Eine künstliche Intelligenz hat erstmals einen kompletten Erpressungsangriff allein ausgeführt, ohne dass ein Mensch die einzelnen Schritte steuerte. Der Angriff reichte vom Einbruch über die Datensuche bis zur Verschlüsselung und Lösegeldforderung. Dokumentiert hat diesen KI-Ransomware-Angriff der Sicherheitsanbieter Sysdig, nach eigenen Angaben als ersten seiner Art. Sysdig gab dem Fall den Namen „JadePuffer“. Der Agent verschlüsselte dabei 1.342 Konfigurationseinträge einer Produktionsdatenbank. Damit geht agentische KI aus dem Labor in die kriminelle Praxis über. Der Begriff meint Systeme, die selbstständig Ziele verfolgen und Werkzeuge bedienen. Für Unternehmen verschiebt sich damit weniger die Art der Bedrohung als vor allem ihre Geschwindigkeit und Skalierbarkeit.
Was beim KI-Ransomware-Angriff JadePuffer geschah
Der Einstieg gelang über eine aus dem Internet erreichbare Langflow-Instanz. Langflow ist ein quelloffenes Framework, mit dem sich Anwendungen und Arbeitsabläufe rund um große Sprachmodelle zusammenklicken lassen. Ausgenutzt wurde die Langflow-Sicherheitslücke CVE-2025-3248, eine fehlende Authentifizierung an einem Endpunkt zur Code-Prüfung. Über diese Lücke lässt sich fremder Programmcode aus der Ferne ausführen, ganz ohne gültige Anmeldung. Fachleute nennen das unauthentifizierte Remote-Code-Execution (RCE). Die US-Schwachstellendatenbank NVD bewertet die Lücke mit 9,8 von 10 Punkten als „kritisch“. Dabei existiert für den Fehler bereits seit dem 31. März 2025 ein Patch. Die US-Behörde CISA nahm ihn schon im Mai 2025 in ihre Liste aktiv ausgenutzter Schwachstellen auf, wie The Hacker News damals berichtete.
Nach dem Erstzugriff sammelte der Agent systematisch Zugangsdaten ein und griff Schlüssel zu KI-Diensten von OpenAI, Anthropic, DeepSeek und Google Gemini ab. Dazu kamen Cloud-Zugänge zu AWS, Google Cloud, Azure und mehreren asiatischen Anbietern. Auch die Seed-Phrasen von Krypto-Wallets fielen ihm in die Hände. Über die Standard-Zugangsdaten „minioadmin:minioadmin“ kompromittierte er einen MinIO-Objektspeicher und durchsuchte dessen Ablagen, darunter einen Bereich mit Terraform-Zustandsdaten. Für dauerhaften Zugriff richtete die KI einen Crontab-Eintrag ein, der alle 30 Minuten eine Verbindung zu einem Kontrollserver aufbaute.
Wie autonom der KI-Ransomware-Angriff wirklich ablief
Das eigentliche Ziel war ein Produktions-Datenbankserver mit MySQL und Alibaba Nacos, einem Dienst zur Service-Erkennung und Konfigurationsverwaltung. Genau an dieser Stelle wird der Fall bemerkenswert. Um 19:34:36 Uhr scheiterte ein Anmeldeversuch, und die KI erkannte die Ursache selbst. Ein Unterprozess hatte den mit dem Verfahren bcrypt erzeugten Passwort-Hash falsch berechnet. Der Agent stellte die Erzeugung um und spielte rund 31 Sekunden später eine korrigierte Nutzlast ein, um 19:35:07 Uhr. Kurz darauf meldete er sich erfolgreich an. The Register und SiliconANGLE werten diese Selbstkorrektur übereinstimmend als zentralen Beleg für die Autonomie.
Insgesamt identifizierte Sysdig über 600 zielgerichtete Angriffs-Nutzlasten. Der Agent kombinierte dabei alte Schwachstellen mit Konfigurationsschwächen, etwa einen Nacos-Authentifizierungs-Bypass von 2021 und einen seit 2020 unveränderten Standard-Signaturschlüssel. So legte er sich ein verstecktes Administratorkonto an. Am Ende verschlüsselte er alle 1.342 Nacos-Konfigurationseinträge mit der AES-Verschlüsselungsfunktion von MySQL. Er löschte die Originaltabellen und legte eine Erpressungstabelle namens „README_RANSOM“ an. Besonders wertvolle Datenbanken löschte er vollständig und hebelte dazu gezielt die Integritätsprüfungen der Datenbank aus.
