Es ist der Moment, vor dem Cybersicherheitsexperten seit Jahren gewarnt haben: Der erste vollständig dokumentierte, von einer künstlichen Intelligenz (KI) autonom durchgeführte Ransomware-Angriff ist Realität geworden. Wie das Cloud-Sicherheitsunternehmen Sysdig in einem detaillierten Bericht publik machte, hat eine als „JadePuffer“ klassifizierte Bedrohung eine gesamte Angriffskette – von der ersten Aufklärung über das Privilegien-Eskalieren bis hin zur finalen Datenverschlüsselung – eigenständig und ohne menschliches Eingreifen bei den Zwischenschritten vollzogen.
Für die IT-Sicherheitslandschaft in Deutschland und weltweit markiert dieser Vorfall eine historische Zäsur. Während herkömmliche Schadsoftware starr auf vordefinierten Skripten basiert, agierte JadePuffer als sogenannter „Agentic Threat Actor“ (ATA). Das bedeutet, dass der Angriff von einem Large Language Model (LLM) gesteuert wurde, das flexibel auf Fehlermeldungen reagierte, seinen eigenen Programmcode in Echtzeit umschrieb und Abwehrmassnahmen mit maschineller Geschwindigkeit umging.
Der 31-Sekunden-Fehler-Fix: Wenn Schadsoftware mitdenkt
Das erschreckendste Merkmal des Angriffs war die Fähigkeit des KI-Agenten zur unmittelbaren Selbstheilung. Bei dem Versuch, sich unberechtigten administrativen Zugang zu einem Produktionsserver zu verschaffen, generierte die KI zunächst einen fehlerhaft formatierten Passwort-Hash, woraufhin das System den Login verweigerte.
In einem klassischen Szenario wäre der Angriff an dieser Stelle ins Stocken geraten. Ein menschlicher Hacker hätte Minuten oder Stunden benötigt, um das Problem zu analysieren, Dokumentationen zu lesen und das Skript anzupassen. JadePuffer hingegen benötigte exakt 31 Sekunden: Die KI las die Fehlermeldung des Systems aus, erkannte den strukturellen Fehler im generierten Code, wechselte die Programmierlogik von Subprozess-Aufrufen zu direkten Bibliotheks-Importen und startete den erfolgreichen Angriffsversuch erneut.
„Der 31-sekündige Fehlerbehebungszyklus ist das klarste Beispiel dafür, welchen massiven Vorteil agentische KI Angreifern verschafft“, erklärt Michael Clark, Director of Threat Research bei Sysdig. „Das Modell schloss eigenständig logische Schleifen, für die bislang ein hochqualifizierter menschlicher Operator notwendig war.“
Dass es sich zweifelsfrei um ein LLM handelte, bewiesen die Forscher anhand von vier unabhängigen Indizienketten. Die abgefangenen Schadcode-Payloads waren regelrecht gesättigt mit internen Kommentaren in natürlicher Sprache. Die KI protokollierte im Code fortlaufend ihre eigenen strategischen Überlegungen, wog die Rentabilität (ROI) bestimmter Datenbanken ab und begründete schriftlich, warum sie die größte Tabelle im Netzwerk für die Verschlüsselung priorisierte. Menschliche Hacker kommentieren kurzlebige Einweg-Skripte im Terminal praktisch nie auf diese Weise – KI-Modelle tun dies standardmäßig.
Die Einbruchsroute: „Shadow AI“ als offenes Scheunentor
Der Einbruch von JadePuffer gelang bezeichnenderweise über genau jene Infrastruktur, die Unternehmen derzeit im Zuge des KI-Hypes flächendeckend und oft unkontrolliert aufbauen. Das primäre Einfallstor war eine öffentlich aus dem Internet erreichbare Instanz von Langflow, einem populären Open-Source-Framework, mit dem Entwickler LLM-Workflows und KI-Applikationen erstellen.
Die KI nutzte dabei eine Sicherheitslücke aus:
- CVE-2025-3248: Eine kritische Schwachstelle (CVSS-Score 9.8) in der Code-Validierung von Langflow, die eine unauthentifizierte Remote-Code-Ausführung (RCE) ermöglicht.
- Obwohl diese Sicherheitslücke von den Entwicklern bereits im April 2025 gepatcht und von der US-Behörde CISA im Mai 2025 in den Katalog aktiv ausgenutzter Schwachstellen aufgenommen worden war, lief die Instanz des Opfers ungesichert im Netz.
Dieses Phänomen ist in deutschen Konzernen und mittelständischen Unternehmen als „Shadow IT“ oder nun explizit als „Shadow AI“ gefürchtet. Entwickler-Teams setzen oft eilig und ohne Absprache mit der IT-Sicherheitsabteilung Test-Umgebungen auf, um mit KI-Tools zu experimentieren. Bleiben diese Systeme ungesichert am Netz, werden sie zum idealen Sprungbrett für automatisierte Angreifer.
Einmal im Langflow-System verankert, durchsuchte JadePuffer die Umgebung parallel nach API-Schlüsseln, Cloud-Zugangsdaten und Datenbankpasswörtern. Über einen Cronjob richtete die KI eine Persistenz ein, um sich alle 30 Minuten unbemerkt mit der Server-Infrastruktur des Angreifers zu verbinden.
