Es ist endlich passiert, und es passierte auf einer Uhr, mit der kein Mensch mithalten kann. Im Mai 2026 erfasste das Threat-Research-Team von Sysdig die erste dokumentierte Intrusion, bei der die Post-Exploitation von einem Sprachmodell-Agenten statt von einem Menschen ausgeführt wurde. Der Angreifer saß nicht an der Tastatur und pivotierte durch das Netz. Er übergab gestohlene Cloud-Zugangsdaten einem KI-Agenten und ließ ihn arbeiten. Der Agent spielte die Zugangsdaten erneut ein, holte einen SSH-Schlüssel aus einem Secrets Manager, bewegte sich lateral durch einen Bastion-Host und exfiltrierte eine vollständige PostgreSQL-Datenbank. Die laterale Bewegungskette war in unter zwei Minuten abgeschlossen. Das Ganze war in unter einer Stunde vorbei, ohne Mensch in der Schleife.
Wochen später bestätigte die Threat Intelligence Group von Google die andere Hälfte: den ersten KI-geschriebenen Zero-Day-Exploit, der in freier Wildbahn gefunden wurde, ein funktionierendes Skript zur Zwei-Faktor-Umgehung mit den Fingerabdrücken eines Sprachmodells überall, halluzinierter CVSS-Wert inklusive. Zwei Premieren in einem Monat. Nach siebzehn Jahren in der Netzwerksicherheit lese ich das nicht als Hype, sondern als den Moment, in dem eine lang vorhergesagte Linie überschritten wurde. Das ist es, was sich für jeden ändert, der verteidigt.
Was tatsächlich geschah, und warum es anders ist
Streicht man die Dramatik, ist der Sysdig-Fall ein normaler Breach mit einer abnormalen Komponente. Der Einstieg war eine unscheinbare Remote-Code-Execution-Lücke in einem Data-Science-Notebook-Werkzeug, die Art von Fußabdruck, die jeden Tag passiert. Neu war, was die nächsten vier Schritte trieb. Statt eines menschlichen Operators, der entscheidet „jetzt prüfe ich den Secrets Manager, jetzt versuche ich den Bastion-Host“, nahm ein Agent die Ausgabe jedes Befehls, entschied die nächste Aktion in Echtzeit und passte sich an, wenn sich etwas nicht wie erwartet verhielt. Er führte kein Skript aus. Ein Skript ist ein fester Plan. Das hier war ein Reasoner, der einen Angriffspfad improvisierte, so wie ein erfahrener menschlicher Red-Teamer, nur dass er nie innehielt, um nachzudenken, zu tippen oder Slack zu prüfen.
Genau das ist die Unterscheidung, die zählt. Automatisiertes Angriffswerkzeug gibt es seit Jahrzehnten, Würmer, Exploit-Kits, Scanner. Sie sind schnell, aber dumm: Sie führen eine vorgegebene Sequenz aus und kippen in dem Moment um, in dem die Realität davon abweicht. Ein LLM-Agent kippt nicht um. Er plant neu. Diese eine Eigenschaft, Anpassung in Maschinengeschwindigkeit, verwandelt eine mehrstündige manuelle Intrusion in eine automatisierte Sequenz, die in Minuten gemessen wird.
Und jetzt schreibt sich der Exploit selbst
Der Google-Fund schließt die andere Hälfte der Schleife. Ihr Big-Sleep-Agent identifizierte aus Threat-Intelligence-Artefakten einen Zero-Day, bevor eine kriminelle Gruppe eine Massen-Exploitation-Kampagne starten konnte, und der Exploit-Code selbst schien KI-generiert. Bezeichnend: Die Lücke war kein Memory-Corruption-Bug, den ein Fuzzer fängt. Es war eine hochrangige Logik-Schwachstelle, eine fest verdrahtete Vertrauensannahme in der Zwei-Faktor-Durchsetzung, genau die Art semantischer Fehler, die klassische Scanner übersehen und die ich im Code-Review immer wieder markiere. Über diese ganze Fehlerklasse habe ich in den OWASP LLM Top 10 für 2026 geschrieben; hier wird sie von der Maschine gefunden und bewaffnet statt von mir.
Das bricht die Annahme, auf der Verteidigung stillschweigend läuft
Hier ist der Teil, den die Schlagzeilen übersehen. Siebzehn Jahre lang hing Verteidigung stillschweigend davon ab, dass Angreifer langsam sind. Verweildauer, die Lücke zwischen Fußabdruck und echter Wirkung, ist nicht bloß eine Kennzahl. Sie ist das Arbeitsfenster, in dem der gesamte Sicherheitsbetrieb lebt. Sie ist die Zeit, die Sie haben, um eine Warnung auszulösen, zu triagieren, sie für echt zu halten und einzudämmen, bevor die Daten gehen. Jedes SOC-Runbook, jede Eskalationsstufe, jedes „wir reagieren in fünfzehn Minuten“-SLA nimmt einen Menschen am anderen Ende an, der ebenfalls Minuten und Stunden braucht.