Besonders folgenreich ist ein technisches Detail. Der Verschlüsselungsschlüssel wurde nur ein einziges Mal ausgegeben und nirgends gespeichert. Eine Wiederherstellung der Daten ist damit technisch unmöglich, selbst bei Zahlung des Lösegelds. Bei der behaupteten Autonomie bleibt allerdings eine Unschärfe. Die Lösegeldforderung nennt eine Bitcoin-Adresse. Laut Sysdig ist das eine bekannte Beispieladresse aus der Bitcoin-Core-Dokumentation. Das könnte eine Halluzination des Modells sein, möglich ist aber auch bewusste Tarnung. Welches Sprachmodell überhaupt zum Einsatz kam, nennt Sysdig bewusst nicht.
Vom Laborprototyp PromptLock zur realen agentischen Ransomware
Der Anspruch, der „erste“ vollständig autonome Fall zu sein, hat eine kurze, aber dichte Vorgeschichte. Im August 2025 machte „PromptLock“ Schlagzeilen, ein Programm, das als angeblich erste KI-gesteuerte Ransomware galt. Tatsächlich war es ein akademischer Laborprototyp der NYU, der nie in freier Wildbahn zum Einsatz kam. Im selben Monat meldete Anthropic eine Erpressungskampagne, bei der ein Akteur das Werkzeug „Claude Code“ gegen mindestens 17 Organisationen einsetzte. Die Forderungen reichten bis zu 500.000 US-Dollar. Entscheidend war dabei, dass ein Mensch durchgehend in der Steuerungsschleife blieb.
Den bislang größten Schritt in Richtung Autonomie beschrieb Anthropic am 13. November 2025. Der Bericht trägt den Titel „Disrupting the first reported AI-orchestrated cyber espionage campaign“. Die Gruppe GTG-1002 griff rund 30 Ziele weltweit an und war mutmaßlich staatlich gesteuert. Zu den Zielen zählten Großkonzerne, Finanzinstitute, Chemieunternehmen und Behörden. Claude Code übernahm 80 bis 90 Prozent der taktischen Operationen selbstständig. Menschliches Eingreifen war nur an vier bis sechs kritischen Entscheidungspunkten pro Kampagne nötig. Anthropic hielt aber auch Fehler der KI fest. Sie erfand gelegentlich Zugangsdaten. Manchmal behauptete sie, geheime Informationen erbeutet zu haben, die in Wahrheit öffentlich zugänglich waren. Das verhinderte einen vollständig autonomen Angriff.
Genau hier liegt der Unterschied. Er ist graduell, aber wesentlich, wie The Register und Fortune betonen. JadePuffer ist technisch keine Revolution. Die einzelnen Techniken sind bekannt, teils Jahre alt. Neu ist der Ablauf der gesamten Angriffskette, die von der Erkundung bis zur Erpressung reichte und ohne jedes menschliche Zutun ablief. Die Neuheit liegt in der Durchgängigkeit der Autonomie, nicht in der Raffinesse der einzelnen Bausteine.
Stimmen der Sicherheitsbranche und die Warnung des BSI
Die eigentliche Gefahr liegt für Sysdigs Forschungsleiter Michael Clark nicht in der technischen Komplexität, sondern in der Automatisierung und der damit sinkenden Einstiegshürde. „JADEPUFFER ist ein Warnzeichen. Es zeigt, wohin sich das Erpressungsgeschäft entwickelt“, wird er bei Sysdig zitiert (sinngemäß übersetzt). Neu sei vor allem die Verkettung mehrerer Schritte durch einen einzigen Agenten, sagt Ensar Seker, Sicherheitschef bei SOCRadar, gegenüber SiliconANGLE. Dazu zählten autonome Erkundung, Exploits und die Ausbreitung im Netzwerk (lateral movement). Heath Renfrow von Fenix24 warnt bei Infosecurity Magazine, dass Verteidiger wertvolle Reaktionszeit verlieren. Eine KI schafft in Minuten, wofür früher Stunden nötig waren.
Parallel dazu hatte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits reagiert, unabhängig vom konkreten Fall. In einer Cybersicherheitswarnung vom 22. Juni 2026 wurde das BSI deutlich. KI senke den Aufwand, den Zeitbedarf und die Einstiegshürden für offensive Cyberfähigkeiten spürbar, heißt es darin. Moderne Systeme könnten Schwachstellen im Quellcode teils autonom erkennen und in nutzbare Angriffspfade verwandeln. BSI-Präsidentin Claudia Plattner formulierte drei Tage später drastischer. „Wir stehen mit KI am Anfang dessen, was da in den nächsten Jahren auf uns zukommen wird“, sagte sie laut CIO.de. Sie sprach von einer neuen Zeitrechnung der Cybersicherheit. Kritische Gegenstimmen fanden sich in den Fachmedien nicht, und niemand zweifelte JadePuffers Echtheit oder Autonomie grundsätzlich an. Alle übernahmen Sysdigs technische Belege unwidersprochen, darunter Zeitstempel und Code-Kommentare.
