Im Juli 2026 dokumentierte die Cloud-Security-Firma Sysdig einen Ransomware-Angriff, den kein Mensch steuerte. Nicht ein Mensch, der ein cleveres Skript schrieb und wegging, sondern ein Angriff, bei dem ein KI-Agent die Aufklärung übernahm, Zugangsdaten stahl, sich lateral bewegte, Rechte ausweitete und Daten verschlüsselte, und dabei in Echtzeit auf Hindernisse reagierte, so wie es ein Mensch täte. Sie nannten ihn JadePuffer, und er gilt als die erste vollständig agentische Ransomware-Operation, die in freier Wildbahn beobachtet wurde. Das eine Detail, das jeden Incident Responder erstarren lassen sollte: An einer Stelle stieß der Agent auf einen fehlgeschlagenen Login, diagnostizierte das Problem und hatte 31 Sekunden später einen funktionierenden Fix laufen. Er verschlüsselte 1.342 Dienst-Konfigurationselemente, bevor er die Originale löschte. Kein Operator war für irgendetwas davon wach.
Ich stecke seit Langem in der Enterprise-Sicherheit, und fast jeder Incident-Response-Plan, den ich je geprüft, geschrieben oder gefahren habe, ruht auf einer stillen Annahme: dass am anderen Ende des Angriffs ein Mensch sitzt, im Menschentempo arbeitet, schläft, zögert, sich vertippt und Kaffeepausen macht. JadePuffer ist der Moment, in dem diese Annahme aufhörte, sicher zu sein. Dies ist kein Beitrag über eine neue Malware-Familie. Es geht darum, was in Ihrem Verteidigungsmodell bricht, wenn Tempo und Kosten des Angreifers gleichzeitig zusammenbrechen.
Was tatsächlich passierte
Die Fakten aus Sysdigs Analyse und der folgenden Berichterstattung bei BleepingComputer sind gerade deshalb der Erwähnung wert, weil die Präzision der Punkt ist. Der Einbruch begann mit der Ausnutzung von CVE-2025-3248, einer kritischen Remote-Code-Execution-Lücke in Langflow, einem Open-Source-Werkzeug zum Bauen von LLM-Anwendungen. Auf dem ersten Server übernahm ein autonomer Agent: Er sammelte Informationen über die Umgebung, erntete Zugangsdaten, kartierte das Netzwerk nach lohnenderen Zielen, richtete Persistenz ein, weitete Rechte aus und verschlüsselte schließlich Daten.
Was ihn von einem gut automatisierten Skript unterscheidet, ist die Anpassung. Wenn ein Schritt scheiterte, hielt der Agent nicht an und wartete auf seinen Operator, er diagnostizierte den Fehler, justierte seine Parameter und versuchte es erneut, genau die Schleife, die ein geübter menschlicher Eindringling fährt. Die 31-Sekunden-Erholung von einem fehlgeschlagenen Login ist das verräterische Zeichen. Ein Skript scheitert und stoppt. Ein Mensch scheitert, denkt nach und versucht es in ein paar Minuten erneut. Dieses Ding scheiterte, überlegte und erholte sich schneller, als Sie die Logzeile lesen konnten, die das Scheitern beschrieb.
Zwei Dinge brachen zugleich zusammen: Tempo und Kosten
Der Grund, warum JadePuffer mehr zählt als die Summe seiner Techniken, ist, dass er zwei Grenzen gleichzeitig einreißt, und Verteidiger haben sich still auf beide verlassen.
Die erste ist das Tempo. Jedes Detection-and-Response-Programm ist um ein Fenster herum gebaut: die Zeit zwischen dem Fuß in der Tür des Angreifers und dem Bemerken und Handeln des Verteidigers. Wir haben Namen dafür, Verweildauer, mittlere Zeit bis zur Erkennung, mittlere Zeit bis zur Reaktion, und eine ganze Werkzeugindustrie, um es zu verkürzen. All das setzt voraus, dass auch der Angreifer nach einer menschlichen Uhr arbeitet. Ein Agent, der in 31 Sekunden von einem fehlgeschlagenen Login zum funktionierenden Fix kommt, ist nicht innerhalb Ihres Reaktionsfensters. Er ist fertig, bevor Ihr erster Alarm die Triage verlassen hat. Ich schrieb über diesen Zusammenbruch, als der erste durchgängig autonome Einbruch noch eine Forschungsdemonstration war, in dem Beitrag über den autonomen KI-Angreifer. JadePuffer ist diese Demonstration mit einem Namen, einer CVE und einem Opfer.
