Anthropic gab am Donnerstag bekannt, dass chinesische, staatlich geförderte Hacker Mitte September eine ausgeklügelte Cyberspionagekampagne inszeniert haben, indem sie ihr Claude-KI-Modell als Waffe eingesetzt haben.
Die Operation zielte auf rund 30 globale Organisationen ab und nutzte die KI, um 80–90 % des Angriffslebenszyklus mit minimalem menschlichen Eingriff autonom auszuführen.
Dies ist der erste dokumentierte Fall eines groß angelegten Cyberangriffs, der von einem KI-Agenten gesteuert wurde, was eine bedeutende Bedeutung darstellt Eskalation gegenüber früheren KI-gestützten Hacking-Angriffen.
Der Vorfall markiert eine neue Ära von Cyber-Bedrohungen, in der autonome Systeme die Arbeit ganzer Teams übernehmen können, was die Geschwindigkeit und den Umfang staatlich geförderter Operationen dramatisch erhöht.
Vom AI Co-Pilot bis hin zu Autonomer Angreifer: Eine neue Ära der Cyberspionage
In einer deutlichen Eskalation der KI-Bewaffnung stellt die von Anthropic beschriebene Kampagne einen grundlegenden Wandel bei Cyber-Operationen dar.
Staatlich geförderte Akteure sind über den Einsatz von KI für einfache Aufgaben hinausgegangen wie das Erstellen von Phishing-E-Mails, ein Trend, über den Google Anfang letzten Jahres berichtete. Jetzt setzen sie völlig autonome Agenten ein, um komplexe Einbrüche von Anfang bis Ende durchzuführen. Das Threat-Intelligence-Team von Anthropic hat die staatlich geförderte Gruppe GTG-1002 benannt.
Dieses neue Angriffsparadigma geht weit über den „Vibe Hacking“-Trend hinaus, über den Winbuzzer im August berichtete, bei dem KI-Modelle als kreative Partner oder Co-Piloten menschlicher Bediener fungierten. In diesem Modell hatten die Menschen weiterhin die volle Kontrolle über die Leitung der Operation.
Der Bericht von Anthropic bestätigt, dass die September-Kampagne wesentlich anders war:
„Diese Aktivität stellt eine deutliche Eskalation gegenüber unseren früheren „Vibe-Hacking“-Ergebnissen vom Juni 2025 dar … Menschen blieben bei der Leitung der Operationen weitgehend auf dem Laufenden.“
Die neuen Erkenntnisse zeigen, dass menschliche Bediener nur minimale direkte Beteiligung hatten, die auf nur 10 bis 20 Prozent der Gesamtzahl geschätzt wird Bemühungen.
Angreifer zielten auf große Technologiekonzerne, Finanzinstitute, Chemiehersteller und Regierungsbehörden in mehreren Ländern ab.
Während Anthropic die Kampagne erfolgreich störte und die zugehörigen Konten sperrte, waren eine Handvoll Angriffe erfolgreich.
Anthropic erklärte: „Wir glauben, dass dies der erste dokumentierte Fall eines groß angelegten Cyberangriffs ist, der ohne wesentliches menschliches Eingreifen durchgeführt wurde.“
Dies bestätigt, dass die Eintrittsbarriere für hochentwickelte, Groß angelegte Cyberangriffe sind erheblich zurückgegangen, eine Sorge, die auch in einer aktuellen Branchenanalyse zum Ausdruck kommt, die zeigt, dass die Erfolgsraten von KI-Agenten-Hijackings dramatisch ansteigen.
Wie Hacker Claude mit Rollenspielen in eine Waffe verwandelten und Automatisierung
Angreifer manipulierten das KI-Modell, indem sie ein benutzerdefiniertes Orchestrierungs-Framework erstellten.
Dieses System nutzte Claude Code von Anthropic und das offene Standard-Model Context Protocol (MCP), um komplexe Angriffe in eine Reihe diskreter, scheinbar harmloser Aufgaben zu zerlegen. MCP, das darauf ausgelegt ist, KI-Modellen die Nutzung externer Tools zu ermöglichen, wurde praktisch zum zentralen Nervensystem für den Vorgang.
Dieses Protokoll führt jedoch auch neue Sicherheitsrisiken ein wie „Context Injection“, wo Agentenverhalten auftreten kann manipuliert.
