Fünf führende KI-Anbieter scheitern am selben Angriff – und jetzt?

Fünf Anbieter, ein gemeinsames Versagensmuster, keine saubere Alternative. Das ist die praktische Lage, mit der jedes Plattform-Team diese Woche konfrontiert ist – nachdem eine Cisco-Studie, die von The New Stack aufgegriffen wurde, berichtet, dass Frontier-Modelle von OpenAI, Anthropic, Google, Amazon und xAI alle gegen eine bestimmte Angriffskategorie versagen. Für alle, die im nächsten Quartal einen mehrjährigen Enterprise-Inference-Vertrag unterzeichnen, ist die Schlagzeile weniger interessant als das, was sie mit der eigenen Verhandlungsposition macht.

Die Zahlen

Der gemeldete Befund ist in gleichem Maße präzise wie brutal: Jedes große Frontier-Lab, das von Cisco getestet wurde, ist am selben Angriffsvektor gescheitert. The New Stack nennt in seiner Berichterstattung OpenAI, Anthropic, Google, Amazon und xAI als die in der Studie erfassten Anbieter. Das ist de facto die gesamte Shortlist, die auf jedem ernsthaften Enterprise-KI-RFP im Jahr 2026 auftaucht. Die naheliegende Reaktion „zum Wettbewerber wechseln, der bestanden hat" ist nicht möglich, weil es keinen Anbieter gibt, der bestanden hat.

Für einen CTO oder Head of Platform ist der relevante Ausgangspunkt nicht die absolute Bestehens-/Versagensrate bei einem einzelnen Benchmark. Es ist das historische Muster der Reaktionszeiten von Frontier-Labs auf offengelegte Schwachstellen. Die Prompt-Injection-Welle 2024 führte zu uneinheitlichem Patching: Einige Anbieter lieferten Gegenmaßnahmen binnen Wochen, andere ließen bekannte Angriffsmuster quartalsweise liegen, weil die Behebung das Kerntrainingsverhalten und nicht nur eine Guardrail-Schicht betraf. Wenn dieser Cisco-Befund in die letztere Kategorie fällt, bemisst sich Ihr Haftungsfenster in Produktzyklen, nicht in Patch-Zyklen.

Die zweite relevante Zahl – die in der Quelle fehlt – ist Ihre eigene. Wie viel Ihres Inference-Budgets ist bei einem einzigen dieser fünf Anbieter konzentriert? Bei Series-B-Fintechs und lizenzierten iGaming-Unternehmen, mit denen ich spreche, liegt die Antwort meist über 80 Prozent, oft bei 100 Prozent, gebunden an einen einzigen Anbieter mit jährlichen Commitments im oberen sechsstelligen bis niedrigen siebenstelligen Bereich. Ein Befund, der alle fünf Anbieter gleichermaßen trifft, löst das Konzentrationsrisiko nicht – er macht nur deutlich, dass Diversifikation nie die eigentliche Absicherung war. Das Risiko, das Sie tatsächlich tragen, ist ein korreliertes Versagen auf der gesamten Frontier-Ebene, und die Kosten dieser Korrelation trägt das Team, dem der Produktionsagent gehört.

Ein weiterer Gesichtspunkt ist es wert, berücksichtigt zu werden. Die Studie stammt von Cisco – nicht von einem akademischen Labor oder dem eigenen Red Team eines Modellanbieters. Diese Herkunft ist für die Beschaffung relevant, denn Cisco verkauft Sicherheitsprodukte an dieselben Unternehmen, die den Befund nun lesen. Behandeln Sie das Ergebnis als valide, aber lesen Sie das nachfolgende Marketing sorgfältig, wenn es erscheint.

Was wirklich neu ist

Das Neue hier ist nicht „Frontier-Modelle können angegriffen werden." Das ist seit 2023 eingepreist. Das Neue ist die Einheitlichkeit. Wenn fünf Labs mit grundlegend unterschiedlichen Trainingsstacks, Sicherheitsteams und Alignment-Philosophien alle am selben Eingabemuster scheitern, ist das Versagen kein Anbieterproblem mehr. Es ist ein Kategorieproblem – das bedeutet, es lässt sich nicht durch einen Anbieterwechsel lösen, sondern nur durch das Hinzufügen einer Schicht oberhalb der Modelle.