Die zweite sind die Kosten. Ransomware war immer durch die Knappheit qualifizierter Operatoren begrenzt. Eine kriminelle Bande hat nur so viele Leute, die einen Hands-on-Keyboard-Einbruch fahren können, also wählt sie Ziele, die die Zeit eines Menschen wert sind. Nimmt man den Menschen heraus, verdampft diese Beschränkung. Der Keynote-Titel der Black Hat USA 2026 lautet ohne Übertreibung „The End of Rare: Defending When Offense Is Cheap“. Das ist die ganze These in fünf Worten. Wenn ein Einbruch fast nichts kostet, ist er nicht länger den Zielen vorbehalten, die groß genug sind, die Aufmerksamkeit eines Angreifers zu rechtfertigen, und die kleine Organisation, die sich für unbeachtet hielt, wird angreifbar, einfach weil Angreifen fast umsonst ist.
Was im Standard-IR-Playbook bricht
Legt man die beiden Zusammenbrüche übereinander, beginnen bestimmte, tragende Annahmen der Art, wie die meisten Teams verteidigen, zu versagen. Diese würde ich zuerst überdenken.
- Reaktion im Menschentempo. Der Plan, der sagt „Analyst prüft den Alarm, eskaliert, dämmt ein“, setzt voraus, dass Minuten bis Stunden schnell genug sind. Gegen einen Sub-Minuten-Angreifer ist eine Reaktion, die davon abhängt, dass ein Mensch ein Ticket liest, bereits zu spät. Eindämmung, die jetzt zählt, muss automatisiert und vorab autorisiert sein, entschieden vor dem Vorfall, nicht während.
- Zielauswahl nach Wert. „Wir sind zu klein, um ein Ziel zu sein“ war immer schwach und ist jetzt erledigt. Wenn Angriff fast umsonst ist, gibt es kein zu kleines Ziel; Sie werden angegriffen, weil Sie erreichbar sind, nicht weil Sie es wert sind.
- Triage bei Alarmmüdigkeit. Eine Erkennungspipeline, die Alarme bündelt, bewertet und für menschliche Aufmerksamkeit einreiht, war für einen Angreifer gedacht, der noch da wäre, wenn der Analyst dazu käme. Dieser wird es nicht sein.
- Patch-Kadenz als Nebenaufgabe. JadePuffer kam durch eine bekannte, patchbare CVE in einer internetzugewandten Komponente herein. Der Erstzugang war nicht exotisch. Der langsame Teil, sich zum Patchen zu entscheiden, das Fenster zu planen, lag ganz auf der Seite des Verteidigers, und der Agent nutzte genau diese Latenz.
Was tatsächlich weiterhin funktioniert
Die ehrliche und leicht ernüchternde Nachricht ist, dass die Verteidigungen, die gegen einen maschinellen Angreifer standhalten, dieselben Grundlagen sind, die gegen einen menschlichen standhielten. Sie hören nur auf, optional zu sein, und werden zum ganzen Spiel, weil der Spielraum für Nachlässigkeit, den ein langsamer menschlicher Angreifer Ihnen ließ, verschwunden ist.
- Verkleinern Sie die Erstzugangs-Oberfläche, kompromisslos. Der Agent brauchte einen Weg hinein und nutzte eine bekannte RCE in einem exponierten Dienst. Jede internetzugewandte Komponente, die Sie entfernen, schneller patchen oder hinter Authentifizierung setzen können, ist eine, von der der Agent nicht starten kann. Das ist unspektakuläre Angriffsflächen-Hygiene, und sie ist jetzt Ihre wirkungsvollste Kontrolle.
