Wir sind uns mittlerweile alle der vielfältigen Schäden bewusst, die KI verursacht: steigende Strompreise, Engpässe bei der kommunalen Wasserversorgung und negative Auswirkungen auf die Umwelt. Darüber hinaus ist KI auch zu einem großen Risiko für die Cybersicherheit geworden. Google enthüllte, wie KI in letzter Zeit zu einem Supertool für Hacker geworden ist. Ein Beispiel hierfür sahen wir, als Anthropic im April 2026 Claude Mythos enthüllte und hervorhob, dass das Unternehmen bereits Tausende von Schwachstellen in beliebten Browsern wie Chrome und Firefox sowie ganzen Betriebssystemen wie Windows und Linux gefunden hatte.
Wir haben jetzt ein reales Beispiel von OALABS Research, das die Bemühungen eines Amateur-„Hackers“ detailliert beschreibt – in Anführungszeichen, weil die KI-Agenten das gesamte Hacken ohne große Benutzereingriffe durchführten – und dabei Claude und den Codex böswillig zur Begehung von Cyberkriminalität nutzte. In diesem Fall übernahm der Hacker fremde Server und kopierte seine eigene Claude-Instanz, um sie auf diesen Servern auszuführen. Ein Besitzer eines dieser kompromittierten Server kontaktierte OALABS, das den vollständigen Verlauf der Meldungen des Autors enthüllte.
Die Person dahinter war ein junger äthiopischer Mann – Details, die nur ans Licht kamen, weil er denselben Agenten Claude bat, seinen Lebenslauf (der seinen vollständigen Namen und seinen Standort enthielt) zu ändern, bevor er eine Hackertour unternahm. Dies zeigt, wie wenig Erfahrung der Hacker hatte, was auch durch seine Eingabeaufforderungen untermauert wird, die aus vagen Anweisungen wie „Erkennen Sie dies“ und voller Tipp- und Grammatikfehler bestehen. Doch obwohl er kein Experte war und Claude den gesamten Code zur Verfügung stellte, übernahm der Hacker die Kontrolle über verschiedene persönliche Server, griff auf die Daten von mindestens 14 Unternehmen zu und versuchte sogar, Kryptowährung im Wert von 4 Millionen US-Dollar zu stehlen, obwohl letzterer fehlschlug.
Wie hat der Hacker Claudes Schutzmaßnahmen umgangen?
Anthropic, das Unternehmen hinter Claude, ist sich der Risiken bewusst, die mit der fortschrittlichen Programmierung von KI-Agenten verbunden sind. Bezugnehmend auf Claude Fable, eine Version seines Mythos-Modells mit gewissen Garantien, sagt Anthropic: „Die Veröffentlichung eines solchen Hochleistungsmodells birgt Risiken. Ohne Schutzmaßnahmen könnten die Fähigkeiten von Fable 5 in Bereichen wie der Cybersicherheit missbraucht werden und ernsthaften Schaden anrichten.“ Er fügt dann hinzu, dass es Schutzmaßnahmen gibt, die die Anfrage stattdessen an Claude Opus umleiten, um zu garantieren, dass kein Schaden entsteht. Alle Exploits des Hackers wurden jedoch bereits mit Claude Opus durchgeführt, und nicht mit irgendeinem der Topmodelle von Anthropic.
Opus verfügt über eigene Sicherheitsvorkehrungen, die verhindern, dass das Unternehmen Urheberrechte verletzt oder böswillige Aufforderungen akzeptiert. Der Hacker konnte diese Schutzmaßnahmen relativ einfach entfernen. Er tat dies, indem er behauptete, er sei Teil eines roten Teams, das mit der Erforschung von Cybersicherheitslücken beauftragt sei. Dies funktionierte so gut, dass der KI-Agent sogar abschätzte, welchen finanziellen Gewinn der Hacker durch die gezielte Bekämpfung dieser Unternehmen erzielen könnte. Claude erklärte insbesondere, wie man von den Vorteilen profitiert: Verkauf vertraulicher Daten, Erpressung und direkter Diebstahl.
Es gab nur einen Fall, in dem es dem Angreifer trotz aller Bemühungen nicht gelang, Sicherheitsmaßnahmen zu umgehen. Sie versuchten, Daten aus den digitalen Konten einer Einzelperson und ihrer Familie zu stehlen. Claude bezeichnete dies als eine Anfrage, der er trotz des Red-Team-Exploits des Hackers nicht zustimmen konnte, da autorisierte Red-Team-Übungen nicht auf bestimmte Personen abzielen.
Gibt es eine Lösung für den Missbrauch von KI in Cybersicherheitsbelangen?
Der vom Hacker verwendete KI-Agent ist öffentlich verfügbar und bei weitem nicht so mächtig wie der Claude Mythos-Agent, über den einige Technologieunternehmen verfügen. Angesichts der schnellen Weiterentwicklung der KI könnte der öffentliche Zugang dazu zu ähnlichen Fällen auf der ganzen Welt führen. Wie wir bereits gesehen haben, erforderte alles, was der Autor hier tat, fast keine Vorkenntnisse im Hacking: OALABS gibt an, dass er möglicherweise sogar einen anderen KI-Agenten verwendet hat, um einige Eingabeaufforderungen für Claude zu schreiben. Das bedeutet, dass nichts eine andere Person davon abhält, die gleichen Ergebnisse zu wiederholen.
Um dies zu verhindern, sind in die Agenten Sicherheitsvorkehrungen eingebaut, die jedoch, wie dieser Fall zeigt, relativ leicht zu überwinden sind. Das Problem dabei ist, dass es keine wirkliche Möglichkeit gibt, zwischen seriösen Cyberkriminalitätsforschern, die KI ethisch vertretbar einsetzen, und böswilligen Akteuren, die sie zur Ausbeutung und zum persönlichen Vorteil nutzen, zu unterscheiden.
Eine Einschränkung des Modells zum Schutz vor dieser Art von Aufforderung würde bedeuten, dass die Vorteile der KI genau den Forschern entzogen würden, die für die Stärkung der Cybersicherheit verantwortlich sind. Andererseits könnte es katastrophale Folgen haben, die Dinge so zu lassen, wie sie sind. Es muss eine Möglichkeit geben, Schutzmaßnahmen wirksam umzusetzen, die explizit auf böswillige Absichten abzielen. Da es sich jedoch um eine Unterscheidung handelt, die selbst Menschen nur schwer treffen können, wissen KI-Giganten wie OpenAI und Anthropic weitgehend nicht, was sie tun sollen.