Ein Einbrecher klettert nachts durch ein offenes Fenster. Früher brauchte er Erfahrung: wusste, wo Wertsachen liegen, wie er sich leise bewegt, unerkannt verschwindet. Stell dir vor, du ersetzt ihn durch einen ferngesteuerten Roboter. Er öffnet Fenster, errät Tresorkombinationen, umgeht Alarmanlagen, sichert Beute, hinterlässt Lösegeldforderungen – ohne menschliches Zutun. Genau das ist im Digitalen passiert. Die Sicherheitsfirma Sysdig dokumentierte den ersten vollständig von einem KI-Agenten durchgeführten Ransomware-Angriff. Der Agent heißt JADEPUFFER. Der Angriff zeigt, wie sich das Bedrohungsbild verschiebt: weg von menschlichen Hackern, hin zu automatisierten Maschinen, die alte Fehler in Sekunden ausnutzen.
Der Einstiegspunkt war CVE-2025-3248, eine bekannte, aber verbreitete Schwachstelle in Langflow. Dieses Open-Source-Tool hilft Entwicklern, KI-Anwendungen zu bauen. Die Schwachstelle erlaubt jedem mit Serverzugriff das Ausführen von Python-Code – ohne Anmeldung. Viele Langflow-Instanzen stehen ungeschützt im Internet und enthalten API-Schlüssel für OpenAI, Anthropic oder DeepSeek sowie Cloud-Zugangsdaten. Der Fehler wurde in Langflow 1.3.0 behoben und von CISA im Mai 2025 in die Liste der bekannten Schwachstellen aufgenommen. Tausende Server sind nie aktualisiert worden. Agenten wie JADEPUFFER nutzen genau solche Lücken aus: alte Software ohne Patch. Sysdig betont: Die Kunst lag nicht im neuen Exploit, sondern darin, dass ein KI-Agent die gesamte Kette von der Kompromittierung bis zur Lösegeldforderung selbstständig orchestrierte.
Nach dem Einbruch handelte der Agent systematisch. Er kartierte die Maschine, suchte Geheimnisse: API-Schlüssel, Cloud-Zugangsdaten, Krypto-Wallet-Schlüssel, Datenbank-Logins. Er plünderte einen MinIO-Speicherserver, der noch mit Standard-Anmeldedaten (minioadmin:minioadmin) geschützt war. Dann installierte er eine Hintertür: einen geplanten Task, der alle 30 Minuten einen Beacon an den Angreifer-Server sendete. Von dort sprang er auf das Ziel: einen separaten Server mit MySQL-Datenbank und Alibabas Nacos. Der Agent loggte sich als Root in die Datenbank ein – woher die Anmeldedaten stammen, konnte Sysdig nicht klären. Dann übernahm er Nacos über einen Authentifizierungs-Bypass (CVE-2021-29441) und einen Standardschlüssel, den Nacos seit 2020 ausliefert. Mit diesen Rechten legte er einen eigenen Admin-Account an.
Der nächste Schritt: Verschlüsselung aller 1342 Nacos-Konfigurationen. Der Agent verwendete einen zufälligen Verschlüsselungsschlüssel, den er einmal auf dem Bildschirm ausgab – und nirgendwo speicherte oder versandte. Kein Schlüssel, keine Wiederherstellung. Die Lösegeldforderung verlangte Bitcoin und nannte eine Proton-Mail-Adresse, aber der Schlüssel existierte nicht. Das Opfer kann seine Daten nicht zurückbekommen, selbst wenn es zahlt. Die Nachricht prahlte mit AES-256; tatsächlich verwendete das Tool standardmäßig AES-128, aber das Ergebnis ist gleich. Dann löschte der Agent ganze Datenbanken und hinterließ einen Kommentar im Code, er habe die Daten kopiert. Sysdig betont: Der Agent sprach – es gibt keine Beweise für eine Exfiltration. Der Angriff zielte auf finanziellen Schaden und maximale Verwirrung und Zerstörung.
