Der erste bekannte KI-orchestrierten Cyber-Spionage Angriff
Eine düstere Bedrohung zeichnet sich klar ab: KI-gestützte Spionage.
Mitte September 2025 entdeckten wir verdächtige Aktivitäten, die spätere Untersuchungen als hochentwickelte Spionagekampagne identifizierten. Die Angreifer nutzten die "agentischen" Fähigkeiten der KI in einem beispiellosen Masse – sie nutzten KI nicht nur als Berater, sondern auch um die Cyberangriffe selbst durchzuführen.
Der Bedrohungsakteur – den wir mit hoher Überzeugung als chinesische staatlich geförderte Gruppe einschätzen – manipulierte unser Claude-Code-Werkzeug, um etwa dreissig globale Ziele zu infiltrieren, und hatte in wenigen Fällen Erfolg. Die Operation richtete sich gegen grosse Technologieunternehmen, Finanzinstitute, Chemiehersteller und Regierungsbehörden. Wir glauben, dass dies der erste dokumentierte Fall eines gross angelegten Cyberangriffs ist, der ohne gsosses menschliches Eingreifen durchgeführt wurde.
Diese Kampagne hat erhebliche Auswirkungen auf die Cybersicherheit im Zeitalter der KI-"Agenten" – Systeme, die über lange Zeiträume autonom betrieben werden können und komplexe Aufgaben weitgehend unabhängig von menschlichem Eingreifen erledigen.
Wie der Cyberangriff funktionierte
Der Angriff stützte sich auf mehrere Funktionen von KI-Modellen, die noch vor einem Jahr noch nicht existierten oder sich noch in einer deutlich jungen Form befanden:
Intelligenz. Das allgemeine Leistungsniveau der Modelle ist so weit gestiegen, dass sie komplexe Anweisungen befolgen und den Kontext auf eine Weise verstehen können, die sehr komplexe Aufgaben ermöglicht. Nicht nur das, sondern mehrere ihrer gut entwickelten spezifischen Fähigkeiten – insbesondere Softwareprogrammierung – eignen sich hervorragend für den Einsatz bei Cyberangriffen.
Agentur. Modelle können als Agenten agieren – das heisst, sie können in Schleifen laufen, in denen sie autonome Aktionen ausführen, Aufgaben aneinanderreihen und Entscheidungen mit nur minimalem, gelegentlichem menschlichem Einfluss treffen.
Werkzeuge. Modelle haben Zugang zu einer Vielzahl von Softwarewerkzeugen (oft über das offene Standard Model Context Protocol). Sie können nun im Web suchen, Daten abrufen und viele andere Aktionen ausführen, die zuvor ausschliesslich menschlichen Bedienern vorbehalten waren. Im Fall von Cyberangriffen könnten die Werkzeuge Passwortknacker, Netzwerkscanner und andere sicherheitsrelevante Software umfassen.
In Phase 1 wählten die menschlichen Operatoren die relevanten Ziele aus (zum Beispiel das Unternehmen oder die Regierungsbehörde, die infiltriert werden soll). Anschließend entwickelten sie einen Angriffsrahmen – ein System, das dazu diente, ein ausgewähltes Ziel autonom zu kompromittieren, ohne menschliche Beteiligung einzubeziehen. Dieses Framework nutzte Claude Code als automatisiertes Werkzeug zur Durchführung von Cyberoperationen.
An diesem Punkt mussten sie Claude – der umfassend darauf trainiert ist, schädliches Verhalten zu vermeiden – überzeugen, sich dem Angriff zu widmen. Sie taten dies, indem sie es jailbreakten und es effektiv täuschten, um seine Leitplanken zu umgehen. Sie zerlegten ihre Angriffe in kleine, scheinbar harmlose Aufgaben, die Claude ohne den vollständigen Kontext ihres böswilligen Vorsatzes ausführte. Sie teilten Claude ausserdem mit, dass es sich um einen Mitarbeiter einer seriösen Cybersicherheitsfirma handele und für defensive Tests eingesetzt werde.
In den nächsten Phasen des Angriffs identifizierte und testete Claude Sicherheitslücken in den Systemen der Zielorganisationen, indem er eigenen Exploit-Code recherchierte und schrieb. Damit konnte das Framework Claude nutzen, um Zugangsdaten (Benutzernamen und Passwörter) zu sammeln, die ihm weiteren Zugriff ermöglichten, und dann eine grosse Menge privater Daten extrahieren, die es nach seinem Intelligenzwert kategorisierte. Die Konten mit den höchsten Privilegien wurden identifiziert, Hintertüren erstellt und Daten mit minimaler menschlicher Aufsicht exfiltriert.
Eine grundlegende Veränderung hat sich in der Cybersicherheit vollzogen. Wir empfehlen Sicherheitsteams, mit dem Einsatz von KI für die Verteidigung in Bereichen wie der Automatisierung des Security Operations Centers, Bedrohungserkennung, Schwachstellenanalyse und Vorfallreaktion zu experimentieren. Wir raten Entwicklern ausserdem, weiterhin in Schutzmassnahmen auf ihren KI-Plattformen zu investieren, um einen gegnerischen Missbrauch zu verhindern. Die oben beschriebenen Techniken werden zweifellos von viel mehr Angreifern eingesetzt werden – was die Bedrohungsteilung in der Industrie, verbesserte Erkennungsmethoden und stärkere Sicherheitskontrollen umso wichtiger macht.