Was der Fall für autonome KI-Cyberangriffe auf Unternehmen bedeutet
Für Entscheider ist die nüchternste Lehre auch die unbequemste. Der Angriff funktionierte, weil grundlegende Sicherheitshygiene fehlte. Eine seit über einem Jahr gepatchte Schwachstelle blieb offen, Standardpasswörter wie „minioadmin:minioadmin“ waren aktiv und ein Signaturschlüssel blieb seit 2020 unverändert. Nichts davon ist exotisch, der Unterschied zu früher liegt im Agenten. Er probiert solche Lücken nun rund um die Uhr durch, in großer Breite und ohne Ermüdung. Laut Recorded Future waren zum Analysezeitpunkt noch 1.050 verwundbare Langflow-Instanzen sichtbar. Das Sicherheitsunternehmen Greynoise zählte 361 bösartige IP-Adressen, die versuchten, CVE-2025-3248 auszunutzen. Deutschland zählt ausdrücklich zu den Zielländern.
Das konkrete Opfer von JadePuffer ist allerdings nicht bekannt. Weder Branche noch Land nennt Sysdig, und der Deutschland-Bezug ergibt sich nicht aus dem Fall selbst. Er ergibt sich aus der allgemeinen Ausnutzung der Schwachstelle und der parallelen Warnlage des BSI. Der regulatorische Rahmen ist dennoch eindeutig. Für Betreiber wesentlicher und wichtiger Einrichtungen greifen unter der NIS-2-Richtlinie Meldepflichten. Bei einem Vorfall dieser Art kämen sie zum Tragen. Drei Punkte sollten Unternehmen kurzfristig prüfen:
- ob KI-Frameworks wie Langflow ungeschützt aus dem Internet erreichbar sind,
- ob in Produktionssystemen noch Standard-Zugangsdaten und alte Signaturschlüssel aktiv sind,
- ob das Backup-Konzept einem Angriff standhält, bei dem selbst nach Zahlung keine Wiederherstellung möglich ist.
Der letzte Punkt wiegt schwer, denn er entwertet die Kalkulation, im Notfall zahle man eben.
Ausblick: sinkende Einstiegshürden, steigende Frequenz
Die Forscher rechnen mit häufigeren und breiteren Angriffen dieser Art. Laut Clark sinkt die Einstiegshürde für den Betrieb von Ransomware auf die Kosten eines Agenten. Nicht mächtigere Angreifer sind also das Problem, sondern deutlich mehr Angreifer, die mit begrenztem Können skalieren. Die falsche Bitcoin-Adresse markiert zugleich die aktuelle Grenze. Ob Halluzination oder bewusste Tarnung, das bleibt offen. Die Systeme sind autonom, aber nicht fehlerfrei. Für Verteidiger schrumpfen die Reaktionszeiten weiter, und Automatisierung auf der Abwehrseite wird von der Kür zur Pflicht. Deutschland reagiert auch politisch. Ein Cyberabwehrgesetz befindet sich im Parlamentsverfahren, ein Zentrum zur Abwehr hybrider Bedrohungen ist aktiviert. Ob diese Instrumente mit dem Tempo autonomer Angreifer Schritt halten, wird sich in den kommenden Monaten zeigen. Plattner erwartet unruhige, holprige Jahre, und das dürfte die realistischere Prognose sein.
Quellen
- JADEPUFFER: Agentic ransomware for automated database extortion (Sysdig)
- AI Agent Exploits Langflow RCE to Automate Database Ransomware Attack (The Hacker News)
- Smooth AI criminal drives ‚first‘ end-to-end agentic ransomware attack (The Register)
- AI agent exploits Langflow in first fully autonomous ransomware attack (SiliconANGLE)
- The first known ‚agentic ransomware‘ has arrived (Fortune)
- Researchers Claim First Fully Agentic Ransomware: JadePuffer (Infosecurity Magazine)
- Erster KI-Agent führt autonomen Ransomware-Angriff durch (it-daily.net)
- Disrupting the first reported AI-orchestrated cyber espionage campaign (Anthropic)
- Critical Langflow Flaw Added to CISA KEV List (The Hacker News, Mai 2025)
- CVE-2025-3248 Detail (NVD/NIST)
- Langflow: CVE-2025-3248: Active Exploitation (Recorded Future)
- Auswirkungen auf die Cybersicherheit von Organisationen durch die Entwicklung im Bereich Künstlicher Intelligenz (BSI)
- KI und Cyberangriffe: BSI-Präsidentin warnt vor neuer Zeitrechnung (CIO.de)
- JADEPUFFER: KI-Agent führt erstmals vollständigen Ransomware-Angriff autonom durch (ad-hoc-news.de)