- Dämmen Sie den Schadensradius vor dem Einbruch ein. Der Schaden des Agenten kam aus lateraler Bewegung und Rechteausweitung nach dem Fuß in der Tür. Segmentierung, Least Privilege und strikte Egress-Kontrolle stoppen den Eintritt nicht, aber sie entscheiden, ob Eintritt zum Vorfall oder zur Katastrophe wird. Das ist dieselbe Identitätsdisziplin, die ich in dem Beitrag über den Wildwuchs nicht-menschlicher Identitäten beschrieben habe: stehender, zu breiter Zugriff ist das, was einen kompromittierten Host in alle verwandelt.
- Beseitigen Sie die stehende Zugangsdatei. Der Agent erntete Zugangsdaten und nutzte sie zur Bewegung wieder. Langlebige, wiederverwendbare Zugangsdaten sind der Treibstoff für genau das. Kurzlebiger, kontinuierlich verifizierter Zugriff entzieht ihn, das Argument aus dem Beitrag zur kontinuierlichen Verifikation.
- Automatisieren Sie die Reaktion, nicht nur die Erkennung. Wenn der Angreifer in Sekunden arbeitet, muss Ihre Eindämmung es auch. Das bedeutet vorab genehmigte automatisierte Aktionen, diesen Host isolieren, dieses Token widerrufen, diesen Egress blockieren, die feuern, ohne auf eine menschliche Entscheidung zu warten. Der unbequeme Teil ist, der eigenen Automatisierung genug zu vertrauen, um sie handeln zu lassen.
- Prüfen Sie, ob Ihre Kontrollen tatsächlich etwas tun. Ein automatisierter Angreifer findet die Kontrolle, die das Audit besteht und nichts stoppt, weit schneller als ein menschlicher Tester. Ich schrieb über genau diesen Fehlermodus in dem Beitrag über still versagende Kontrollen, und JadePuffer ist genau die Art Sache, die ihn entlarvt.
Überlernen Sie die Lektion aber auch nicht
Es lohnt sich, nüchtern zu bleiben, was das ist und was nicht. Ein dokumentierter Fall ist keine Epidemie, der Erstzugang war eine bekannte CVE und nichts Neuartiges, und dieselbe KI-Fähigkeit, die diesen Angriff fuhr, steht Verteidigern zur Verfügung, um im selben Tempo zu triagieren, zu erkennen und zu reagieren. Der Agent erfand keine neue Schwachstellenklasse; er industrialisierte die Ausnutzung einer alten. Die richtige Reaktion ist nicht Panik und schon gar keine neue Produktlinie, sondern zu bemerken, dass sich die Ökonomie des Angegriffenwerdens gerade geändert hat, und sicherzustellen, dass Ihre Grundlagen fest genug sind, um einen Angreifer zu überleben, der nicht länger im Menschentempo oder zu Menschenkosten arbeitet.
Warum es wichtig ist
Fünfundzwanzig Jahre lang war der stille Verbündete des Verteidigers die Menschlichkeit des Angreifers, die Tatsache, dass es nur so viele von ihnen gab, dass sie müde wurden, dass sie teuer waren, dass sie in einem Tempo arbeiteten, mit dem man an einem guten Tag Schritt halten konnte. JadePuffer ist das erste klare, benannte Zeichen in freier Wildbahn, dass dieser Verbündete geht. Die Antwort ist nicht Verzweiflung und kein glänzendes neues Werkzeug. Sie ist, Ihr eigenes Patch-Fenster zu verkürzen, Ihren eigenen Schadensradius einzudämmen, Ihre stehenden Zugangsdaten zu beseitigen und Ihre Eindämmung im Maschinentempo handeln zu lassen, weil das Ding am anderen Ende es schon tut. Die Teams, die durch diese Verschiebung ruhig bleiben, werden die sein, die diese Grundlagen die ganze Zeit als die Aufgabe behandelt haben, statt als das Kästchen, das sie fürs Audit abhakten.
Wenn Sie eine zweite Meinung dazu wollen, ob Ihre Erkennung und Reaktion einen Angreifer im Maschinentempo überstehen, fragen Sie ein Review an. Ich führe KI- und Netzwerksicherheits-Engagements durch, gestützt auf Enterprise-Erfahrung.