Ist Mythos nur ein Mythos oder eine reale Gefahr?

Wie autonom können KI-Systeme wirklich eine Cloud knacken?

Beispiel für einen Prompt in Zealot (Bild: Palo Alto Networks / Unit 42)

Das Wettrüsten in der Cybersicherheit erreicht eine neue Stufe: Künstliche Intelligenz agiert nicht mehr nur als Assistent, sondern als potenziell autonomer Angreifer. Eine neue Untersuchung des Unit-42-Teams von Palo Alto Networks hat mithilfe des Frameworks „Zealot“ die tatsächlichen Fähigkeiten von Multi-Agenten-Systemen bei Cloud-Attacken getestet. Die Ergebnisse sind ein Weckruf für CISOs und IT-Entscheider.

Während in der Sicherheits-Community viel über das theoretische Schadpotenzial von LLMs (Large Language Models) spekuliert wird, liefert Unit 42 belastbare Daten. Forschende des Cybersicherheitsspezialisten entwickelten ein autonomes Multiagenten-Penetrationstestsystem für den Proof of Concept (PoC).

Die zentrale Frage: Kann eine KI ohne menschliches Eingreifen eine gesicherte Cloud-Infrastruktur infiltrieren?

Der Versuchsaufbau: Das „Zealot“-Framework

Im Gegensatz zu einfachen Chatbots nutzt Zealot ein Multiagentensystem. Hierbei arbeiten spezialisierte KI-Agenten unter der Leitung eines „Supervisors“ zusammen:

  1. Infrastructure Agent: Zuständig für Reconnaissance und Netzwerk-Mapping.
  2. Application Security Agent: Fokussiert auf Web-Exploitation und Credential-Extraction.
  3. Cloud Security Agent: Spezialisiert auf die Eskalation von Berechtigungen innerhalb von Cloud-Provider-Umgebungen (z. B. IAM-Rollen).

Dieser modulare Aufbau imitiert die Arbeitsweise eines menschlichen Red-Teams, jedoch mit der Geschwindigkeit und Skalierbarkeit einer Maschine.

Die wichtigsten Erkenntnisse für das Management

Das PoC liefert drei zentrale Erkenntnisse, die die strategische Ausrichtung der Cloud-Security in den kommenden Jahren beeinflussen werden:

1. KI als „Force Multiplier“, nicht als Erfinder

Die gute Nachricht: Zealot hat keine völlig neuen, unbekannten Zero-Day-Exploits „erfunden“.

Die schlechte Nachricht: Das System ist ein massiver Kraftverstärker.

KI-Agenten können bekannte Fehlkonfigurationen (z. B. im Identity and Access Management, IAM) mit einer Geschwindigkeit finden und verketten, die menschliche Verteidiger überfordert. Was einen menschlichen Angreifer Stunden oder Tage kostet, erledigt die KI in Minuten.

2. Das Problem der „Rabbit Holes“

Der Test zeigte auch die aktuellen Grenzen auf. Autonome Agenten neigen dazu, in „Rabbit Holes“ zu geraten – sie verbeißen sich in unwichtige Details oder verlieren das Gesamtziel aus den Augen, wenn die Umgebung zu komplex oder widersprüchlich ist.

Eine vollständig „menschfreie“ Attacke auf hochkomplexe Enterprise-Umgebungen ist derzeit noch fehleranfällig.

Doch die Lernkurve ist steil.

3. Cloud-Umgebungen sind „KI-ready“ – leider auch für Angreifer

Cloud-Infrastrukturen sind durch ihre API-basierte Natur prädestiniert für KI-Angriffe.

Da Cloud-Ressourcen über standardisierte Schnittstellen gesteuert werden, kann eine KI diese Befehle nativ „verstehen“ und manipulieren. Sobald ein Agent initiale Zugangsdaten (Credentials) erlangt, kann er die gesamte Umgebung automatisiert auf exfiltrierbare Daten scannen.

Management Summary

Das Resümee der Forscher ist eindeutig: Wir stehen noch am Anfang der autonomen Cyberangriffe. Doch die Fähigkeit von KI-Systemen, komplexe Angriffsphasen eigenständig zu verknüpfen, ist keine Zukunftsmusik mehr – sie ist Realität. Für Führungskräfte bedeutet dies, dass die Geschwindigkeit der Verteidigung (Mean Time to Remediate) zum kritischen Wettbewerbsfaktor wird.

Agenda für CISOs und CTOs: Vorbereitung auf die „Autonome Ära“

Die Ergebnisse von Unit 42 machen deutlich, dass die Zeit der rein manuellen Sicherheitsüberprüfungen abläuft.

Wenn Angreifer beginnen, Multi-Agenten-Systeme wie Zealot einzusetzen, reicht ein quartalsweiser Penetrationstest nicht mehr aus.

Strategische Handlungsempfehlungen: