GTIG: Erster AI-gebauter 2FA-Zero-Day in freier Wildbahn

Google liefert die Schlagzeile, vor der die ganze Branche Angst hatte: Eine Cybercrime-Gruppe hat erstmals einen Zero-Day-Exploit mit AI-Unterstützung gebaut — und versucht, ihn in der Breite zu zünden. Die Google Threat Intelligence Group (GTIG) hat am 11. Mai 2026 alle Details öffentlich gemacht.

SCHOCK: Python-Skript bricht 2FA — geschrieben von einem LLM

Der Exploit ist ein Python-Skript, das eine Logik-Lücke in einem populären Open-Source-Webadmin-Tool ausnutzt. Wer gültige Login-Daten hat, konnte damit die Zwei-Faktor-Authentifizierung umgehen — der Heilige Gral jedes Phishers. Google nennt weder das Tool noch die Gruppe namentlich, hat aber mit dem Hersteller zusammengearbeitet, um die Massenausnutzung zu stoppen.

WORAN GOOGLE den AI-Anteil sieht

GTIG-Chef-Analyst John Hultquist sagt: „Auf jeden Zero-Day, den wir auf AI zurückführen können, kommen wahrscheinlich noch viele weitere da draußen.“ Die Indizien für die LLM-Hand sind eindeutig:

Der Code enthält überdurchschnittlich viele Docstrings — inklusive einem halluzinierten CVSS-Score.
Die Struktur folgt einem textbook-Pythonic-Format, das nach LLM-Trainingsdaten riecht.
Bestimmte Variable-Patterns und Kommentar-Stile sind typisch für AI-Output.

GEFAHR! Vulnerability → Exploit in Tagen statt Wochen

Der entscheidende Punkt ist nicht, dass AI 2FA „besiegt“ hätte. Der Punkt ist, dass AI die Zeit komprimiert zwischen „Lücke existiert“ und „lauffähiger Exploit ist in der Wildbahn“. Was früher Wochen oder Monate dauerte, geht jetzt in Tagen — und für Defender bedeutet das: Patches und Mitigations müssen schneller raus, sonst kommt der Angreifer zuerst.

SO SCHÜTZT du dich SOFORT

Für Selbst-Hoster und Admins gilt jetzt der dreifache Reflex:

Webadmin-Tools tagesaktuell halten — egal ob phpMyAdmin, Adminer, Webmin, CockpitProject oder kleinere Tools. AI scannt erbarmungslos alles.
MFA-Logs ernst nehmen — ungewöhnliche Bypass-Versuche, fehlgeschlagene OTP-Eingaben in Serie, neue API-Tokens aus dem Nichts. Wenn dein Log das nicht hergibt, wird’s Zeit für ein besseres Monitoring.
Admin-Konsolen niemals direkt ins Netz — IP-Allowlist, VPN-Pflicht, Tailscale-Tunnel. Die billigste Verteidigung gegen jeden Webadmin-Exploit ist, dass der Angreifer nicht mal das Login-Formular sieht.

FAZIT: 2026 wird das Jahr der AI-Exploits

GTIG hat einen Hauptpreis-würdigen Catch gemacht, aber das war erst der Anfang. Wenn du eine Self-Hosting-Stack betreibst, sind die Tools auf deinem Server jetzt potenzielle AI-Trainingsfutter — und morgen Exploit-Ziele. Updates eskalieren von „nice to have“ auf „kritische Pflicht“.

Häufige Fragen

Welches Tool ist betroffen?

Google hat den Namen bewusst zurückgehalten, weil der Hersteller noch patcht und eine breitere Bekanntgabe weitere Angreifer auf den Plan rufen würde. Bekannt ist nur, dass es sich um ein „weit verbreitetes Open-Source-Webadmin-Tool“ handelt. Wer auf Nummer sicher gehen will, sollte seine kompletten Admin-Konsolen auf den aktuellsten Stand bringen und das Threat-Feed der GTIG abonnieren.

Wie merke ich, ob mein System verwundbar ist?

Konkrete Indikatoren sind ungewöhnlich erfolgreiche Logins ohne anschließenden OTP-Schritt, neue API-Schlüssel oder Personal Access Tokens, die nicht von dir stammen, und Sessions mit Useragents, die zu generischen Python-Bibliotheken passen. Aktiviere mindestens für die Admin-Konten Notifikationen bei jedem Login und ziehe die Logs deines Reverse-Proxys mit in die Analyse hinein.

Welches LLM hat den Exploit angeblich geschrieben?

Google nennt kein Modell namentlich. Die typischen Verdächtigen — Claude, GPT, Gemini, lokale Modelle wie Llama oder Qwen — haben alle Schutzschichten, die solche Aufgaben blockieren sollen. In der Praxis lassen sich diese Filter mit genug Jailbreak-Effort und Kontext-Tricks oft umgehen, gerade bei kleineren Open-Weights-Modellen. Welche LLM-Familie hier konkret im Spiel war, hat GTIG nicht offen gelegt.

Was empfiehlt Google ab sofort?

GTIG empfiehlt eine schnellere Patch-Kadenz für interne Tools, härtere Netzwerk-Segmentierung für Admin-Interfaces, Phishing-resistente Authentifizierung wie WebAuthn oder Passkeys statt OTP, sowie kontinuierliches Monitoring auf Indicators of Compromise. Die LLM-typischen Code-Patterns dürften in den nächsten Monaten in die regulären EDR-Signaturen wandern.

Quellen: The Hacker News, Bloomberg, SecurityWeek, The Register.

KI-ALARM! Hacker bauen JETZT erstmals einen ECHTEN 2FA-Bypass per AI — Google stoppt Mass-Exploitation in letzter Sekunde