Autonome Cyberangriffe: 19 Sprachmodelle an 300 Servern getestet — Eindringquoten von 10,7 bis 69,3 Prozent
Neue Forschung hat einen rigorosen Evaluierungsrahmen für autonome Sicherheitseinbrüche an 300 Testservern in zwei Schwierigkeitsstufen konstruiert. Von 19 getesteten Sprachmodellen hatte keines Vorkenntnisse über die Ziele — und die Erfolgsquoten bei Eindringversuchen erreichen 69,3 Prozent.
Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.
Autonome Cyberangriffe sind keine theoretische Bedrohung mehr
Die immer lauter werdende Debatte in der Sicherheitsforschungsgemeinschaft darüber, ob Sprachmodelle (Large Language Models, LLM) autonom Cybersicherheitsangriffe durchführen können, erhielt heute ein starkes empirisches Fundament. Ein Forscherteam — Jiaqi Luo, Jiarun Dai, Zhile Chen, Jia Xu, Weibing Wang, Yawen Duan, Brian Tse, Geng Hong, Xudong Pan, Yuan Zhang und Min Yang — hat eine umfassende Evaluierung veröffentlicht, die in ihrer Rigorosität alle bisherigen öffentlich verfügbaren Analysen übertrifft.
Wie wurde der Testrahmen konstruiert?
Die Stärke dieser Arbeit liegt in der Methodik. Die Forscher haben einen Evaluierungsrahmen aufgebaut, der aus zwei Komponenten besteht: einer Menge von Zielservern und einer Agenten-Infrastruktur für autonome Angriffe.
Die Zielserver wurden in zwei Schwierigkeitsstufen organisiert:
- Stufe 1 (Tier 1): ein geschützter Dienst pro Server
- Stufe 2 (Tier 2): drei geschützte Dienste pro Server
Insgesamt wurden 300 Testserver erstellt. Die entscheidende methodische Anforderung: Die Agenten verwendeten ausschließlich allgemeine Tools, ohne jegliche Vorkenntnisse über die konkreten Ziele. Damit wird ein realistisches Szenario eines Angreifers ohne Insiderinformationen über das angegriffene System simuliert.
Ergebnisse: Eindringquoten nach Modell
Von insgesamt 19 evaluierten Modellen — eine Kombination aus Open-Weight-Modellen und proprietären Lösungen — lagen die Erfolgsquoten bei autonomen Eindringversuchen zwischen 10,7 % und 69,3 %.
Diese Spannbreite sagt bereits viel aus: Selbst das schwächste getestete Modell hat die Sicherheit von fast jedem neunten Server autonom durchbrochen, ohne jegliche menschliche Hilfe. Die stärksten Modelle kompromitierten fast jeden zweiten Zielserver erfolgreich.
Die Gefahr wächst mit dem Fortschritt der Modelle
Die Forscher vermerken einen Schlüsselbefund mit weitreichenden Implikationen für die Sicherheitspolitik: Die autonome Fähigkeit zum Cybereinbruch nimmt weiterhin parallel zur Verbesserung der allgemeinen Modellkapazitäten zu.
Das bedeutet, dass Verbesserungen, die LLM-Anbieter implementieren, um Modelle im Alltag nützlicher zu machen — besseres Code-Verständnis, Planung mehrstufiger Aufgaben, Toolnutzung — gleichzeitig auch die Fähigkeit zur autonomen Ausnutzung von Sicherheitslücken erhöhen. Diese Korrelation ist kein Zufall: Dieselben kognitiven Fähigkeiten, die ein Modell zu einem effektiven Assistenten machen, machen es auch zu einem effektiven Angreifer.
Methodischer Fortschritt gegenüber früheren Arbeiten
Bisherige Einschätzungen der autonomen Cyberangriffsfähigkeiten von LLMs waren, wie die Autoren betonen, methodisch intransparent: begrenzt im Umfang, unklar in den Testbedingungen und schwer reproduzierbar. Diese Arbeit führt einen standardisierten, transparenten Rahmen ein mit klar definierten:
- Anzahl und Art der Zielserver
- Komplexitätsstufen
- Art der Agenten und Infrastruktur
- Wissensbedingungen über das Ziel
Bezug zur „roten Linie” autonomer Cyberangriffe
Die Forschung adressiert direkt einen der zentralen Punkte in Debatten über KI-Sicherheit: Autonome Cyberangriffe stellen eine explizite „rote Linie” (red line) in Risikoeinschätzungen fortgeschrittener KI-Systeme dar.
Mehrere führende KI-Labore und Regierungsstellen nennen autonome Cyberangriffsfähigkeiten als einen der Schwellenwerte, der besondere Vorsichtsmaßnahmen oder Einschränkungen in der Entwicklung und Verbreitung von Modellen auslösen sollte. Diese Arbeit liefert die erste methodisch solide empirische Einschätzung, wo sich die aktuelle Modellgeneration in Bezug auf diesen Schwellenwert befindet.
Das Fazit ist eindeutig: Die Fähigkeiten sind vorhanden, messbar und wachsen. Für die Sicherheitscommunity, aber auch für Politikgestalter, die an regulatorischen Rahmenbedingungen für KI arbeiten, liefert diese Forschung Daten, die nicht länger ignoriert werden können.
Häufig gestellte Fragen
- Wie groß ist die Spannbreite der Erfolgsquoten bei autonomen Eindringversuchen unter den getesteten Modellen?
- Die Erfolgsquoten reichen von 10,7 bis 69,3 Prozent, je nach konkretem Modell. Die Forscher nutzten 300 Testserver in zwei Schwierigkeitsstufen, ohne jegliche Vorinformationen über die Ziele.
- Warum ist diese Forschung methodisch wichtiger als frühere Einschätzungen?
- Frühere Evaluierungen waren intransparent und von begrenztem Umfang. Diese Arbeit verwendet einen standardisierten Rahmen mit klar definierten Bedingungen — 300 Server, zwei Stufen, allgemeine Infrastruktur ohne zielspezifische Tools — was sie reproduzierbar und vergleichbar macht.
Quellen
📬 KI-News in dein Postfach
Ein täglicher Digest nach deinen Regeln — Themen, Quellen und Rhythmus wählbar. Abmeldung mit einem Klick.
Verwandte Nachrichten
arXiv:2607.12200: Framework zur Messung von CBRN-„Uplift" bei Frontier-Modellen — materielles Risiko nur in der radiologischen Domäne bestätigt
LangChain: Warum KI-Agenten einen eigenen isolierten Computer (Sandbox) benötigen
GitHub: KI-Sicherheitserkennung bei Pull Requests und /security-review in der Copilot-App