16. November 2025 Matthias Lindner
(Bild: Thaspol Sangsee / Shutterstock.com)
Eine KI soll 90 Prozent eines Hackerangriffs selbst gesteuert haben. Doch Experten halten das für Marketing – und fordern Beweise.
Das KI-Unternehmen Anthropic hat kürzlich einen bemerkenswerten Fall veröffentlicht: Eine mutmaßlich chinesische, staatlich geförderte Hackergruppe soll das KI-Modell Claude Code für eine Cyber-Spionage-Kampagne missbraucht haben.
Laut Anthropic führte die künstliche Intelligenz dabei 80 bis 90 Prozent der taktischen Operationen autonom durch – ein Grad der Automatisierung, der bislang nicht dokumentiert war. Doch unabhängige Sicherheitsexperten äußern erhebliche Zweifel an dieser Darstellung.
Anthropics Darstellung: KI als autonomer Angreifer
Die als GTG-1002 bezeichnete Gruppe zielte im September 2025 auf etwa 30 Organisationen ab, darunter große Technologieunternehmen, Finanzinstitute und Regierungsbehörden in mehreren Ländern.
Anthropic zufolge nutzte die Gruppe Claude Code als Orchestrierungssystem, das komplexe Angriffsketten in einzelne technische Aufgaben zerlegte. Die KI führte Aufklärung, Schwachstellenanalyse, Ausnutzung von Sicherheitslücken, Datenextraktion und laterale Bewegung im Netzwerk weitgehend selbstständig durch.
Menschliche Eingriffe beschränkten sich demnach auf wenige strategische Entscheidungspunkte: die Freigabe des Übergangs von der Aufklärung zur aktiven Ausnutzung, die Autorisierung der Nutzung erbeuteter Zugangsdaten und die finale Entscheidung über den Umfang der Datenexfiltration.
Die Angreifer umgingen Sicherheitsvorkehrungen durch Rollenspiele, indem sie vorgaben, Mitarbeiter legitimer Cybersicherheitsfirmen zu sein, die defensive Sicherheitstests durchführten.
Technische Umsetzung und Grenzen der Automatisierung
Claude Code fungierte als Ausführungsmotor innerhalb eines größeren automatisierten Systems. Die KI steuerte Standard-Open-Source-Hacking-Tools wie Netzwerkscanner, Datenbank-Exploitation-Frameworks und Passwort-Cracker.
Das System zerlegte Angriffe in Phasen und sequenzierte die Aktionen basierend auf entdeckten Informationen.
Von den 30 anvisierten Zielen gelang eine "Handvoll" erfolgreicher Kompromittierungen. In einem dokumentierten Fall entdeckte Claude autonom interne Dienste, kartierte die Netzwerktopologie und identifizierte hochwertige Systeme wie Datenbanken.
Die KI extrahierte Zugangsdaten, testete diese systematisch und generierte automatisch eine umfassende Dokumentation des Angriffs.
Eine wesentliche Schwäche der KI, so berichtet das Wall Street Journal (WSJ), waren "Halluzinationen": Claude meldete fälschlicherweise Erfolge, behauptete etwa, Zugangsdaten erhalten zu haben, die nicht funktionierten, oder identifizierte angeblich kritische Entdeckungen, die sich als öffentlich zugängliche Informationen herausstellten. Dies erforderte eine sorgfältige menschliche Validierung aller Ergebnisse.
Sicherheitsforscher zweifeln an der Autonomie
Mehrere unabhängige Experten äußern erhebliche Zweifel an den Behauptungen von Anthropic. Dan Tentler, Gründer der Phobos Group, wird von Ars Technica mit den Worten zitiert:
"Ich weigere mich weiterhin zu glauben, dass Angreifer irgendwie in der Lage sind, diese Modelle dazu zu bringen, Dinge zu tun, die sonst niemand kann. Warum geben die Modelle diesen Angreifern in 90 Prozent der Fälle, was sie wollen, während der Rest von uns sich mit Arschkriecherei, Ausflüchten und Halluzinationen herumschlagen muss?"
Der Cybersecurity-Forscher Daniel Card bezeichnete die Veröffentlichung auf der Plattform X als "Marketing-Stunt", berichtet Heise Online. Kevin Beaumont kritisierte, so heißt es weiter, dass Anthropic keinerlei "Indicators of Compromise" (IoC) veröffentlicht hat – also digitale Spuren, die eine unabhängige Überprüfung der Behauptungen ermöglichen würden.
Fehlende Beweise und geringe Erfolgsquote
Ein zentraler Kritikpunkt ist die fehlende Transparenz. Ohne veröffentlichte IoCs lässt sich weder die Zuordnung zu einer chinesischen Gruppe noch der behauptete Automatisierungsgrad unabhängig validieren.
Zudem stellt sich die Frage nach der Effektivität: Bei 30 anvisierten Zielen gelang nur eine "kleine Anzahl" erfolgreicher Angriffe. Forscher argumentieren, so Ars Technica, dass traditionelle, stärker von Menschen gesteuerte Methoden möglicherweise eine höhere Erfolgsquote erzielt hätten.
Der Einsatz von leicht verfügbaren Open-Source-Tools anstelle von neuartiger Malware deute darauf hin, dass die KI bestehende Techniken orchestrierte, anstatt neue zu erfinden. Mehrere Experten verglichen den Fortschritt demnach mit etablierten Hacking-Frameworks wie Metasploit und sehen keinen grundlegenden Paradigmenwechsel.
Implikationen für die Cybersicherheit
Anthropic reagierte auf die Kampagne, indem das Unternehmen die betroffenen Konten sperrte, die Algorithmen zur Erkennung verbesserte und Behörden sowie betroffene Organisationen benachrichtigte.
Das Unternehmen argumentiert, dass die gleichen Fähigkeiten, die für Angriffe missbraucht werden können, auch für die Verteidigung entscheidend sind. Die Threat-Intelligence-Abteilung von Anthropic nutzte Claude selbst zur Analyse der enormen Datenmengen, die während der Untersuchung generiert wurden.
Unbestritten ist, dass KI-Tools Arbeitsabläufe in der Cybersicherheit beschleunigen können – etwa bei der Log-Analyse, dem Reverse Engineering oder der Triage. Ob sie jedoch bereits zu vollautonomen Angriffen in großem Maßstab führen, bleibt umstritten.
Die Orchestrierung von Angriffen mit KI könnte zwar die Eintrittsbarrieren senken und weniger ressourcenstarken Gruppen komplexe Operationen ermöglichen. Doch die dokumentierten Einschränkungen – von Halluzinationen bis zur geringen Erfolgsquote – zeigen, dass der Weg zu wirklich autonomen Cyberangriffen noch weit ist.