Diese Unterscheidung verändert die Build-vs-Buy-Frage für KI-Plattform-Teams. Bis 2025 war das dominante Muster: einen Frontier-Anbieter wählen, dessen Tool-Use- oder Function-Calling-Primitive nutzen, auf den eigenen Safety-Stack des Anbieters setzen und am Edge ein leichtes Input/Output-Filtering hinzufügen. Die implizite Wette war, dass das interne Red-Teaming des Labs dem Bedrohungsmodell voraus bleibt. Ein einheitliches Versagen aller fünf Labs macht diese Wette ungültig. Das neue Muster – das meiner Einschätzung nach bis Q4 zum Standardvorgehen wird – ist eine unabhängige Policy- und Content-Safety-Schicht, die zwischen Ihrer Anwendung und dem jeweils gerouteten Frontier-Modell sitzt.

Für den Arbeitsmarkt ist das bedeutsam. Die Stellenbeschreibung für einen „AI Platform Engineer", verfasst Anfang 2025, betonte Prompt Engineering, Evaluierungs-Harnesses und Kostenoptimierung über verschiedene Anbieter hinweg. Die Stellenbeschreibung, die nach einer Studie wie dieser verfasst wird, muss Adversarial Testing, Red-Team-Automatisierung und Policy Enforcement am Gateway umfassen. Das ist ein anderes Profil, gezogen aus einem anderen Pool – Sicherheitsingenieure, die LLMs gelernt haben, nicht ML-Ingenieure, die ein bisschen Sicherheit gelernt haben. Diese Kandidaten sind seltener und teurer, und das Vergütungsdelta wird in Ihrem Plan für 2027 sichtbar werden.

Auch die regulatorische Ebene verschiebt sich. Für Fintech- und iGaming-Teams, die unter Jurisdiktionen operieren, die bereits nachgewiesene Kontrollen über automatisierte Entscheidungsfindung verlangen, ist eine veröffentlichte Studie, die ein kategorisches Versagen des zugrundeliegenden Toolings dokumentiert, genau der Beleg, auf den ein Prüfer während eines Audits zeigen kann. „Wir nutzen einen Frontier-Anbieter" hört auf, eine Verteidigung zu sein. „Wir nutzen einen Frontier-Anbieter plus die folgenden unabhängig getesteten Gegenmaßnahmen" wird zum Mindeststandard.

Was für die KI-Entwicklung bereits eingepreist ist

Einen Teil davon hat der Markt bereits verarbeitet. Die Erkenntnis, dass jeder Produktionsagent Guardrails jenseits dessen benötigt, was der Modellanbieter liefert, ist seit der ersten Welle der MCP-Deployments Konsens. Die MCP-Spezifikation selbst geht davon aus, dass die aufrufende Anwendung für Autorisierung und Scoping verantwortlich ist – nicht das Modell. Die Existenz von Angriffen auf Frontier-Modelle ist also, abstrakt betrachtet, keine Neuigkeit für jeden, der Agenten in regulierten Verticals ausliefert.

Was nicht eingepreist ist, ist die Symmetrie des Versagens. Die Standardverteidigung in der Beschaffung – „Wir haben Multi-Provider-Failover" – wird leiser, jedes Mal wenn eine Studie wie diese erscheint. CFOs haben Premium-Preise von Frontier-Labs teilweise auf Basis der impliziten Annahme abgezeichnet, dass die Bezahlung für das beste Lab bessere Sicherheitseigenschaften kauft als günstigere Alternativen. Ein einheitliches Versagen der Top-Fünf entzieht diesem Aufpreis seine Rechtfertigung. Erwarten Sie, dass Beschaffungsteams mit mehr Nachdruck fragen werden, warum der Sicherheitsaufschlag existiert, wenn die Sicherheitsergebnisse nicht zu unterscheiden sind.

