NVIDIA, Salesforce und Apple: Kritische Lücken in KI-Bibliotheken entdeckt

Forscher warnen vor neuen Angriffen auf die KI-Supply-Chain durch manipulierte Modelldateien.

In einer alarmierenden Entwicklung für die KI-Branche haben Cybersicherheitsforscher schwerwiegende Sicherheitslücken in beliebten Open-Source-Python-Bibliotheken von NVIDIA, Salesforce und Apple aufgedeckt. Die Schwachstellen ermöglichen es Angreifern, beliebigen Code auf den Systemen von Entwicklern auszuführen – einfach indem diese eine präparierte KI-Modelldatei laden. Dies markiert eine gefährliche neue Angriffsfläche für die boomende KI-Infrastruktur.

Das perfide Prinzip: Code in der Metadaten-Falle

Der Angriffsvektor ist besonders tückisch, weil er das Vertrauen der Entwickler in standardisierte Dateiformate und etablierte Bibliotheken ausnutzt. Im Kern geht es nicht um die eigentlichen Modellgewichte, sondern um die begleitenden Metadaten, die zur Konfiguration verwendet werden. Ein Angreifer kann schädlichen Code in diesen Metadaten verstecken, der dann automatisch ausgeführt wird, sobald eine anfällige Bibliothek die kompromittierte Datei lädt.

„Das System denkt, es lädt nur Konfigurationsparameter, dabei führt es fremden Code aus“, erklären Experten den Mechanismus. Die Lücken liegen in der Art und Weise, wie die Bibliotheken ein gemeinsames Konfigurationswerkzeug namens Hydra nutzen, um Klassen basierend auf den Metadaten zu instanziieren. Anfällige Versionen führen dabei Daten aus den Metadaten ohne ausreichende Validierung als Code aus.

Die geschilderten Supply‑Chain-Angriffe zeigen, wie schnell Angreifer über vergiftete Modelldateien kritische Entwickler‑Systeme kompromittieren. Unser kostenloser E‑Book‑Report „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, neue KI‑Regeln und konkrete Schutzmaßnahmen zusammen. Sie erhalten prüfbare Sofortmaßnahmen für Metadaten‑Scans, Sandbox‑Tests und Härtungsstrategien, die sich direkt in CI/CD‑Pipelines integrieren lassen. Ideal für Entwickler, IT‑Sicherheitsverantwortliche und CTOs, die ihre KI‑Infrastruktur schützen wollen. Kostenlosen Cyber‑Security‑Report jetzt herunterladen

Ein Angreifer könnte so ein scheinbar legitimes KI‑Modell – etwa mit der Behauptung einer Leistungssteigerung – auf einer öffentlichen Plattform wie Hugging Face hochladen. Lädt ein Entwickler oder Unternehmen dieses „vergiftete“ Modell herunter und öffnet es, wird der versteckte Code ausgeführt. Die Folgen: Backdoors, Datendiebstahl oder die Kompromittierung des gesamten Netzwerks.

Betroffene Schlüsselbibliotheken und schnelle Patches

Konkret betroffen sind drei bedeutende Bibliotheken:
* NVIDIAs NeMo: Ein PyTorch-basiertes Framework für den Bau komplexer KI-Modelle.
* Salesforces Uni2TS: Eine Bibliothek für Zeitreihenanalyse.
* Apple/EPFLs FlexTok: Ein Projekt zur Bildverarbeitung in KI-Modellen.

Die Forscher von Palo Alto Networks entdeckten die Lücken bereits im April 2025 und starteten einen koordinierten Offenlegungsprozess mit den betroffenen Unternehmen. Alle reagierten schnell mit Patches:
* NVIDIA behebt die als hoch kritisch eingestufte Lücke (CVE-2025-23304) in NeMo Version 2.3.2.
* Salesforce veröffentlichte einen Fix für die kritische Schwachstelle (CVE-2026-22584) im Juli 2025.
* Die FlexTok-Entwickler aktualisierten ihren Code bereits im Juni 2025.

Bisher gibt es keine Hinweise darauf, dass diese spezifischen Lücken in der Wildnis ausgenutzt wurden. Nutzer der Bibliotheken sollten jedoch umgehend die aktualisierten Versionen installieren.

KI-Supply-Chain unter Beschuss: Ein besorgniserregender Trend

Die Enthüllungen sind kein Einzelfall, sondern Teil eines besorgniserregenden Musters. Sie unterstreichen die wachsenden Sicherheitsrisiken in der KI-Software-Lieferkette. Je stärker KI in kritische Geschäftsprozesse integriert wird, desto attraktiver werden ihre Grundbausteine für Angreifer.

Die offene Natur der KI-Entwicklung, die Innovation und Zusammenarbeit fördert, hat auch eine Schattenseite. Python als Fundament des modernen KI-Stacks steht im Fokus. Erst kürzlich wurden ähnlich kritische Lücken im SGLang-Inference-Framework und in der Open-Source-Plattform Langflow bekannt, die ebenfalls Remote-Code-Ausführung ermöglichten.

Die Botschaft der Sicherheitsexperten ist klar: Angreifer konzentrieren sich zunehmend auf Schwachstellen in KI-Plattformen und Kerninfrastruktur, um mit minimalem Aufwand maximale Zugriffe zu erlangen.

Weckruf für die Community: Vom blinden Vertrauen zur verifizierten Sicherheit

Was bedeutet das für die Zukunft? Die Patches sind nur der erste Schritt. Die Branche steht vor einer grundlegenderen Herausforderung: einem Paradigmenwechsel in den Sicherheitspraktiken.

Organisationen müssen über die Herkunft eines Modells hinausdenken und rigorose Scans und Validierungen für alle Komponenten implementieren – inklusive Metadaten und Konfigurationsdateien. Entwickler sollten jedes heruntergeladene Modell, selbst von renommierten Plattformen, zunächst als potenziell nicht vertrauenswürdig behandeln, bis es verifiziert ist. Die Nutzung abgeschotteter Sandbox-Umgebungen zum Testen neuer Modelle kann helfen, potenzielle Bedrohungen einzudämmen.

Die Industrie wird voraussichtlich einen stärkeren Fokus auf Sicherheitstools legen, die speziell für die Analyse der komplexen Struktur von KI-Modellen und ihrer Abhängigkeiten designed sind. Die Sicherung der Software-Lieferkette wird keine Option mehr sein, sondern eine absolute Notwendigkeit, um sich gegen raffinierte Bedrohungen zu wappnen, die genau die Werkzeuge angreifen, die die Innovation vorantreiben.

PS: Wer KI‑Modelle entwickelt oder einsetzt, steht vor neuen rechtlichen Pflichten. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt Kennzeichnungspflichten, Risikoklassifizierung, Dokumentationsanforderungen und Übergangsfristen. Er enthält praxisnahe Schritte, wie Sie Compliance in Modell‑Pipelines verankern und Bußgelder vermeiden. Besonders nützlich für Unternehmen, die Modelle veröffentlichen oder in produktiven Systemen betreiben. Mit Checklisten für Nachweise und Musterprozesse zur Risikobewertung. KI‑Verordnung‑Leitfaden gratis herunterladen