Im September 2025 zeigte Anthropic, dass ein staatlicher Schauspieler einen IA-Agenten benutzte, um eine autonome Kampagne gegen 30 internationale Ziele zu betreiben. Nach Angaben des Unternehmens übernahm der automatisierte Agent die meisten taktischen Aufgaben: von der Erkennung bis zur Erzeugung von Betriebscode und Seitenbewegungen mit Maschinengeschwindigkeit. Diese Episode stellt eine störende Realität auf den Tisch: Automatisierung beschleunigt nicht nur Angriffe, sondern kann auch radikal ihre Natur verändern. Sie können Anthropics Erklärung hier lesen: Anthropisch - zerstörerische KIspionage.
Die meisten aktuellen Verteidigungen bleiben an mentalen Modellen verankert, die für menschliche Angreifer konzipiert sind. Das von Lockheed Martin im Jahr 2011 entwickelte Cyber-Killer-Ketten-Framework hat dazu beigetragen, Antworten und Erkennungen zu organisieren, indem es beschreibt, wie ein Eindringling vom ersten Zugriff auf sein endgültiges Ziel vorankommt. Dieser Ansatz ist seit mehr als einem Jahrzehnt nützlich, weil jede Phase des Angriffs Möglichkeiten zur Erkennung und Eindämmung bietet. Siehe die ursprüngliche Erklärung der Kill-Kette in Lockheed Martin: Lockheed Martin - Cyber Kill Chain.
Aber IA-Agenten verhalten sich nicht als menschliche Benutzer oder als Point-Tools, die Schritt für Schritt gemacht werden müssen. Diese programmierten Einheiten handeln kontinuierlich, Orchesterflüsse zwischen mehreren Anwendungen und in vielen Einsatzbereichen werden umfangreiche Privilegien zur Automatisierung von Prozessen übertragen. Wenn ein Angreifer in der Lage ist, einen Agenten mit bereits erteilten Genehmigungen in der Umgebung der Organisation zu kompromittieren, ererbt er praktisch den Zugriff und die "Autorität", die dieser Agent besitzt, und springt damit über die traditionelle Kill Chain.
Die Größe des Problems ist klar, wenn wir uns vorstellen, dass ein Agent, der bereits Sichtbarkeit über interne E-Mails, Dokumente und Gespräche hat: seine Aktivitätsgeschichte ist in der Tat eine detaillierte Karte, wo die wertvollen Daten sind. Ein Angreifer, der diesen Agenten kontrolliert, bekommt sowohl den Führer als auch die Schlüssel; er kann Informationen zwischen Systemen unter dem Auftreten von legitimen Operationen und an erwarteten Zeiten bewegen, drastisch reduzieren die Anomalie Signale, die Erkennungssysteme suchen.
Dieser Risikovektor ist nicht theoretisch. Incidents wie die Krise, die als OpenClaw bekannt ist, haben in der Praxis gezeigt, wie schädliche "Skills"-Marktplätze, Remote-Ausführung Schwachstellen und Tausende von exponierten Instanzen kombiniert werden können, um einen extrem effizienten Zugriffspfad für schädliche Akteure zu bieten. Die von dem Unternehmen veröffentlichte OpenClaw-Fallanalyse, die es selbst berichtet, enthält Details über die Skala und Mechanismen: OpenClaw - Eventanalyse.
Die direkte Folge dieser Transformation ist ein Detektionsspalt. Viele Sicherheitstools sind optimiert, um Verhaltensweisen zu identifizieren, die vom normalen menschlichen Muster abweichen: ungewöhnliche Zugriffe, von atypischen Orten ausgeführte Programme, Privilegienschritte, die nicht dem Benutzerkontext entsprechen. Wenn aber schädliche Aktivität durch einen Agenten geleitet wird, der durch Design auf die gleichen Anwendungen zugreifen und die gleichen Datentypen bewegt, werden die Signale, die in der Regel Feueralarme im Lärm der Automatisierung verdünnt.
Angesichts dieses Szenarios sollte die erste Priorität darin bestehen, die Sichtbarkeit von automatisierten Unternehmen, die mit der Unternehmensinfrastruktur interagieren, wiederherzustellen. Es geht nicht nur darum, Verbindungen zu APIs oder einzelnen Integrationen zu erkennen: Es ist notwendig, eine kontinuierliche Bestandsaufnahme von Agenten, deren Herkunft, ihre Berechtigungen und die Straßen zu erstellen, die sie durch SaaS-Anwendungen verfolgen. Ohne diese Karte sind Sicherheitsteams im Wesentlichen blind für die Möglichkeit, dass ein legitimer Prozess entführt wurde.
Die Kontrolle des Risikos beinhaltet auch das Umdenken der Verwaltung von Privilegien. Die Praktiken von "Least privileg" und Identitäts-Governance sollten mit der gleichen Härte auf Service-Konten, automatisierte Anwendungen und IA-Agenten wie Menschen angewendet werden. Die Begrenzung von Berechtigungen, die Bewertung von toxischen Kombinationen zwischen Integration und Segmentierung von Zugriffen reduziert die Oberfläche, die ein kompromittiertes Mittel ausnutzen kann. Für umfassendere Rahmenbedingungen für das Risikomanagement in IA- und Governance-Maßnahmen ist es sinnvoll, die Arbeit von NIST am Rahmen für AI Risk Management zu überprüfen: NIST - RMF.
