Ein Sicherheitsforscher warnt vor Attacken auf das Low-Coding-Tool Flowise. Dabei gelangt Schadcode auf Systeme und kompromittiert sie. Admins sollten das bereitgestellte Sicherheitsupdate umgehend installieren.

Die Gefahr

Mit Flowise erstellt man in einer Drag-&-Drop-Oberfläche KI-Agenten. Im Kontext einer Verbindung zu einem MCP-Server können Angreifer Schadcode einschieben, der dann ungeprüft ausgeführt wird. Die Lücke (CVE-2025-59528) gilt als „kritisch“ und ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft.

Vor den laufenden Attacken warnt ein Sicherheitsforscher von VulnCheck auf Linkedin. Ihm zufolge konnten sie bislang nur von einer Starlink-IP-Adresse Attacken dokumentieren. Unklar ist derzeit auch, in welchem Umfang die Attacken ablaufen. Er gibt an, dass ihren Scans zufolge zwischen 12.000 und 15.000 Flowise-Instanzen öffentlich über das Internet erreichbar sind. Wie viele davon konkret verwundbar sind, führt der Forscher zurzeit nicht aus.

Er erläutert, dass noch zwei weitere „kritische“ Schwachstellen (CVE-2025-26319, CVE-2025-8943) ausgenutzt werden.

Die Lösung

Um Systeme vor diesen Attacken zu schützen, müssen Admins sicherstellen, dass mindestens Flowise 3.0.6 installiert ist. Aktuell ist die Ausgabe 3.1.1.

(des)

Am 18. Februar 1922 notierte Franz Kafka in sein Tagebuch eine Miniatur, die wie so vieles aus seiner Feder auf den ersten Blick komisch wirkt und auf den zweiten unheimlich. Ein Theaterdirektor, der alles von Grund auf selbst schaffen muss – sogar die Schauspieler muss er erst zeugen. Ein Besucher wird nicht vorgelassen, der Direktor sei mit wichtigen Theaterarbeiten beschäftigt. Und was tut er? Er wechselt die Windeln eines künftigen Schauspielers.

Man lacht kurz. Dann hört man auf.

Die totale Kontrolle über den Produktionsprozess kehrt sich in die Selbstauflösung des Produzenten um. Wer alles selbst erschaffen will – Stück, Bühne, Ensemble -, landet zwangsläufig bei der Windel. Wie man aus der wunderbaren Kafka-Biographie von Reiner Stach lernen kann: Ambition und Absurdität sind bei Kafka keine Gegensätze.

Als Schriftsteller war Kafka jemand, der Nacht für Nacht sein ganzes Ensemble allein erschaffen musste, neben dem Bürojob in der Arbeiter-Unfall-Versicherungsanstalt. Er wusste, dass der kreative Absolutismus seinen Preis hat: Man ist bis zum Umfallen beschäftigt. Mit dem, was gerade nötig ist, damit die Sache irgendwann und irgendwie weitergeht. Und dann fällt einem das nächste Problem auf.

Der Gründer als vollständiges Ensemble

Ich kenne diesen Tagebucheintrag aus Nicolas Mahlers Band „Kafka für Boshaft“. Seit Monaten lese ich ihn immer wieder. Konkret: Seit Sam Altman und andere Vordenker der Branche die Prophezeiung ausgaben, dass Einzelpersonen mit Hilfe von KI-Agenten bald Unternehmen mit Milliardenbewertung aufbauen würden. Das Stichwort lautet Ein-Personen-Unicorns. Übersetzt: Der Gründer als vollständiges Ensemble, als Entwickler, Designer, Vertriebler, Buchhalter und Marketingstratege zugleich, verstärkt durch eine Armee von Sprachmodellen, die gehorsam Code generieren und Kunden kontaktieren.

Diese Prophezeiung ist verführerisch, weil sie einer uralten, prometheischen Sehnsucht nach totaler Souveränität und Kontrolle schmeichelt. Kein Team, das koordiniert werden will. Keine menschlichen Eigenheiten, die berücksichtigt werden müssen. Keine lästigen Kollegen, die anderer Meinung sind. Nur man selbst, die Bühne und die Modelle. Das klingt nach Befreiung. Es riecht nach Windel. Kafka, so ist mir beim Lesen aufgefallen, hat sein Stück hundert Jahre zu früh aufgeschrieben.

Denn Kafkas Direktor ist ja nicht deshalb lächerlich, weil sein Vorhaben scheitert – er scheitert im Tagebucheintrag ja gar nicht. Er ist lächerlich, weil die innere Logik seines Ehrgeizes ihn unausweichlich dorthin geführt hat: zur Windel. Wer lückenlose Kontrolle anstrebt, muss die Schauspieler selbst zeugen; wer sie selbst zeugt, muss auch für sie sorgen. Die Allmacht endet im Pflegeheim der eigenen Schöpfung.

