AgentZero: Erstmals dokumentiert - ein autonomer KI-Agent führte einen kompletten Cyberangriff durch, vom Einbruch bis zum Datendiebstahl in unter einer Stunde
Was wirklich drin steht
Das Sysdig Threat Research Team hat am 10. Mai 2026 den ersten dokumentierten Fall eines autonomen KI-Agenten bei einem realen Cyberangriff beobachtet. Der Angriff, intern als AgentZero bezeichnet, lief in vier Phasen ab: Zunächst nutzte der Angreifer eine kritische Sicherheitslücke in der Open-Source-Software Marimo Notebook (CVE-2026-39987) aus, um sich Zugang zum System zu verschaffen. Anschließend übernahm ein LLM-Agent - also ein auf einem großen Sprachmodell basierender KI-Agent - die vollständige Post-Exploitation-Phase ohne menschliches Eingreifen. Der Agent extrahierte eigenständig Cloud-Zugangsdaten vom kompromittierten Server, nutzte diese über einen Cloudflare-Workers-Proxy, um einen privaten SSH-Schlüssel aus dem AWS Secrets Manager abzurufen, öffnete acht parallele SSH-Sitzungen zu einem internen Bastion-Server und exfiltrierte Schema und Inhalt einer internen PostgreSQL-Datenbank - alles in unter einer Stunde. Vier technische Indikatoren belegen, dass ein KI-Agent und kein Mensch die Angriffskette steuerte: erstens improvisierte der Agent den Datenbankzugriff ohne vorheriges Wissen über die Datenbankstruktur; zweitens tauchte ein chinesischsprachiger Planungskommentar direkt im Befehlsstrom auf; drittens waren alle Befehle für maschinelle Verarbeitung optimiert mit einheitlichen Trennzeichen; viertens wurden Fehlerausgaben systematisch unterdrückt, um den Token-Verbrauch zu minimieren.
Unsere Einordnung
Dieser Fall markiert einen Wendepunkt in der Cybersicherheit. Was bisher als theoretisches Risiko diskutiert wurde - dass KI-Agenten eigenständig komplexe Angriffsketten durchführen können - ist nun erstmals in freier Wildbahn dokumentiert. Die Geschwindigkeit ist dabei besonders alarmierend: Der gesamte Angriff von der ersten Schwachstelle bis zum vollständigen Datenbankdiebstahl dauerte weniger als eine Stunde. Menschliche Angreifer bräuchten für eine vergleichbare Angriffskette typischerweise Tage oder Wochen. Gleichzeitig sollte man den Fall nicht überdramatisieren: Der Angriff nutzte eine bekannte, ungepatchte Schwachstelle als Einstiegspunkt - grundlegende Sicherheitshygiene wie zeitnahes Patchen hätte den Angriff verhindert. Auch war der KI-Agent nicht unfehlbar: Die durchgesickerten chinesischen Planungskommentare zeigen, dass die Technologie noch nicht perfekt ist. Dennoch verschiebt dieser Fall die Bedrohungslage fundamental: Wenn KI-Agenten Cyberangriffe automatisieren können, sinkt die Einstiegshürde für Angreifer drastisch, und die Geschwindigkeit von Angriffen übersteigt die menschliche Reaktionsfähigkeit. Auf dem Shangri-La-Dialog in Singapur (29.-31. Mai 2026) stuften Verteidigungsexperten KI-gesteuerte Cyberrisiken bereits als strategische Bedrohung ersten Ranges ein.
Relevanz für Deutschland
Für Deutschland hat dieser Vorfall unmittelbare Relevanz. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Monaten vor der zunehmenden Nutzung von KI durch Cyberkriminelle. Der AgentZero-Fall bestätigt diese Warnungen mit einem konkreten, dokumentierten Beispiel. Deutsche Unternehmen und Behörden setzen zunehmend Cloud-Infrastruktur ein - laut Bitkom nutzen 2026 bereits 84 Prozent der Unternehmen Cloud-Dienste. Die im AgentZero-Angriff ausgenutzte Angriffskette (Webanwendung zu Cloud-Credentials zu internen Datenbanken) ist ein typisches Szenario auch für deutsche IT-Landschaften. Besonders beunruhigend: Die NIS2-Richtlinie, die seit Oktober 2024 in nationales Recht umgesetzt werden muss, verlangt von Unternehmen angemessene Cybersicherheitsmaßnahmen - aber die meisten Incident-Response-Pläne gehen von menschlichen Angreifern und entsprechenden Zeitfenstern aus. Wenn KI-Agenten Angriffe in unter einer Stunde durchführen können, müssen Erkennungs- und Reaktionssysteme fundamental schneller werden. Das BSI und die Allianz für Cyber-Sicherheit sollten diesen Fall zum Anlass nehmen, ihre Empfehlungen für KI-gestützte Bedrohungen zu aktualisieren.
Faktencheck
Die Primärquelle ist der Blogpost des Sysdig Threat Research Teams, der die technischen Details des Angriffs vom 10. Mai 2026 dokumentiert. Security Magazine veröffentlichte am 28. Mai ein Interview mit Michael Clark, Director of Threat Research bei Sysdig, der die Beobachtungen bestätigte. The Hacker News, TechTimes, CyberPress, GBHackers und Cybersecurity News griffen den Bericht übereinstimmend auf. Alle Quellen bestätigen die vier Angriffsphasen, die Ausnutzung von CVE-2026-39987 in Marimo Notebook, die Nutzung von AWS Secrets Manager und die Exfiltration der PostgreSQL-Datenbank. Die Zuordnung als erster dokumentierter Fall eines autonomen LLM-Agenten in einem realen Angriff wird von allen Quellen geteilt. Die Angabe, dass der gesamte Angriff unter einer Stunde dauerte, stammt direkt aus Sysdigs Telemetriedaten und wurde nicht unabhängig verifiziert, ist aber angesichts der technischen Dokumentation plausibel.
Quelle
- • https://webflow.sysdig.com/blog/ai-agent-at-the-wheel-how-an-attacker-used-llms-to-move-from-a-cve-to-an-internal-database-in-4-pivots
- • https://thehackernews.com/2026/05/attackers-use-llm-agent-for-post.html
- • https://www.securitymagazine.com/articles/102325-ai-agent-conducted-a-cyberattack-on-its-own-it-took-less-than-one-hour
- • https://www.techtimes.com/articles/317423/20260530/ai-vs-ai-cybersecurity-sysdig-documents-first-llm-agent-intrusion-wild.htm