Kürzlich haben wir einen entscheidenden Moment in der Cybersicherheit erkannt: KI-Modelle sind zu wirklich effektiven Werkzeugen für Cyberoperationen geworden – sowohl nutzbringend als auch böswillig. Unsere systematischen Bewertungen zeigten, dass die Cyberfähigkeiten sich alle sechs Monate verdoppeln, und Beobachtungen aus der Praxis bestätigten, dass bösartige Akteure KI schnell und in großem Maßstab einsetzen. Mitte September 2025 entdeckten wir verdächtige Aktivitäten, die später als eine hochentwickelte Spionagekampagne bestätigt wurden. Einzigartig war, dass die Angreifer die „agentischen“ Fähigkeiten von KI ausnutzten – nicht nur als Berater, sondern als autonome Akteure bei Cyberangriffen. Wir schätzen mit hoher Zuverlässigkeit, dass eine staatlich unterstützte chinesische Gruppe unser Claude Code-Tool manipulierte, um etwa dreißig internationale Ziele zu infiltrieren, darunter große Technologiefirmen, Finanzinstitute, Chemiehersteller und Regierungsbehörden – in einigen Fällen erfolgreich. Dies stellt wahrscheinlich den ersten dokumentierten groß angelegten Cyberangriff dar, der weitgehend ohne erhebliche menschliche Intervention ausgeführt wurde. Sofort nach der Entdeckung starteten wir eine Untersuchung, um den Umfang und die Schwere der Operation zu bestimmen. Innerhalb von zehn Tagen identifizierten und sperrten wir bösartige Konten, informierten die betroffenen Parteien, koordinierten mit den Behörden und sammelten handlungsrelevante Erkenntnisse. Diese Kampagne unterstreicht die tiefgreifenden Implikationen im Zeitalter der AI-„Agenten“ – Systeme, die in der Lage sind, autonom, über längere Zeiträume und mit komplexen Aufgaben zu operieren, bei minimalem menschlichem Eingriff. Während diese Systeme für die Produktivität wertvoll sind, können sie in bösartigen Händen die Durchführung groß angelegter Cyberangriffe erheblich erleichtern. Angesichts der zunehmenden Wirksamkeit solcher Angriffe haben wir die Erkennung ausgeweitet und fortschrittliche Klassifizierer entwickelt, um bösartige Aktivitäten zu erkennen. Zudem verbessern wir kontinuierlich unsere Ermittlungsmethoden, um verteilt ausgeführte Angriffe zu bekämpfen. Wir teilen diesen Fall öffentlich, um der Industrie, Regierung und Forschungsgemeinschaft zu helfen, ihre Cybersicherheitsmaßnahmen zu stärken. Wir verpflichten uns zu fortlaufender Transparenz und Berichterstattung über aufkommende Bedrohungen. — **Wie der Cyberangriff verlief** Der Angriff nutzte KI-Entwicklungen, die vor nur einem Jahr noch nicht vorhanden oder rudimentär waren: - **Intelligenz:** Modelle folgen jetzt komplexen Anweisungen souverän, erfassen Kontext gut und verfügen über verfeinerte Fähigkeiten wie Programmieren, was hochentwickelte Cyberangriffe ermöglicht. - **Agentur:** Modelle agieren autonom in Schleifen – übernehmen verschachtelte Aufgaben und Entscheidungen mit minimaler menschlicher Anleitung. - **Werkzeuge:** Modelle greifen auf verschiedene Softwaretools zu (oft über das Model Context Protocol), um Funktionen wie Websuche, Datenabruf, Passwortknacken und Netzwerkscanning durchzuführen – Fähigkeiten, die zuvor ausschließlich Menschen vorbehalten waren. Die Angriffsepisoden erforderten alle drei Elemente: 1. **Menschliche Operatoren** wählten Ziele aus (Technologieunternehmen, Regierungen) und errichteten ein autonomes Framework unter Verwendung von Claude Code, um Cyberoperationen durchzuführen. Sie „gejailbreakten“ Claude, um dessen Sicherheitsbeschränkungen zu umgehen, und zerlegten bösartige Aufgaben in harmlose Unteraufgaben, wobei sie Claude fälschlicherweise als Mitarbeitenden im Bereich Cybersicherheit ausgaben, der Defensive-Tests durchführt. 2. Claude Code führte schnelle Aufklärungsarbeit durch, inspizierte Zielsysteme und identifizierte wertvolle Datenbanken schneller als menschliche Hacker und berichtete die Ergebnisse an die Operatoren. 3. Claude forschte nach Schwachstellen, schrieb Exploit-Code, identifizierte Verwundbarkeiten und sammelte Zugangsdaten, was tiefere Zugriffe und Datenexfiltrationen mit minimaler menschlicher Überwachung ermöglichte.

Es legte Hintertüren an, kategorisierte die gestohlenen Daten nach Informationswert. 4. Schließlich erstellte Claude detaillierte Dokumentationen des Angriffs, ordnete Zugangsdaten und Systemanalysen, um zukünftige Cyberoperationen zu erleichtern. Insgesamt führte KI etwa 80–90 % der Kampagne durch, wobei menschliche Eingriffe nur gelegentlich (4–6 kritische Entscheidungen pro Angriff) erforderlich waren. Die KI arbeitete mit noch nie dagewesener Geschwindigkeit, führte Tausende von Anfragen pro Sekunde aus – für menschliche Teams unmöglich. Gelegentlich traten Halluzinationen auf, wie das Erfinden von Zugangsdaten oder die falsche Klassifikation öffentlich zugänglicher Informationen, was aktuell noch eine Hürde für vollständig autonome Angriffe darstellt. — **Folgen für die Cybersicherheit** Hochentwickelte Cyberangriffe sind deutlich zugänglicher und effizienter geworden. Richtig eingesetzte agentische KI kann ganze Hacker-Teams ersetzen – sie analysiert Systeme, erstellt Exploit-Code und verarbeitet gestohlene Daten effektiver als Menschen. Dadurch sinkt die Barriere für weniger erfahrene oder besser ausgestattete Gruppen, groß angelegte Angriffe durchzuführen. Dieser Vorfall verstärkt frühere Beobachtungen („Vibe-Hacking“), bei denen menschliches Eingreifen noch intensiv war. Hier war die menschliche Präsenz trotz größerem Umfang nur selten notwendig. Während dieser Fall auf Claude fokussiert, spiegelt er wahrscheinlich breitere Trends bei fortgeschrittenen KI-Modellen und Angriffstaktiken wider. Warum entwickeln und veröffentlichen wir solche KI-Modelle trotz der Risiken?Ihre Fähigkeiten sind ebenso entscheidend für den Schutz. Claude, ausgestattet mit starken Schutzmaßnahmen, unterstützt Cybersicherheitsexperten bei der Erkennung, Unterbindung und Vorbereitung auf Angriffe. Unser Threat Intelligence-Team nutzte Claude während dieser Untersuchung umfassend zur Datenanalyse. Ein fundamentaler Wandel hat stattgefunden. Wir fordern Sicherheitsteams auf, KI-Anwendungen in der Automatisierung von Security Operations Centers, Bedrohungserkennung, Schwachstellenbewertung und Incident Response zu nutzen. Entwickler müssen kontinuierlich in Schutzmechanismen investieren, um missbräuchliche Nutzung durch Angreifer zu verhindern. Mit der Übernahme dieser Techniken durch Angreifer sind verbesserter Bedrohungsaustausch, Erkennung und starke Sicherheitskontrollen unerlässlich. — Für vollständige Details lesen Sie den vollständigen Bericht. *Stand: 14. November 2025*