Dass künstliche Intelligenz ein mächtiges Werkzeug ist, dürfte niemanden mehr überraschen. Aber was passiert, wenn diese Macht bewusst für kriminelle Zwecke eingesetzt wird? Willkommen bei WormGPT – einem Sprachmodell, das nichts Gutes im Schilde führt.
Was ist WormGPT?
WormGPT ist nicht einfach ein weiteres KI-Tool zur Textgenerierung. Es ist eine Art böser Zwilling von ChatGPT – ein Sprachmodell, das gezielt für Cyberkriminalität entwickelt wurde. Beworben in Untergrundforen als “zensurfreies GPT”, soll WormGPT helfen, Phishing-Mails, Social-Engineering-Angriffe und sogar Schadcode zu erzeugen. Ohne ethische Schranken. Ohne Sicherheitsnetze.
Ursprünglich basiert WormGPT auf dem Open-Source-Modell GPT-J, wurde jedoch mit zusätzlichen, teilweise illegalen Trainingsdaten verfeinert. Das Ziel: möglichst realistisch klingende E-Mails, Skripte und Anleitungen, die in betrügerischer Absicht eingesetzt werden können.
Warum ist das gefährlich?
Cyberkriminelle mussten früher entweder gute Sprachkenntnisse haben oder sich teure Hilfe einkaufen. Heute reicht ein KI-Modell wie WormGPT. Laut dem Sicherheitsexperten Daniel Kelley können selbst absolute Anfänger damit hochprofessionelle E-Mails schreiben – grammatikalisch korrekt, strategisch geschickt und schwer von echten Nachrichten zu unterscheiden.
Das perfide dabei: Viele klassische E-Mail-Filter springen nicht mehr an. Die Texte enthalten keine typischen Fehler mehr, die früher für Spam sprachen. Und selbst Hinweise wie „dringend“, „Vertraulich“ oder „Überweisung“ wirken im Kontext plötzlich harmlos.
Neue Varianten: Noch perfider, noch mächtiger
WormGPT ist nicht allein geblieben. Inzwischen kursieren zwei neuere Versionen:
- keanu-WormGPT nutzt Grok von Elon Musks xAI – über eine manipulierte API-Anbindung.
- xzin0vich-WormGPT basiert auf Mixtral von Mistral AI – ebenfalls mithilfe manipulierter Prompts.
Beide Varianten umgehen die eingebauten Schutzmechanismen ihrer Ursprungsmodelle und liefern auf Anfrage Phishing-Mails, Exploits oder obskuren Code. Vertrieben werden sie über Telegram – einfach, schnell, anonym.
Schutz durch Aufklärung und Technik
Auch wenn die technischen Möglichkeiten der Angreifer wachsen – wehrlos ist man nicht. Kelley empfiehlt:
- BEC-spezifische Schulungen für Mitarbeitende: Wer die Tricks kennt, fällt seltener darauf rein.
- Verifizierungssysteme für E-Mails: Hinweise auf externe Absender oder auffällige Schlagwörter können Alarm auslösen.
- Zero-Trust-Ansätze: Lieber einmal zu viel nachfragen als zu wenig.
WormGPT ist ein mahnendes Beispiel dafür, wie mächtig und gleichzeitig missbrauchbar generative KI sein kann. Es zeigt, dass ethische Leitplanken nicht selbstverständlich sind – und wie wichtig es ist, diese bewusst zu integrieren.
KI ist kein per se gutes oder schlechtes Werkzeug. Aber wie bei einem Skalpell gilt: In den richtigen Händen kann sie heilen – in den falschen leider auch schaden.
Eure Rookies,
Niklas & Jan