Ebenfalls nicht eingepreist: die Open-Source-Reaktion. Wenn ein geschlossenes Frontier-Modell versagt, erhalten Sie einen Vendor Advisory und einen Patch auf dem Zeitplan des Anbieters. Wenn ein Open-Weights-Modell auf Hugging Face versagt, erhalten Sie eine Forschergemeinschaft, die öffentlich an Gegenmaßnahmen arbeitet – oft binnen Tagen. Für Plattform-Teams, die sich aus operativen Gründen gegen eine Open-Weights-Tier gesperrt haben, ist diese Studie der Eingangsparameter, der die Build-vs-Buy-Rechnung in Richtung eines selbst gehosteten Fallbacks für die risikoreichsten Pfade kippt.

Gegenteilige Betrachtung

Die naheliegende Lesart ist, dass diese Studie schlechte Nachrichten für jeden Frontier-Anbieter und gute Nachrichten für Sicherheits-Tooling-Unternehmen ist – praktischerweise einschließlich Cisco. Die gegenteilige Lesart ist, dass sie wenig verändert, weil kein Enterprise-Käufer tatsächlich einen Anbieterwechsel aufgrund eines einzelnen Sicherheitsbefunds vornehmen wird – und die Labs das wissen.

Die Wechselkosten bei einem ernsthaften KI-Plattform-Deployment – Evals, Prompt-Bibliotheken, Fine-Tunes, Observability-Integrationen – sind inzwischen hoch genug, dass eine Schwachstellenoffenbarung katastrophal und exklusiv auf einen Anbieter beschränkt sein muss, um eine Migration auszulösen. Dieser Befund ist beides nicht. Er verteilt sich auf alle fünf, was paradoxerweise jeden einzelnen schützt. Der Nettoeffekt könnte ein einstimmiger Anstieg der Ausgaben für Sicherheits-Tooling sein und keinerlei Bewegung im primären Anbieteranteil. Die Labs werden Gegenmaßnahmen liefern, die Sicherheitsanbieter werden Dashboards liefern, und die zugrundeliegende Marktkonzentration geht weiter. Wer auf eine beschaffungsgetriebene Neuordnung der Frontier-Tier durch eine Studie wie diese setzt, dem würde ich widersprechen.

Der General Counsel bei jedem Series-B- oder späteren KI-abhängigen Unternehmen sollte diese Woche genau eine Frage stellen: Enthält unser aktueller Frontier-Anbieter-Vertrag eine Sicherheitsvorfalls-Klausel, die es uns erlaubt, Preise neu zu verhandeln oder ohne Strafe auszutreten, wenn eine unabhängige Studie ein kategorisches Versagen dokumentiert, das der Anbieter nicht innerhalb eines definierten Zeitraums behoben hat? Wenn die Antwort nein ist, ist die nächste Vertragsverlängerung der Moment, das zu korrigieren – und diese Studie ist der Beleg, den Sie im Redline zitieren.

Wichtigste Erkenntnisse

• Ein gemeldeter Cisco-Studienbefund über einheitliches Versagen bei OpenAI, Anthropic, Google, Amazon und xAI bedeutet, dass ein Anbieterwechsel keine taugliche Gegenmaßnahme ist – eine unabhängige Safety-Schicht schon.
• Das Anforderungsprofil des AI Platform Engineers verschiebt sich in Richtung sicherheitsorientierter Kandidaten, mit messbaren Vergütungsimplikationen in der Planung für 2027.
• Beschaffungsteams sollten diese Studie nutzen, um Sicherheitsvorfalls-Klauseln neu zu verhandeln und den impliziten Sicherheitsaufschlag in der Frontier-Preisgestaltung zu hinterfragen.
• Regulierte Verticals (Fintech, iGaming, Healthtech) verlieren die Verteidigung „Wir nutzen einen Frontier-Anbieter" und benötigen dokumentierte, unabhängig getestete Gegenmaßnahmen.
• Teams, die Build-vs-Buy für eine Open-Weights-Fallback-Tier evaluieren, sollten die Rechnung neu prüfen, da die Sicherheitsvorteile geschlossener Labs schwächer erscheinen als das Marketing vermuten ließ.

Teams, die Frontier-KI-Infrastruktur evaluieren, sollten sich jetzt eine schärfere Frage stellen als „Welcher Anbieter ist der sicherste?" Die richtige Frage lautet: Wie sieht unsere Architektur aus, wenn wir davon ausgehen, dass keiner von ihnen es ist – und wir trotzdem liefern müssen?