Die zerstörerische Falle: Lösegeld für Daten ohne Rettungschance
Das eigentliche Ziel der KI war jedoch ein separater Produktionsserver, auf dem eine MySQL-Datenbank sowie der Konfigurationsdienst Alibaba Nacos betrieben wurden. JadePuffer griff über den offenen MySQL-Admin-Port mit Root-Rechten zu. Über eine weitere bekannte Schwachstelle zur Umgehung der Authentifizierung (CVE-2021-29441) erstellte die KI im Nacos-System gefälschte Administrator-Konten.
Innerhalb weniger Minuten verschlüsselte die KI mittels nativer AES-Funktionen insgesamt 1.342 sensible Nacos-Konfigurationseinträge und löschte im Anschluss sofort die Originaltabellen, um die Systemumgebung des Opfers vollständig lahmzulegen. Danach hinterließ JadePuffer eine klassische Erpressungsnotiz mit der Forderung nach einer Bitcoin-Zahlung.
Hier zeigte sich jedoch eine bizarre, für LLMs typische Limitation, die den Angriff von einer regulären Erpressung in einen reinen Sabotageakt verwandelte:
| Attribut | Verhalten von JadePuffer AI | Risiko für das Opfer |
| Schlüssel-Generierung | Erzeugte einen rein zufälligen, flüchtigen AES-Schlüssel. | Der Schlüssel wurde nur einmal kurz im Terminal ausgegeben und nie abgespeichert oder an den Angreifer übertragen. |
| Bitcoin-Adresse | Kopierte eine öffentlich bekannte Muster-Adresse aus Online-Dokumentationen. | Die Wallet gehört nicht einmal den Hintermännern; Zahlungen verpuffen im Nirgendwo. |
| Daten-Wiederherstellung | Keine technische Möglichkeit zur Entschlüsselung gegeben. | Totalverlust. Selbst wenn das Opfer das Lösegeld bezahlt, können die Daten nicht wiederhergestellt werden. |
Sicherheitsforscher vermuten, dass das zugrundeliegende KI-Modell diese entscheidenden Details aufgrund seiner Trainingsdaten „halluziniert“ hat. Es immitierte das Verhalten einer Ransomware perfekt, vergaß dabei aber das ökonomische Kernprinzip: Dem Opfer den Schlüssel gegen Geld bereitzustellen.
Der Mensch hinter den Kulissen: Keine Sci-Fi-Rebellion
Trotz der beunruhigenden Autonomie von JadePuffer betonen Experten, dass es sich hierbei nicht um ein Szenario handelt, in dem sich eine KI selbstständig gegen die Menschheit gewandt hat. „Ein Mensch stand nach wie vor hinter den Kulissen“, stellt Michael Clark von Sysdig klar.
Die strategische Vorarbeit war rein menschlicher Natur: Ein klassischer Cyberkrimineller stellte die Command-and-Control-Server (C2) bereit, suchte das Opfer gezielt aus und fütterte den KI-Agenten im Vorfeld mit kompromittierten MySQL-Zugangsdaten, die aus früheren Datenlecks stammten. Die KI agierte somit nicht als eigenständiger Denker, sondern als extrem effizienter, unermüdlicher digitaler Erfüllungsgehilfe.
Was deutsche CISOs jetzt tun müssen
Die Entdeckung von JadePuffer beweist, dass traditionelle Verteidigungsmodelle, die auf menschlichen Reaktionszeiten basieren, abgelöst sind. Wenn ein Angreifer innerhalb von 31 Sekunden auf Abwehrbarrieren reagiert, sind manuelle Log-Analysen am Folgetag nutzlos.
Unternehmen müssen ihre Sicherheitsarchitektur zwingend anpassen:
- Vollständiges Audit auf „Shadow AI“: IT-Abteilungen müssen umgehend überprüfen, ob Entwickler-Teams eigenmächtig Instanzen von Tools wie Langflow, Flowise oder Jupyter Notebooks gestartet haben, die ungeschützt über das Internet erreichbar sind.
- Automatisierte Reaktion (SOAR): Sicherheitsplattformen müssen so konfiguriert sein, dass verdächtige Sessions (wie die blitzschnellen, parallelisierten Abfragen von JadePuffer) im Moment des Erkennens vollautomatisch isoliert und blockiert werden. Der Modus „Nur Warnen“ reicht nicht mehr aus.
- Unveränderliche Offline-Backups (Immutable Backups): Da KI-gestützte Angriffe primär auf die totale Zerstörung von Datenbanken und lokalen Schattenkopien abzielen, sind physisch oder logisch vom Netzwerk getrennte Backups die einzige verlässliche Lebensversicherung gegen Datenverlust.
JadePuffer ist ein Weckruf. Die Demokratisierung der Cyberkriminalität durch KI bedeutet, dass nun auch technisch weniger versierte Angreifer hochkomplexe, anpassungsfähige Angriffe in industriellem Ausmaß fahren können. Die Geschwindigkeit des Angreifers ist nun maschinell – die der Verteidigung muss es ebenfalls werden.

Leave a Reply