass diese Protokolle nicht manipuliert oder unerlaubt gel\u00f6scht werden k\u00f6nnen.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"32334\">\n","protected":false},"excerpt":{"rendered":"<p>Versuche, KI-Ressourcen zu kapern, nehmen mittlerweile industrielle Ma\u00dfst\u00e4be an. Wie wird die KI-Infrastruktur angegriffen und welche Abwehrma\u00dfnahmen sind erforderlich?<\/p>\n","protected":false},"author":2722,"featured_media":33509,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[1520,4227,2360,4273,1653],"class_list":{"0":"post-33508","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ki","9":"tag-llm","10":"tag-maschinelles-lernen","11":"tag-server-main-tag-ki","12":"tag-security"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/llmjacking-2026-private-ai-server-security\/33508\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/llmjacking-2026-private-ai-server-security\/30714\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/llmjacking-2026-private-ai-server-security\/25767\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/llmjacking-2026-private-ai-server-security\/30564\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/llmjacking-2026-private-ai-server-security\/41840\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/llmjacking-2026-private-ai-server-security\/55768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/llmjacking-2026-private-ai-server-security\/30650\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/llmjacking-2026-private-ai-server-security\/36224\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/llmjacking-2026-private-ai-server-security\/36116\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ki\/","name":"KI"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33508","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33508"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33508\/revisions"}],"predecessor-version":[{"id":33513,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33508\/revisions\/33513"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33509"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33508"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33508"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33508"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}