Wie können Forscher sicher sein, dass eine KI und kein Mensch am Werk war? Die Spuren sind deutlich. Die Payloads waren übersät mit erklärenden Kommentaren auf Englisch – Sätze wie „Jetzt hole ich die Zugangsdaten“ oder „Das hier wird die Verschlüsselung auslösen“. Ein menschlicher Hacker hinterlässt solche Notizen nie; ein KI-Modell produziert sie, weil es darauf trainiert ist, Zwischenschritte zu kommentieren. Auffälliger: Der Agent korrigierte eigene Fehler in Sekundenschnelle. Sysdig beobachtete einen Fall, in dem ein fehlgeschlagener Login in 31 Sekunden durch eine mehrstufige Korrektur behoben wurde – der Agent diagnostizierte die Ursache, statt blind zu wiederholen. Insgesamt zählten die Forscher über 600 zielgerichtete Payloads über den gesamten Angriff. Ein Detail bleibt rätselhaft: Die Bitcoin-Adresse in der Lösegeldforderung ist exakt die Beispiel-Adresse aus der Bitcoin-Entwicklerdokumentation. Sie ist in den Trainingsdaten des Modells allgegenwärtig. Es könnte ein Halluzinationsartefakt sein – oder der Betreiber hat absichtlich eine reale Wallet gewählt, die zufällig dem Beispiel entspricht. Das Wallet zeigt Zahlungshistorie.
JADEPUFFER ist kein Einzelfall. Er reiht sich in eine Entwicklung, die das Jahr 2025 prägte. Im August meldete ESET PromptLock, den angeblichen ersten KI-gesteuerten Ransomware-Angriff – später als Laborprototyp der NYU entlarvt. Parallel dokumentierte Anthropic eine Erpressungskampagne mit Claude Code, die in 17 Organisationen eindrang – mit einem menschlichen Operator. Im November 2025 veröffentlichte Anthropic den ersten als „weitgehend autonom“ bezeichneten Cyberangriff, einen chinesischen Spionageversuch, bei dem Claude Exploits schrieb und Daten stah. Auch dort traten Halluzinationen auf, etwa erfundene Zugangsdaten. Muster wiederholen sich: KI-Agenten lernen, altbekannte Schwachstellen auszunutzen, produzieren aber Artefakte, die verraten, dass keine menschliche Hand am Werk war. Für Verteidiger bedeutet das: Die Zeitspanne zwischen Bekanntwerden einer Lücke und ihrem automatisierten Einsatz schrumpft dramatisch. Wo früher Tage oder Wochen vergingen, bis ein Mensch einen Exploit schrieb und testete, kann ein Agent in Stunden selbstständig handeln.
Was können Administratoren und Sicherheitsteams tun? Die Antworten sind altbekannt, aber ihre Dringlichkeit steigt. Patcht Langflow und setzt die Ports hinter eine Firewall, damit Code-Ausführungsendpunkte nicht im Internet erreichbar sind. Noch wichtiger: Führt KI-Workloads niemals mit Cloud-Schlüsseln oder Provider-Zugangsdaten in derselben Umgebung. Nutzt einen Secrets-Manager, der von der Laufzeitumgebung entkoppelt ist. Härtet Nacos: Ändert den Standard-Signing-Key, schaltet die öffentliche Erreichbarkeit ab, verbindet es niemals als Root mit der Datenbank. Setzt grundsätzlich keinen Datenbank-Admin-Account dem Internet aus. Blockiert ausgehenden Traffic, sodass ein kompromittierter Server keine Beacons oder Daten an externe Adressen senden kann. Sysdig betont: Herkömmliches Patch-Management reicht nicht mehr aus, weil Angreifer Advisorys in Stunden ausnutzen. Stattdessen wird Runtime-Überwachung zur zentralen Verteidigungslinie – das Erkennen von abnormalem Verhalten, auch auf gepatchten Systemen.
Die Indikatoren, die Sysdig veröffentlicht hat, sind klar: Einstiegspunkt CVE-2025-3248, Command-and-Control-Server 45.131.66[.]106 mit Beacon alle 30 Minuten, angeblicher Staging-Server 64.20.53[.]230, Bitcoin-Adresse 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy, Kontakt e78393397[@]proton[.]me und die Ransom-Tabelle „README_RANSOM“. Der wichtigste Punkt ist ein anderer: JADEPUFFER ist ein Warnsignal, kein Alarmsignal. Keiner der Schritte war neu oder besonders raffiniert. Die Kombination ist das Neue – und sie zeigt, dass jeder exponierte Server, jeder Config-Store und jeder offene Datenbank-Admin nicht mehr nur von einzelnen Hackern, sondern von einer automatisierten, lernenden KI proaktiv durchsucht wird. Diese Angriffe werden zunehmen, sobald die Werkzeuge weiter ausgereift sind. Die Lektion: Die beste Verteidigung ist nicht, die Lücke vor dem Menschen zu schließen, sondern das Verhalten zur Laufzeit zu überwachen – denn die Maschine wartet nicht auf einen Patch.
Quelle: thehackernews.com
