Der »TrendAI State of AI Security Report« von Trend Micro zeigt eine deutliche Verschärfung der Sicherheitslage rund um KI. Die Zahl der Schwachstellen wächst schneller als im restlichen Softwaremarkt. Gleichzeitig entstehen durch neue KI-Architekturen zusätzliche Risiken, die Unternehmen stärker in den Fokus von Angreifern rücken.

Die Sicherheitslage rund um Künstliche Intelligenz verschärft sich spürbar. Innerhalb weniger Jahre hat sich eine eigene Klasse von Schwachstellen etabliert, die gezielt KI-Systeme betreffen. Seit 2018 wurden über 6.000 entsprechende Sicherheitslücken identifiziert. Zu diesem Ergebnis kommt der »TrendAI State of AI Security Report« von TrendAI, ein Geschäftsbereich von Trend Micro.

Allein im Jahr 2025 kamen mehr als 2.100 neue Fälle hinzu. Das entspricht einem Anstieg von rund 35 Prozent gegenüber dem Vorjahr. Im gleichen Zeitraum wuchs die Gesamtzahl aller bekannten Software-Schwachstellen deutlich langsamer.

Der Anteil von KI-bezogenen Lücken an allen erfassten Schwachstellen liegt inzwischen bei über vier Prozent und erreicht damit einen neuen Höchststand. Das deutet darauf hin, dass KI-Systeme zunehmend als eigenständige Angriffsfläche wahrgenommen werden.

Fast jede zweite Schwachstelle ist kritisch

Neben der reinen Anzahl steigt auch die Brisanz der entdeckten Lücken. Knapp die Hälfte der bewerteten Schwachstellen erreicht hohe oder kritische Schweregrade.

Besonders betroffen sind Bereiche, die aktuell stark wachsen und sich technologisch noch in einer frühen Phase befinden. Dazu zählen insbesondere KI-Lieferketten, Large-Language-Model-Umgebungen sowie agentische KI-Systeme.

Hier zeigt sich ein typisches Muster: Die Innovationsgeschwindigkeit ist hoch, Sicherheitskonzepte hinken jedoch hinterher. Reifere Segmente wie klassische Machine-Learning-Frameworks oder KI-Hardware weisen hingegen eine geringere Dichte kritischer Schwachstellen auf.

Angriffe betreffen zunehmend den gesamten KI-Stack

Ein zusätzlicher Trend verschärft die Lage: Angreifer konzentrieren sich nicht mehr auf einzelne Komponenten, sondern nutzen Schwachstellen entlang der gesamten KI-Wertschöpfungskette aus.

Damit geraten Datenquellen, Trainingsprozesse, Modelle, APIs und angebundene Dienste gleichermaßen ins Visier. Die Komplexität moderner KI-Architekturen führt dazu, dass sich Risiken gegenseitig verstärken können.

Für die Praxis bedeutet das: Sicherheitsprobleme entstehen zunehmend durch das Zusammenspiel mehrerer Komponenten – und sind entsprechend schwerer zu erkennen und zu beheben.

Fehlende Transparenz erhöht das Supply-Chain-Risiko

Ein weiterer kritischer Punkt ist die oft unzureichende Transparenz in KI-Umgebungen. Unternehmen verlieren schnell den Überblick darüber, welche Modelle, Datenquellen und externen Services tatsächlich im Einsatz sind.

Diese Intransparenz erschwert sowohl die Absicherung als auch die Reaktion auf Vorfälle. Gleichzeitig steigt die Abhängigkeit von Drittkomponenten, etwa bei vortrainierten Modellen oder offenen Frameworks.

Dadurch verlagert sich ein Teil des Risikos in die KI-Lieferkette. Schwachstellen können indirekt in Systeme gelangen, ohne dass sie unmittelbar sichtbar sind.

Neue Angriffsflächen durch MCP-Server und autonome KI

Zwei Entwicklungen stechen aktuell besonders hervor.

Zum einen tauchen erstmals in größerem Umfang Schwachstellen in sogenannten MCP-Servern auf. Diese Schnittstellen ermöglichen es KI-Agenten, eigenständig auf externe Tools und Dienste zuzugreifen. Innerhalb eines Jahres wurden hier nahezu aus dem Stand heraus knapp 100 neue Schwachstellen registriert.

Ein Großteil davon betrifft Injection-Angriffe, bei denen manipulierte Eingaben direkt in KI-Prozesse eingeschleust werden können. Für Angreifer eröffnet das neue Möglichkeiten, da diese Systeme oft tief in automatisierte Abläufe integriert sind.

Zum anderen wächst die Zahl der Schwachstellen in agentischen KI-Systemen besonders schnell. Diese autonomen Systeme treffen eigenständig Entscheidungen und führen Aktionen aus. Die Zahl der gemeldeten Lücken hat sich innerhalb eines Jahres mehr als verdreifacht.

Beide Entwicklungen zeigen, dass sich mit neuen KI-Architekturen auch völlig neue Angriffspunkte etablieren.

Weitere Verschärfung der Lage erwartet

Die aktuelle Entwicklung dürfte sich weiter fortsetzen. Für das laufende Jahr wird ein erneuter deutlicher Anstieg erwartet. Besonders dynamisch entwickeln sich dabei erneut MCP-basierte Architekturen und agentische KI-Systeme.

Für IT-Verantwortliche bedeutet das: KI darf nicht mehr isoliert betrachtet werden. Sicherheitsstrategien müssen die gesamte KI-Wertschöpfungskette einbeziehen – von Datenpipelines über Modelle bis hin zu autonomen Agenten und deren Schnittstellen.

Die wachsende Diskrepanz zwischen schneller Einführung von KI und unzureichender Absicherung entwickelt sich zunehmend zu einem strukturellen Risiko.

»KI ist keine neue Angriffsfläche mehr, sondern hat sich mittlerweile etabliert«, erklärt Richard Werner, Security Advisor bei TrendAI. »Unsere Untersuchung zeigt, dass die Schwachstellen in KI-Systemen schneller zunehmen als im gesamten Software-Ökosystem und dass die größten Risiken in gemeinsam genutzten Komponenten wie Modell-Frameworks und Lieferketten liegen. Wenn Unternehmen KI produktiv einsetzen, müssen sie Cybersicherheit als Grundlage jedes Projekts berücksichtigen. KI erfordert dieselbe Transparenz und dasselbe Risikomanagement wie jedes andere kritische Geschäftssystem.«