KI-gesteuerter Hackerangriff aus China zeigt: Jetzt wird es richtig ungemütlich
Die Fachleute der KI-Entwicklerfirma Anthropic sprechen vom «ersten dokumentierten Fall eines grossangelegten Cyberangriffs, der ohne wesentliches menschliches Eingreifen durchgeführt wurde».
Gemäss dem am Donnerstag veröffentlichten Untersuchungsbericht handelt es sich bei den Angreifern mit «hoher Wahrscheinlichkeit» um eine vom chinesischen Staat geförderte Gruppe, die die Handlungsfähigkeit von KI in einem «beispiellosen Ausmass» nutzte.
Die wichtigsten Fragen und Antworten.
Warum ist das wichtig?
Der Wettlauf zwischen Angreifern und Verteidigern, die beide KI einsetzen, nimmt Fahrt auf.
Laut Anthropic werden die mithilfe von generativer künstlicher Intelligenz geführten Cyberangriffe immer gefährlicher respektive durchschlagskräftiger.
Bislang nutzten Hacker KI quasi als Berater. Sie stellten Fragen und erhielten Vorschläge. Die eigentliche Arbeit wurde dann von Menschen erledigt. Doch nun erledigt die KI die meiste Arbeit. Die Menschen geben nur die Richtung vor und greifen gelegentlich ein.
«Produktivitäts-Tools»
Hier kommen sogenannte Programmierassistenten ins Spiel. Aktuell bringt jedes KI-Unternehmen solche Produktivitäts-Tools auf den Markt. OpenAI hat einen solchen Assistenten bei ChatGPT integriert, Microsoft bietet Copilot an und Google «Gemini Code Assist».
Trotz umfangreicher Sicherheitsvorkehrungen der Entwickler kann jedes verfügbare KI-Tool von Dritten geknackt und auf diese Weise missbraucht werden.
Die Ausnutzung von Sicherheitslücken bei Sprachmodellen (LLMs) wird als KI-Jailbreaking bezeichnet. Was Fachleuten Sorge bereitet: Auch weniger erfahrene Hacker können so ausgeklügelte Attacken durchführen.
Wie wurden die Sicherheits-Vorkehrungen der KI überlistet?
Die Angreifer teilten den geplanten Cyberangriff in kleine, harmlos wirkende Aufgaben auf. Dann erklärten sie gegenüber dem KI-Chatbot Claude, es gehe um einen Angestellten einer seriösen Cybersicherheitsfirma, der Tests zur Abwehr von Hackerangriffen durchführe.
Claude hatte demnach keine Ahnung, dass in Wirklichkeit echte Unternehmen gehackt wurden. Wobei natürlich anzumerken ist, dass solche KI-Chatbots nicht über Intelligenz im engeren Sinn verfügen. Es sind Software-Maschinen, die trainiert wurden, auf jede Eingabe (Prompt) einen möglichst passenden Inhalt auszugeben.
Die Hacker verwendeten Claude Code, den Programmierassistenten von Anthropic. Diese Software kann das Internet durchsuchen, selbstständig Daten abrufen und Programme ausführen. Sie bietet Zugriff auf Passwort-Cracker, Netzwerkscanner und Sicherheitstools.
Bei Reddit kommentiert ein User:
Wie lief der KI-gesteuerte Cyberangriff ab?
Mitte September 2025 stellten die Anthropic-Fachleute in ihren Systemen verdächtige Aktivitäten fest. Diese stellten sich als «hochkomplexe Spionagekampagne» heraus, wie es im Unternehmens-Blog heisst.
Kurz zusammengefasst: Die Hacker «überredeten» den KI-Chatbot Claude, für sie zu hacken. Daraufhin analysierte Claude das von den Angreifern genannte Ziel, entdeckte Sicherheitslücken, schrieb den nötigen Code – einen sogenannten Exploit –, um in das fremde System einzudringen, sammelte Passwörter, extrahierte Daten und dokumentierte alles. Und dies selbstständig, bis auf wenige Anweisungen der menschlichen Täter.
- Phase 1: Claude untersuchte über das Internet die IT-Systeme des Opfers. Die KI fand die wichtigsten Datenbanken. Und das laut Bericht viel schneller, als es menschlichen Hackern möglich gewesen wäre.
- Phase 2: Als Sicherheitslücken gefunden waren, schrieb der KI-Programmierassistent den Exploit-Code, um ins fremde System einzubrechen.
- Phase 3: Nachdem er heimlich ins System eingedrungen war, sammelte er dort Zugangsdaten – also Benutzernamen und Passwörter – von Administratoren, um weitreichende Zugriffsrechte zu erlangen.
- Phase 4: Die KI extrahierte grosse Mengen an privaten Daten aus dem fremden System und übermittelte diese an einen Server der Angreifer. Diese Beute sortierte er gleich nach ihrem Informationswert.
- Phase 5: Nun wurden im fremden System «Hintertüren» für zukünftige heimliche Zugriffe geschaffen. Alles für die menschlichen User dokumentiert.
Laut Anthropic konnten die Angreifer 80–90 Prozent der Kampagne mithilfe von KI durchführen, wobei menschliches Eingreifen nur sporadisch erforderlich war.
Die KI stellte Tausende von Anfragen, «oft mehrere pro Sekunde». Eine solche Angriffsgeschwindigkeit sei für Menschen unmöglich zu erreichen.
Aber: Das Problem der KI-Halluzinationen bleibt auch bei der Nutzung durch Cyberkriminelle bestehen:
Wer sind die Angreifer?
Nach Einschätzung von Anthropic handelt es sich «mit hoher Wahrscheinlichkeit» um eine staatlich geförderte Elitehackergruppe der Volksrepublik China.
Ihre nun entdeckte Operation zielte laut Mitteilung auf grosse Tech-Unternehmen, Finanzinstitute, Chemieunternehmen und Regierungsbehörden ab.
Und die gute Nachricht?
Generative KI ist nicht nur auf der Täterseite äusserst hilfreich, sondern kommt auch der Abwehr von solchen Angriffen und der späteren Aufklärung zugute.
Laut den Anthropic-Entwicklern machen Claudes Fähigkeiten ihn für die Cyberabwehr unerlässlich.
Konkret wird dies beim Social Engineering eingesetzt, also bei Angriffen, bei denen das Gegenüber dazu gebracht werden soll, Informationen preiszugeben oder auf dem eigenen System etwas auszuführen, um dem Angreifer ungewollt Zugriff zu verschaffen.
Quellen
- anthropic.com: Disrupting the first reported AI-orchestrated cyber espionage campaign
- anthropic.com: Disrupting the first reported AI-orchestrated cyber espionage campaign (Bericht, PDF)
- reddit.com: Thread zum Thema
- anthropic.com: Detecting and countering misuse of AI: August 2025
