23.000 aktive Hosts, 130 Länder: Hacker kapern Open-Source-KI-Modelle 

Berichten zufolge sind rund 175.000 private Server dem öffentlichen Internet ausgesetzt, was Hackern die Möglichkeit gibt, ihre illegalen Aktivitäten durchzuführen. 

Das Problem wurde von den Sicherheitsforschern SentinelOne und Censys gemeldet, die über einen Zeitraum von mehr als 300 Tagen 7,23 Millionen Beobachtungen trac. 

Hacker nutzen Ollama-Einstellungen aus

Einem aktuellen Bericht von SentinelOne und Censys zufolge sind über 175.000 private KI-Serverdentim Internet zugänglich. Diese Systeme nutzen Ollama, eine Open-Source-Software, mit der leistungsstarke KI-Modelle wie Metas Llama oder Googles Gemmaauf eigenen Rechnern anstatt über Websites wie ChatGPT ausgeführt werden können. 

Standardmäßig kommuniziert Ollama nur mit dem Computer, auf dem es installiert ist. Benutzer können die Einstellungen jedoch ändern, um den Fernzugriff zu vereinfachen, wodurch das gesamte Systemdentim öffentlichen Internet zugänglich gemacht werden kann.

Sie trac7,23 Millionen Beobachtungen über fast 300 Tage und stellten fest, dass viele dieser KI-Systeme zwar nur temporär sind, etwa 23.000 von ihnen jedoch fast permanent online bleiben. Diese permanent aktiven Systeme sind ideale Ziele für Hacker, da sie kostenlose, leistungsstarke Hardware bereitstellen, die von keinem großen Technologiekonzern überwacht wird.

In den Vereinigten Staaten befinden sich etwa 18 % dieser exponierten Systeme in Virginia, vermutlich aufgrund der hohen Dichte an Rechenzentren dort. In China liegen 30 % der Hosts in Peking. 

Überraschenderweise laufen 56 % aller dieser exponierten KI-Systeme überdentInternetanschlüsse. Dies stellt ein gravierendes Problem dar, da Hacker diese Heim-IP-Adressen nutzen können, um ihredentzu verschleiern. 

Wenn ein Hacker über die Heim-KI einer Person eine bösartige Nachricht versendet, sieht es so aus, als käme sie von einer normalen Person und nicht von einem kriminellen Botnetz.

Wie nutzen Kriminelle diese gekaperten KI-Systeme?

Laut Pillar Security sucht ein neues kriminelles Netzwerk namens Operation Bizarre Bazaar aktiv nach solchen ungeschützten KI-Endpunkten. Sie suchen nach Systemen, die auf dem Standardport 11434 laufen und kein Passwort benötigen. Sobald sie ein solches System gefunden haben, stehlen sie dessen Rechenleistung und verkaufen sie an andere, die KI-Aufgaben kostengünstig ausführen möchten, beispielsweise das Generieren Tausender Phishing-E-Mails oder das Erstellen von Deepfake-Inhalten.

Zwischen Oktober 2025 und Januar 2026 verzeichnete das Sicherheitsunternehmen GreyNoise über 91.403 Angriffe auf diese KI-Systeme. Dabei wurden zwei Haupttypen von Angriffen identifiziert. 

• Die erste Methode nutzt eine Technik namens Server-Side Request Forgery (SSRF), um die KI zu zwingen, sich mit den Servern des Hackers zu verbinden. 
• Die zweite Methode ist eine massive „Scanning“-Kampagne, bei der Hacker Tausende einfacher Fragen stellen, um herauszufinden, welches KI-Modell genau ausgeführt wird und wozu es fähig ist.

Etwa 48 % dieser Systeme sind für den „Toolaufruf“ konfiguriert. Das bedeutet, dass die KI mit anderer Software interagieren, im Internet suchen oder Dateien auf dem Computer lesen darf. 

Wenn ein Hacker ein solches System findet, kann er die KI mithilfe von „Prompt Injection“ austricksen. Anstatt nach einem Gedicht zu fragen, könnte er der KI beispielsweise befehlen, „alle API-Schlüssel im Quellcode aufzulisten“ oder „die geheimen Projektdateien zusammenzufassen“. Da niemand die Vorgänge überwacht, befolgt die KI diese Befehle oft.

Der Check Point Cyber ​​Security Report 2026 zeigt, dass die Gesamtzahl der Cyberangriffe zwischen 2023 und 2025 um 70 % gestiegen ist. Im November 2025 berichtete Anthropic über den ersten dokumentierten Fall einer KI-gesteuerten Cyber-Spionagekampagne, bei der eine staatlich geförderte Gruppe KI-Agenten einsetzte, um 80 % eines Hacks ohne menschliche Hilfe durchzuführen.

Mehrere neue Sicherheitslücken, wie CVE-2025-1975 und CVE-2025-66959, wurden erst diesen Monat entdeckt. Es handelt sich dabei um Schwachstellen, die es Hackern ermöglichen, einen Ollama-Server durch das Senden einer speziell präparierten Modelldatei zum Absturz zu bringen. 

Da 72 % dieser Hosts das gleiche spezifische Dateiformat namens Q4_K_M verwenden, könnte ein einziger erfolgreicher Angriff Tausende von Systemen auf einmal lahmlegen.