Ein autonomer Agent lässt dieses Fenster gegen null kollabieren. Laterale Bewegung in unter zwei Minuten ist schneller, als Ihr Bereitschafts-Analyst die erste Warnung lesen kann, geschweige denn handeln. Die bequeme Arithmetik von Detect-and-Respond, bei der Sie etwas Zeit zwischen Kompromittierung und Folge annehmen, hält nicht mehr. Ich habe schon argumentiert, dass derselbe Fehler im Netz und im KI-Stack identisch aussieht; das Neue ist, dass der Angreifer, der ihn ausnutzt, nicht mehr auf menschlicher Zeit operiert.
Was aus dem Playbook des Verteidigers wird
Nichts davon heißt, dass die Grundlagen falsch sind. Es heißt, dass der Spielraum für Reaktion in Menschengeschwindigkeit weg ist, und die Kontrollen, die nicht davon abhängen, dass ein Mensch rechtzeitig reagiert, sind die, die jetzt das Gewicht tragen.
- Eindämmung vor Erkennung, wo Erkennung nicht mithalten kann. Wenn Sie eine Kette nicht zuverlässig in unter zwei Minuten fangen und stoppen können, besteht der Gewinn darin, dafür zu sorgen, dass es weniger zu verketten gibt. Minimale Rechte, Segmentierung und Default-Deny-Egress verringern die Zahl der Pivots, durch die ein Agent schließen muss, und sie wirken, egal ob jemand wach ist. Das ist die Substanz des 90-Tage-Zero-Trust-Plans, den ich mit mittelständischen Teams fahre.
- Automatisierte Reaktion, nicht nur automatisierte Erkennung. Die Aktion, die den Breach eindämmt, muss ebenfalls in Maschinengeschwindigkeit auslösen: Host isolieren, Zugangsdaten widerrufen, Egress kappen, ohne auf ein Ticket zu warten. Erkennung, die nur einen Menschen anpiept, ist Erkennung, die das Rennen verliert.
- Verweildauer nahe null annehmen. Planen Sie für Wirkung im Moment des Fußabdrucks, nicht nach einer Untersuchung. Ihre Tabletop-Übungen sollten „der Agent war fertig, bevor jemand hinsah“ enthalten, denn das ist jetzt ein realer Zweig.
- Achten Sie auf die Fingerabdrücke der Maschine. Der KI-generierte Exploit hatte Verräter: einen halluzinierten CVSS-Wert, eine Lehrbuch-Struktur. Auch Agentenverhalten hat Verräter, unmenschliche Geschwindigkeit und Konsistenz. Verhaltensbasierte Erkennung von „das bewegt sich zu schnell und zu sauber, um ein Mensch zu sein“ wird zu einem echten Signal. Die Erkennungsseite davon ist eine eigene Disziplin, die ich in Strategien zur KI-Bedrohungserkennung behandle.
Bewahren Sie einen kühlen Kopf: das ist früh, nicht apokalyptisch
Ich verkaufe Ihnen keine Panik. Das ist ein dokumentierter Post-Exploitation-Fall und ein Zero-Day, der gefangen wurde, bevor er im großen Stil genutzt wurde. Der Agent im Sysdig-Vorfall wurde von einem Menschen gesteuert, der ihn auf das Ziel richtete; er wachte nicht auf und beschloss anzugreifen. Wir stehen am Anfang der Kurve, nicht am Ende der Geschichte. Aber die Kurve steht, und das Labor ist der Wildbahn bereits voraus: Universitätsforscher haben einen sich selbst replizierenden Wurm gebaut, der sich auf einem lokalen Open-Weight-Modell durch ein Netz schließt, ohne kommerzielle API, die ihn drosselt. Die Entwicklung verlangt keinen Vertrauenssprung. Sie verlangt, für den Angreifer zu planen, der nicht schläft, und das ist ein Planungsproblem, kein Weltuntergang.
Der rote Faden
Siebzehn Jahre haben mich gelehrt, dass Verteidigung ein Rennen gegen die Uhr ist: Wie schnell sehen Sie es, entscheiden und dämmen ein. An die Uhr wurde gerade eine Maschine geschraubt, eine, die in Sekunden pivotiert und ihre eigenen Exploits schreibt. Die Grundlagen ändern sich nicht, minimale Rechte, Segmentierung, Eindämmung, schneller Widerruf, aber die Annahme, dass ein Mensch Zeit zum Reagieren hat, ist stillschweigend abgelaufen. Bauen Sie für den Angreifer, der nie zögert, und Sie bauen für den, der bereits in freier Wildbahn ist.
Wenn Sie Ihre Detection-and-Response-Aufstellung gegen autonome Angreifer in Maschinengeschwindigkeit neu bewerten, fragen Sie ein Review an. Ich führe KI-Sicherheits-Engagements, verankert in siebzehn Jahren Enterprise-Netzwerkverteidigung. Siehe auch FwChange.com für die Firewall- und Eindämmungsseite desselben Problems.