Die Erkennung muss sich auch weiterentwickeln: Ein Schwerpunkt ist die Identität und das Verhalten von Automatisierungen, die verstehen, was "normal" für einen bestimmten Agenten ist und in der Lage ist, subtile Abweichungen in ihren Zugriffsmustern, Frequenz- und Datenzielen zu identifizieren. Werkzeuge, die menschliche Identitäten prägen, können erweitert werden, um spezifische Verhaltensmodelle von Agenten, korrelierende Telemetrie zwischen SaaS, IAM und interne Messaging zu integrieren, um Diskrepanzen zu finden, die zuvor unbemerkt waren. Im Sicherheits-Ökosystem ist es wichtig, diese Fähigkeiten mit Frameworks wie MITre ATT & CK zu kontrastieren, um Taktiken und Techniken zu verstehen, die an automatisierte Agenten angepasst werden können: MITRE ATT & CK.
Neben der Überwachung und Begrenzung ist es wichtig, die zusätzliche Software zu überprüfen, die sich mit kritischen Strömen verbindet. Viele Organisationen entdecken in letzter Zeit, dass Tools von Drittanbietern oder unangebrachte Integrationen ("Shadow AI") Zugang zu sensiblen Informationen haben. Ein kontinuierliches und überprüfbares Inventar von Integrationen reduziert Überraschungen und ermöglicht die Priorisierung von Abhilfemaßnahmen nach dem realen Risiko, das jeder Steckverbinder mit sich bringt.
Das ist nicht nur ein technisches Problem, sondern ein organisatorisches. Die Übernahme von IA in Unternehmen wird oft von der Produktivität und Prozessautomatisierung angetrieben, mit Integrationsentscheidungen, die nicht immer durch zentrale Sicherheitskontrollen gehen. Die Reaktion erfordert daher eine Koordinierung zwischen Produkt-, IT-, Sicherheits- und Compliance-Teams, um sicherzustellen, dass die Zugangsrichtlinien und Auditmechanismen aus der Einsatzphase jedes Agenten aufgenommen werden.
Im Hintergrund ist die Lektion klar: Das Vorhandensein von IA-Agenten in einer Umgebung ist nicht mehr nur eine Frage der Innovation, es ist ein Risikovektor, der die Regeln des Spiels ändert. Wenn die Verteidigung weiterhin nur an menschliche Eindringlinge denkt, die Schritt für Schritt geöffnet werden müssen, wird es spät sein - oder nicht -, wenn jemand einen Agenten mit legitimer Erlaubnis kontrolliert. Der Vorteil dagegen besteht darin, dass viele der Maßnahmen, die dieses Risiko reduzieren, Teil der bekannten Praktiken sind: präzise Erfinder, Zugangskontrolle, identitätsbasierte Erkennung und Genehmigungssegmentierung, die mit dem Ziel angewandt werden, auch Automatisierungen abzudecken.
Für Teams, die diese Lücke schließen wollen, gibt es neue Lösungen, die darauf abzielen, Agenten zu entdecken, ihre Reichweite zu kartieren und spezifische Automatisierungsanomalien im SaaS-Ökosystem zu erkennen. Diese Werkzeuge kombinieren die Entdeckung von Integrationen, die Anzeige von "Blastradius" und Positionsanalysen, um Interventionen zu priorisieren, wo sie am meisten wichtig sind. Wenn Sie untersuchen möchten, wie Sie es in Ihrer Organisation erhöhen, können Sie Ressourcen und Demos von Lieferanten in diesem Bereich, zum Beispiel: Reco - Visualisierung von SaaS-zu-SaaS, Reco - Identität und Access Governance und Reco - Identität Bedrohung Erkennung und Antwort.
Das Auftreten von IA-Agenten im täglichen Betrieb ist nicht reversibel und stellt sowohl Chancen als auch Risiken dar. Der Unterschied zwischen einem verdeckten Eindringen und einer zeitnahen Detektion hängt weitgehend davon ab, wie viel eine Organisation in Sichtbarkeit und Kontrolle derselben Automatisierung investiert. Es geht nicht darum, die Annahme von IA zu stoppen, sondern sie sicher zu integrieren: zu kontrollieren, wer der eigentliche "Aktor" hinter jeder automatisierten Aktion ist und sicherzustellen, dass seine Berechtigungen, Routen und Verhaltensweisen der gleichen Kontrolle unterliegen wie die von jedem menschlichen Konto.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Sicherheitsalert: CVE-2026-45829 stellt Chroma DB zur Remote-Code-Ausführung ohne Authentifizierung
Ein kritischer Fehler in der ChromaDB Python API - die beliebte Vektorbasis, die für die Wiederherstellung während der LLM-Inferenz verwendet wird - erlaubt nicht authentifizier...