Was der Mensch (ver)lernt

Das weist auf einen blinden Fleck hin, der in der aktuellen Euphorie um Solo-Coder und ihre KI-Agenten in den sozialen Medien oft übersehen wird. Nicht die Frage, ob diese Werkzeuge produktiv sind – das sind sie, oft beeindruckend -, sondern die Frage, was der Mensch dahinter dabei lernt oder verlernt. Sprachmodelle produzieren auf Zuruf: Code, Marktanalyse, Pitch-Deck. Aber sie wissen im strengen Sinne gar nichts. Der Direktor hat ein glänzendes Ensemble gezeugt; ob es spielen kann, erfährt er erst, wenn der Vorhang aufgeht.

Nehmen wir den KI-Bühnenbildner: Er kann Ihnen den Unterschied zwischen Preußischblau und Kobalt in drei Absätzen erklären. Aber er scheitert daran, ein Objekt auf der Bühne zu lokalisieren, das nicht dort ist, wo er es erwartet. Die jüngste Forschung zu multimodalen Sprachmodellen zeigt genau das: Selbst die leistungsfähigsten Systeme erzielen beim visuellen Grounding – dem schlichten Auffinden eines Gegenstandes im Bild – erschreckend niedrige Trefferquoten; bei Aufgaben, die das Erkennen von Abwesenheit erfordern, versagen die meisten vollständig. Was Kognitionswissenschaftler das Binding-Problem nennen, ist in der Praxis vernichtend: Das Modell beschreibt, was es zu sehen erwartet. Es sieht nicht. In anderen Worten: Der KI-Bühnenbildner malt aus dem Gedächtnis, nicht aus der wirklichen Anschauung.

Und der Hauptdarsteller? Er kommt manchmal, wenn man ihm richtig zuflüstert („promptet“), auf die richtige Zeile – aber über Wege, die er sich nicht merken kann, weil er sie nicht gegangen ist. Apples Forschungsteam hat das in einer wichtigen Studie nüchtern „The Illusion of Thinking“ genannt: Sogenannte Reasoning-Modelle, die durch verlängerte Denkprozesse besonders zuverlässig wirken sollen, erleiden ab einem bestimmten Komplexitätsniveau einen Genauigkeitskollaps. Bei einfachen Aufgaben übertreffen sie die älteren Modelle nicht einmal. Was bleibt, ist ein Ensemble, das gelegentlich brillant klingt, aber strukturell unzuverlässig ist. Kein Probengedächtnis, keine Replizierbarkeit. Das Paradox setzt sich beim Publikum fort: Studierende, die regelmäßig KI-Assistenten zum Schreiben und Denken nutzen, zeigen messbar schwächere Gedächtnisleistung, geringere kognitive Eigenständigkeit und – besonders ernüchternd – auch dann noch schlechtere Ergebnisse, wenn sie wieder ohne KI arbeiten. MIT-Forscher sprechen von „kognitiver Verschuldung“.

Die Windeln stapeln sich im Fundus.

Wohin eine solche Aufführung führt? Das sieht man am Bild des Hobby-Coders, der zwar engagiert mit Claude Code spielt, sich aber nie die Prinzipien von sauberem Code angeeignet hat. Zweihundert Zeilen, die funktionieren – bis sie es nicht mehr tun. Dann beginnt das Debugging: ein Durchsuchen von generiertem Code, den der Autor nicht mehr versteht, und zunehmend auch nicht das Modell, das beim nächsten Prompt munter darüber hinweg generiert. Laut einer Analyse von 211 Millionen Codezeilen durch GitClear hat sich der sogenannte Code-Churn im KI-Zeitalter verdoppelt, während 45 Prozent des KI-generierten Codes Sicherheitslücken enthält. Dies wird zunehmend von Hackern ausgenutzt. Der Begriff „Vibe Coding“ ist keine zwei Jahre alt und hat bereits eine eigene technische Schuldenkrise produziert, die erst langsam sichtbar wird. Das Theater steht. Die Windeln stapeln sich im Fundus.

Diese Kritik bedeutet nicht, dass die Werkzeuge wertlos wären. Ich selber nutze lokale KI-Modelle gerne und viel, gerade für mühsame Programmieraufgaben. Für technisch versierte Gründer sind KI-Agenten ein Hebel, den frühere Generationen nicht kannten. Manche Windeln nimmt einem das Modell tatsächlich ab. Doch Unicorns heißen nicht umsonst so: mythische Wesen, selten und wunderlich. Ein-Personen-Unicorns wären mythische Wesen zweiter Ordnung. Was manche Influencer in den sozialen Medien als wundersame Programmierprojekte präsentieren, die angeblich an einem Wochenende entstanden sind, sind Ausnahmen aus einer frühen Phase. Alle anderen debuggen noch.

Der Unterschied zwischen Vision und Theater auf dem höchsten Niveau liegt in der Arbeit dazwischen. Nicht in der glamourösen, nicht in der sichtbaren, sondern in der stillen, zeitaufwändigen, ein wenig demütigenden Arbeit, die das Geschehen auf der Bühne am Laufen hält. Ökonomen, die Transformationstechnologien von der Dampfmaschine bis zur Elektrifizierung analysiert haben, nennen das die Komplementaritätsbedingung. Eine Basistechnologie entfaltet ihren Nutzen nicht durch bloße Verfügbarkeit, sondern durch die jahrelange, unsichtbare Reorganisation von Prozessen, Kompetenzen und Institutionen.

Daron Acemoglu hat das für die generative KI konkret beziffert: Selbst unter optimistischen Annahmen dürfte die Technologie das BIP über zehn Jahre um weniger als ein Prozent heben – weil die komplementäre Arbeit, die sie erst produktiv macht, Zeit braucht und konstante Validierung verlangt.

Man wird nicht vorgelassen. Der Direktor ist beschäftigt.

Was er tut? Er wechselt Windeln.

Die KI nimmt einem ein paar davon ab. Vielleicht sogar viele. Aber das Theater baut sie einem nicht.

Anselm Küsters ist Fachbereichsleiter Digitalisierung und Neue Technologien am Centrum für Europäische Politik (cep) in Berlin. Im Sommersemester 2025 und Wintersemester 2025/26 war er zudem Vertretungsprofessor für Digital Humanities an der Universität Stuttgart. Er ist Autor des Buches „Small is beautiful 2.0: Mit digitaler Dezentralisierung zu einer menschlicheren Wirtschaft“, das jüngst im Herder Verlag erschienen ist.

IT-Forscher beobachten eine Angriffswelle, bei der die bösartigen Akteure ComfyUI-Server in ein Botnet verfrachten. Darin dienen die kompromittierten Instanzen als Kryptominer und als Proxy-Server.

Das berichten IT-Sicherheitsforscher von Censys in einem Blog-Beitrag. Die beobachtete Angriffswelle fing am 12. März 2026 an. Da haben die Censys-Systeme ein sich rasch füllendes Verzeichnis bei einem Bulletproof-Hoster entdeckt, in dem Angreifer offenbar Daten von Internet-Scans sammelten. Die Untersuchung führte zur Erkenntnis, dass die Täter auf ComfyUI-Instanzen zielen, die offen im Internet stehen – die Censys-Forscher haben mehr als tausend solche Installationen im Netz ausgemacht. Die Angreifer versuchen, das Custom-Node-Ökosystem zu missbrauchen, um die Malware-Verteilung ohne vorherige Authentifizierung zu erreichen. Hinter „Custom Nodes“ verbirgt sich die Installation eigener Module in ComfyUI, bei einer Fehlkonfiguration ist das offenbar ohne Anmeldung möglich.

Ein in der Skriptsprache Python programmierter Scanner untersucht große IP-Bereiche auf verwundbare Ziele und installiert automatisch bösartige Nodes über den ComfyUI-Manager, sofern er noch keinen missbrauchbaren Node vorgefunden hat. Kompromittierte Server kontrollieren die Angreifer zentral über ein Flask-basiertes Command-and-Control-Dashboard. Die Instanzen schürfen schließlich Monero mittels XMRig und Conflux mittels lolMiner. Außerdem sind sie Bestandteil eines „Hysteria v2“-Botnets.

Verankerte Malware

Wie die Analysten weiter berichten, ist die verankerte Malware ausgefeilt. Sie versucht, der Entdeckung durch die Ausführung ohne abgelegte Dateien zu entgehen und maskiert den Kernel-Thread-Prozess. Außerdem verankert sie sich als LD_PRELOAD-Rootkit. Dabei überschreiben die Angreifer bestehende Funktionen von dynamisch gelinkten Programmen. Zudem kennt die „ghost.sh“-Malware drei unabhängige „Wiederbelebungsmechanismen“, die die Entfernung der Kryptominer-Komponente und Systemneustarts überstehen.

Der Python-Scanner bekommt sogar Updates. Die IT-Forscher berichten, dass die Version 8.2 davon zwei neue Re-Infektionsmechanismen erhalten hat. Eine tarnt sich als „GPU Performance Monitor“-Node und lädt alle sechs Stunden den Schadcode erneut nach. Der Zweite verschleiert sich hingegen als Startup-Workflow, der jedoch mit der Malware vergiftet ist.

Interessierte finden in der Analyse tiefergehende Details. Am Ende nennen die Censys-Mitarbeiter noch mehrere Indizien für einen Befall (Indicators of Compromise, IOC), mit denen ComfyUI-Admins prüfen können, ob sie Ziel in der aktuellen Angriffswelle geworden sind.

ComfyUI ist ein quelloffenes und populäres Toolkit zum lokalen Erstellen von KI-Bildern und -Videos. Es kann etwa als Alternative für das einfacher zu bedienende Amuse dienen. Die Server sollten jedoch aus Sicherheitsgründen besser nur im LAN oder mittels VPN zugreifbar sein und nicht offen im Internet stehen.

(dmk)