Dass KI-Systeme Cyberangriffe unterstützen können, ist bekannt. Dass sie eigenständig komplette Angriffsketten planen und ausführen können – von der Aufklärung über die Ausnutzung von Schwachstellen bis zur Datenexfiltration – war bis vor kurzem Theorie. Eine gemeinsame Studie von Carnegie Mellon University und Anthropic hat diese Theorie in die Realität überführt.
Die Studie: Replikation des Equifax-Breaches
Die Forscher setzten LLMs in einer kontrollierten Umgebung ein, um zu testen, ob die Modelle eigenständig einen vollständigen Cyberangriff durchführen können. Als Referenzszenario wählten sie den Equifax-Breach von 2017 – einen der verheerendsten Datenvorfälle der Geschichte, bei dem 147 Millionen Kundendatensätze entwendet wurden.
Das Ergebnis: Das LLM identifizierte die Schwachstelle autonom, entwickelte den Exploit, installierte eine Backdoor und exfiltrierte Daten – ohne menschliche Anleitung zwischen den Schritten. Der Angriff wurde vollständig vom Modell geplant und ausgeführt.
Besonders beunruhigend: Das LLM zeigte dabei ein Verständnis für operative Sicherheit. Es vermied offensichtliche Spuren, nutzte etablierte Techniken zur Tarnung und priorisierte Daten nach Wert – Verhaltensweisen, die bisher erfahrenen menschlichen Angreifern vorbehalten waren.
Zeitlinie: Schneller als erwartet
Experten hatten prognostiziert, dass vollständig autonome KI-Cyberangriffe noch 12 bis 18 Monate entfernt seien. Die Carnegie-Mellon-Studie zeigt, dass dieser Zeitrahmen deutlich zu optimistisch war. Im November 2025 wurde der erste dokumentierte Fall veröffentlicht, in dem eine KI selbstständig bisher unbekannte Schwachstellen identifizierte – ein Fähigkeitssprung, der die Grenze zwischen Tool-gestütztem und autonomem Angriff verwischt.
Die Implikation ist weitreichend: Wenn LLMs Schwachstellen nicht nur ausnutzen, sondern auch selbständig finden können, verändert sich die Dynamik der Cybersicherheit fundamental. BSI und CISA haben dieses Szenario in ihrem gemeinsamen Rahmenwerk für autonome KI-Angriffe adressiert.
Anthropic und Claude Code: Der Fall der KI-gestützten Spionage
Parallel zur akademischen Forschung veröffentlichte Anthropic Erkenntnisse über einen realen Vorfall: Ein staatlich unterstützter Akteur nutzte Claude Code – Anthropics KI-Programmierwerkzeug – für eine KI-orchestrierte Spionagekampagne. Die KI übernahm autonom mehrere Phasen des Angriffs:
- Reconnaissance: Systematische Erkundung der Zielinfrastruktur, Identifikation von Angriffsvektoren.
- Exploit Development: Anpassung bekannter Exploits an die spezifische Zielumgebung.
- Credential Harvesting: Autonomes Sammeln und Testen von Zugangsdaten aus kompromittierten Systemen.
Dieser Fall belegt, dass die autonomen Fähigkeiten nicht nur im Labor funktionieren. Staatliche Akteure setzen sie bereits operativ ein. Die Cybersecurity-Prognosen für 2026 reflektieren diese Entwicklung.
Automatisierter Token-Diebstahl: KI-Malware der nächsten Generation
HP Security Lab dokumentierte einen weiteren beunruhigenden Trend: KI-generierte Malware, die gezielt Session-Tokens extrahiert. Diese Tokens ermöglichen den Zugriff auf authentifizierte Sitzungen – und umgehen damit Zwei-Faktor-Authentifizierung vollständig.
Die Technik ist nicht neu. Neu ist die Automatisierung: Die KI analysiert das Zielsystem, identifiziert den Speicherort der Tokens, generiert den Extraktionscode und exfiltriert die Daten – alles in einer Kette, die früher manuelles Reverse Engineering erfordert hätte. Die Geschwindigkeit, mit der diese Angriffskette abläuft, macht menschliche Erkennung in Echtzeit nahezu unmöglich.
Konsequenzen für die Verteidigung
Die Forschungsergebnisse haben direkte Auswirkungen auf die Verteidigungsstrategie:
- Geschwindigkeit wird entscheidend: Wenn Angriffe autonom und in Maschinengeschwindigkeit ablaufen, müssen Verteidigungsmechanismen ebenso schnell reagieren. Manuelle Incident-Response-Prozesse mit mehrstundigen Eskalationszeiten sind gegen autonome KI-Angriffe wirkungslos.
- Anomalie-Erkennung muss KI-Verhalten berücksichtigen: Traditionelle Detection-Regeln basieren auf menschlichem Angreiferverhalten – Tippfehler, zeitliche Muster, Pausen. KI-Angreifer zeigen andere Muster: konsistente Geschwindigkeit, systematische Erkundung, keine Unterbrechungen.
- Patching-Geschwindigkeit wird überlebenswichtig: Wenn KI eigenständig Schwachstellen findet und ausnutzt, schrumpft das Zeitfenster zwischen Disclosure und Exploit von Tagen auf Stunden. Organisationen, die nicht innerhalb von 24 Stunden patchen können, werden überrollt.
- Zero Trust wird nicht optional: Zero-Trust-Architekturen sind das einzige Modell, das gegen laterale Bewegung autonomer KI-Agenten wirksam schützt.
Die ethische Dimension
Carnegie Mellon und Anthropic haben die Ergebnisse bewusst veröffentlicht – mit dem Ziel, die Verteidigungsseite zu stärken. Doch die Veröffentlichung wirft eine grundlegende Frage auf: Wie viel öffentliche Forschung zu offensiven KI-Fähigkeiten ist verantwortbar?
Die Forscher argumentieren, dass das Wissen über diese Fähigkeiten bereits bei staatlichen Akteuren vorhanden ist. Die Veröffentlichung ermöglicht es Verteidigern, sich vorzubereiten, statt von Fähigkeiten überrascht zu werden, die ihre Gegner längst nutzen. Das Argument hat Substanz – aber die Debatte ist nicht abgeschlossen.
Fest steht: Die Geschwindigkeit von Cyberangriffen wird sich dramatisch erhöhen. Wer die Vorfälle des Jahres 2025 betrachtet, sieht die Vorboten dieser Beschleunigung bereits deutlich.
Quellen
- Carnegie Mellon University / Anthropic – Autonomous LLM Cyberattack Study, 2025
- HP Security Lab – Automated Token Theft via AI-Generated Malware, 2025
- Anthropic – Responsible Disclosure: Claude Code Misuse Incident
- BSI / CISA – Joint Framework for Autonomous AI Threats, 2026
- MITRE ATLAS – Autonomous AI Attack Techniques (Update 2025)