Open WebUI: Kritische Sicherheitslücke in beliebter KI-Schnittstelle wird aktiv ausgenutzt

Eine schwere Sicherheitslücke in der beliebten, selbst gehosteten KI-Oberfläche Open WebUI wird derzeit aktiv von Angreifern ausgenutzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere Cybersicherheitsbehörden warnen vor der Schwachstelle mit der Kennung CVE-2025-64496. Sie ermöglicht die vollständige Übernahme betroffener Systeme – ein deutliches Warnsignal für die Risiken unkontrollierter KI-Nutzung in Unternehmen.

Die Lücke nutzt eine Funktion, die eigentlich für Flexibilität gedacht war: die Verbindung zu verschiedenen KI-Sprachmodellen. Angreifer ködern Nutzer mit vermeintlich kostenlosen Alternativen zu Modellen wie GPT-4. Wird eine solche bösartige Quelle in Open WebUI eingebunden, erlaubt die Schwachstelle die Ausführung von Fremdcode, Datendiebstahl und die vollständige Systemübernahme. Ein Patch liegt vor, und Administratoren müssen sofort handeln.

Der Angriff auf CVE-2025-64496 kombiniert geschickt Social Engineering mit einem technischen Exploit. Im Kern steht die „Direct Connections“-Funktion von Open WebUI. Diese ist aus Sicherheitsgründen standardmäßig deaktiviert, erlaubt aber die Verbindung zu externen, OpenAI-kompatiblen Servern.

Cyberkriminelle adaptieren klassische Angriffsmuster für das KI-Zeitalter — viele Unternehmen sind darauf nicht vorbereitet. Ein kostenloses E‑Book erklärt aktuelle Bedrohungen wie manipulierte Model‑Server und SSE‑Exploits, zeigt praktische Schutzmaßnahmen (Monitoring, Patch‑Management, Incident‑Response) und gibt Checklisten für IT‑Teams. Ideal für Geschäftsführer und Sicherheitsverantwortliche, die KI‑Risiken sofort senken wollen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Angreifer richten solche Server ein und bewerben sie in Foren als günstigen Zugang zu leistungsstarker KI. Aktiviert ein ahnungsloser Nutzer die Funktion und fügt die schädliche URL hinzu, injiziert der Server über einen Mechanismus namens Server-Sent Events (SSE) JavaScript-Code direkt in den Browser. Dieser Code kann Authentifizierungstoken stehlen und zur vollständigen Account-Übernahme führen. Der Angriff ist tückisch, weil die Verbindung vom internen Netzwerk ausgeht und so viele Firewalls umgeht.

Von der Browser-Session zur System-Übernahme

Die Kompromittierung des Browsers ist nur der erste Schritt. Verfügt das gekaperte Nutzerkonto über Administratorrechte, können Angreifer ihre Zugriffe massiv ausweiten. Die Schwachstelle lässt sich mit der Functions API der Plattform kombinieren, um von der initialen Zugangsmöglichkeit zur Ausführung von Fremdcode auf dem Backend-Server überzugehen.

Das gibt Angreifern tiefgreifende Kontrolle. Sie könnten sensible Unternehmensdaten, interne Netzwerke sowie die zugrundeliegenden KI-Modelle und Datenspeicher ausspähen. Betroffen sind alle Open WebUI-Versionen bis einschließlich 0.6.34. Der Sicherheitsforscher Vitaly Simonovich von Cato CTRL entdeckte die Lücke Ende 2025. Sie erhielt einen hohen Schweregrad von 8.0 von 10 möglichen Punkten.

Ein Symptom des „Shadow AI“-Problems

Der Vorfall ist symptomatisch für ein größeres, systemisches Problem: die unkontrollierte Verbreitung von KI-Tools außerhalb offizieller IT-Governance. Diese „Shadow AI“ schafft erhebliche blinde Flecken, da Unternehmen oft nicht wissen, welche Modelle genutzt werden und welche Daten durch sie fließen.

Cybersicherheitsexperten beobachten, dass Angreifer klassische Methoden von Supply-Chain-Angriffen für das KI-Zeitalter adaptieren. Statt einer Software-Bibliothek kompromittieren sie nun die KI-Modelle und Endpunkte, denen Nutzer vertuen. Die Verantwortung liegt bei IT-Abteilungen: Der Reiz kostenloser KI-Ressourcen darf nicht die Unternehmenssicherheit gefährden.

So müssen Unternehmen jetzt reagieren

Die Entwickler von Open WebUI haben die Lücke in Version 0.6.35 geschlossen. Alle Nutzer müssen umgehend auf diese oder eine höhere Version aktualisieren. Sicherheitsteams sollten zudem sicherstellen, dass die „Direct Connections“-Funktion deaktiviert bleibt, es sei denn, es gibt einen klaren Geschäftsbedarf und einen rigorosen Prüfprozess für externe Model-Server.

Die Überwachung ungewöhnlicher ausgehender Verbindungen von KI-Schnittstellen wird empfohlen. Der Vorfall ist eine kritische Lektion für die Branche. Die Sicherheit der gesamten KI-Lieferkette – von den Basismodellen über Web-Oberflächen bis zu Drittanbieter-Tools – muss Priorität werden. Proaktive Maßnahmen wie „Red Teaming“ für KI-Systeme werden zum essenziellen Teil des Risikomanagements.

PS: Nutzen Sie selbst gehostete KI‑Oberflächen oder externe Model‑Server? Der kostenlose Leitfaden zeigt konkrete Maßnahmen zur Absicherung der KI‑Lieferkette — von Monitoring über Zugriffsbegrenzung bis zu schnellen Notfallmaßnahmen nach einem Kompromiss. Praxisnah, ohne großen Budgetaufwand. Jetzt Cyber‑Security‑Guide für KI‑Systeme sichern