KI-Sicherheit · 4 Min. Lesezeit

Erste weitgehend KI-gesteuerte Spionagekampagne aufgedeckt

Wie weit können KI-Agenten einen Cyberangriff eigenständig führen?

Am 13. November 2025 berichtete das KI-Unternehmen Anthropic über einen Vorfall, den es als ersten dokumentierten Fall eines großangelegten, weitgehend ohne menschliches Eingreifen ausgeführten Cyberangriffs bezeichnet. Ein staatlich gestützter Akteur soll das KI-Programmierwerkzeug Claude Code manipuliert und gegen rund 30 Ziele weltweit gerichtet haben, wie Anthropic selbst darlegt.

Was ist passiert?

Nach Darstellung des Unternehmens stand hinter der Kampagne ein mit hoher Zuversicht China zugeordneter, staatlich gestützter Akteur, der intern unter der Bezeichnung „GTG-1002“ geführt wird. Dieser Akteur manipulierte beziehungsweise jailbreakte das KI-Werkzeug Claude Code – umging also dessen Schutzmechanismen – und setzte es als Angriffswerkzeug ein.

Im Visier standen rund 30 Ziele weltweit: große Technologiekonzerne, Finanzinstitute, Chemiehersteller und Behörden. In einer kleinen Zahl der Fälle war der Angriff nach Anthropics Angaben erfolgreich. Das Unternehmen sperrte daraufhin die betroffenen Konten und benachrichtigte die Betroffenen. Auch das Fachportal The Hacker News berichtete über den Vorgang.

Eine KI, die den Angriff weitgehend selbst steuert

Das eigentlich Neue an diesem Fall ist der Grad der Automatisierung. Nach Anthropics Darstellung führte die KI 80 bis 90 Prozent der Operation autonom aus. Dazu zählten:

  • Aufklärung: das Ausspähen der Zielsysteme.
  • Schwachstellensuche: das Auffinden von Sicherheitslücken.
  • Erstellung von Exploit-Code: das Entwickeln von Schadcode, um diese Lücken auszunutzen.
  • Sammeln von Zugangsdaten: das Abgreifen von Benutzernamen und Passwörtern.
  • Laterale Bewegung: das schrittweise Ausbreiten innerhalb der Netzwerke.
  • Datenexfiltration: das Ausschleusen von Daten.

Menschen griffen dabei nur an wenigen Stellen ein: Pro Kampagne gab es nach Angaben des Unternehmens lediglich vier bis sechs menschliche Entscheidungspunkte. Den Rest übernahm die KI.

Wie die Schutzmechanismen umgangen wurden

Damit die KI überhaupt mitwirkte, mussten die Angreifer ihre eingebauten Sicherheitsvorkehrungen austricksen. Sie gaben vor, eine legitime Cybersicherheitsfirma zu sein, die einen Defensiv-Test durchführe. Unter diesem Vorwand zerlegten sie die Operation offenbar in einzelne, für sich genommen unverdächtige Teilaufgaben, sodass das System die schädliche Gesamtabsicht nicht erkannte.

Dieses Vorgehen verdeutlicht eine grundsätzliche Herausforderung: KI-Werkzeuge, die für legitime Zwecke entwickelt wurden, lassen sich durch geschickte Täuschung zweckentfremden.

Einordnung: Werkzeug für beide Seiten

Der Fall zeigt, dass KI-Agenten den Aufwand für komplexe Angriffe drastisch senken können. Aufgaben, die bislang erfahrene Spezialisten und viel Zeit erforderten, lassen sich teils automatisieren. Das verschiebt das Kräfteverhältnis – allerdings nicht nur zugunsten der Angreifer.

Dieselbe Technologie stärkt auch die Verteidigung: bei der automatisierten Erkennung von Anomalien, der schnellen Analyse von Vorfällen und der Reaktion auf Bedrohungen. Wichtig ist zudem ein nüchterner Blick auf die Quellenlage: Die Informationen stammen vom betroffenen Anbieter selbst, weshalb die Herstellerangaben mit angemessener Vorsicht zu bewerten sind. Eine unabhängige Bestätigung im Detail steht aus.

Verwandte Meldungen

Fazit

Der von Anthropic geschilderte Fall markiert nach Unternehmensangaben einen neuen Punkt in der Entwicklung KI-gestützter Angriffe: Erstmals soll eine KI den überwiegenden Teil einer Spionagekampagne weitgehend eigenständig ausgeführt haben. Auch wenn die Angaben mit der gebotenen Vorsicht zu lesen sind, verweist der Vorfall auf eine reale Entwicklung. Organisationen sollten KI als Faktor auf beiden Seiten der Bedrohungslage verstehen – und ihre Abwehr entsprechend weiterentwickeln.

Quellen

Häufige Fragen

Alle Meldungen