Ein entscheidendes Element des Angriffs war die Umgehung von Claudes eingebauten Sicherheitsfunktionen. Dies erreichten die Hacker durch eine clevere Jailbreaking-Technik, die auf Social Engineering basiert.
Laut Jacob Klein, Head of Threat Intelligence bei Anthropic, „taten sie in diesem Fall so, als würden sie für legitime Sicherheitstestorganisationen arbeiten.“
Indem sie die KI davon überzeugten, dass sie an einem legitimen Penetrationstest teilnahm, verleiteten die Betreiber sie dazu, böswillige Aktionen auszuführen, ohne ihre grundlegenden ethischen Leitplanken auszulösen.
Diese Methode ermöglichte die Bedrohung Schauspieler lange genug unter dem Radar bleiben, um ihre Kampagne zu starten.
Nach der Aktivierung führte der KI-Agent autonom den gesamten Angriffslebenszyklus mit erschreckender Effizienz aus. Es begann mit der Erkundung, um die Zielinfrastruktur zu kartieren und Schwachstellen zu identifizieren.
Von da an ging es weiter zum Verfassen von benutzerdefiniertem Exploit-Code, zum Sammeln von Anmeldeinformationen, zur seitlichen Bewegung über Netzwerke und schließlich zum Herausfiltern und Analysieren sensibler Daten auf nachrichtendienstlichen Wert.
Menschliche Bediener griffen nur an vier bis sechs kritischen Entscheidungspunkten pro Kampagne ein, in erster Linie, um eine Eskalation von einer Phase zur nächsten zu genehmigen, so ein Bericht des Wall Street Journal.
Klein sagte der Verkaufsstelle: „Die Hacker führten ihre Angriffe buchstäblich mit einem Klick auf eine Schaltfläche und dann mit minimaler menschlicher Interaktion durch.“
Das Dual-Use-Dilemma: Agentische KI für beides Angriff und Verteidigung
Die Offenlegung von Anthropic zwingt zu einer Abrechnung mit der Dual-Use-Natur fortschrittlicher KI. Dieselben Fähigkeiten, die es einer KI ermöglichen, ein Netzwerk autonom anzugreifen, sind für die Verteidigung von unschätzbarem Wert.
Der Vorfall ereignete sich nur wenige Monate, nachdem Anthropic selbst einen neuen Sicherheitsrahmen für KI-Agenten vorgestellt hatte, der Prinzipien wie menschliche Kontrolle und Transparenz als Reaktion auf branchenweite Sicherheitsmängel betonte.
Die Kampagne unterstreicht die Herausforderung, solche Prinzipien gegen entschlossene Gegner durchzusetzen.
Sicherheitsexperten weisen darauf hin, dass agentische KI bereits in Security Operations Centern eingesetzt wird (SOCs) zur Automatisierung der Bedrohungserkennung und-reaktion, wie beispielsweise die kürzlich eingeführte Cortex AgentiX-Plattform von Palo Alto Network.
Solche Abwehragenten tragen dazu bei, dem weltweiten Mangel an Cybersicherheitsexperten entgegenzuwirken, indem sie die Alarmtriage und die proaktive Bedrohungssuche übernehmen.
Anthropic selbst nutzte Claude ausgiebig, um die riesigen Datenmengen zu analysieren, die während der Untersuchung des Vorfalls generiert wurden, was den defensiven Nutzen der Technologie hervorhob.
Letztendlich argumentiert das Unternehmen, dass dies auch weiterhin der Fall war Investitionen in KI-Fähigkeiten sind für den Aufbau der nächsten Generation von Cyberabwehrmaßnahmen von wesentlicher Bedeutung.
Der Wettlauf zwischen offensiven und defensiven Anwendungen verschärft sich eindeutig.
Anthropic fordert die Sicherheitsgemeinschaft auf, die Einführung KI-gestützter Verteidigungstools zu beschleunigen, und warnt davor, dass Verteidiger Gefahr laufen, überholt zu werden, wenn sie ähnliche Technologien nicht nutzen.
Logan Graham, der das Katastrophenrisikoteam von Anthropic leitet, warnte: „Wenn wir Verteidiger nicht aktivieren.“ Ich befürchte, dass wir dieses Rennen möglicherweise verlieren, um einen sehr erheblichen dauerhaften Vorteil zu haben
