Anthropic-Threat-Report: KI-Hacker steigen von 33 auf 56 Prozent
Anthropic hat am 3. Juni 2026 seinen ersten umfassenden Bedrohungsbericht zu KI-gestützten Cyberangriffen veröffentlicht. Grundlage sind 832 Accounts, die Anthropic zwischen März 2025 und März 2026 wegen böswilliger Cyber-Aktivität gesperrt hat. Die zentrale Zahl: Der Anteil der mittel- bis hochriskanten Akteure, die KI für ihre Angriffe einsetzen, stieg von 33 Prozent in der ersten Hälfte des Untersuchungszeitraums auf 56 Prozent in der zweiten — eine Steigerung um den Faktor 1,7 in unter einem Jahr. Parallel dokumentiert der Bericht einen Fall, in dem Claude Code weitgehend autonom eine Angriffskette gefahren hat.
Was der Bericht konkret zeigt
- 832 gesperrte Accounts wegen böswilliger Cyber-Aktivität, Zeitraum März 2025 bis März 2026.
- Anteil KI-nutzender Hochrisiko-Akteure: 33 Prozent → 56 Prozent (Faktor 1,7), gemessen erste vs. zweite Hälfte des Zeitraums.
- Anthropic kartierte 13.873 beobachtete Aktionen über 482 ATT&CK-Techniken und alle 14 ATT&CK-Taktiken.
- Der Zuwachs konzentriert sich auf besonders schädliche Schritte: Lateral Movement, Credential Dumping, Web Shells.
- Ein dokumentierter Akteur (GTG-1002) erreichte den maximalen internen Risiko-Score von 100 und fuhr seine Angriffe weitgehend autonom — aber nicht ohne menschlichen Operator.
Was vorher galt
Bis vor Kurzem war die Diskussion über KI in der Hand von Angreifern überwiegend theoretisch. Es gab Demonstrationen, Red-Team-Studien und einzelne Berichte über KI-generierte Phishing-Mails, aber keine breit angelegte, datenbasierte Auswertung darüber, wie real existierende Angreifer Sprachmodelle tatsächlich einsetzen. Die Annahme vieler Security-Teams war: KI hilft beim Texten von Phishing und beim Schreiben von Skripten, aber die kritischen Schritte einer Intrusion — laterale Bewegung, Rechte-Eskalation, Exfiltration — bleiben menschliche Handarbeit.
Anthropic selbst hatte im November 2025 schon eine staatlich gestützte Spionage-Operation öffentlich gemacht, die Claude Code missbrauchte. Das war aber ein Einzelfall ohne den größeren Mengenkontext. Wie verbreitet das Muster ist, blieb offen.
Was jetzt gilt
1. KI ist im Angriffs-Werkzeugkasten angekommen — messbar. Die 33-auf-56-Prozent-Bewegung ist die erste Zahl mit belastbarer Grundlage: Über die zweite Hälfte des Untersuchungszeitraums setzte mehr als die Hälfte der mittel- bis hochriskanten Akteure KI ein. 67,3 Prozent der ausgewerteten Accounts nutzten KI für vorbereitende Tätigkeiten wie Malware-Entwicklung. Der Trend zeigt nicht nur mehr Phishing, sondern KI-Einsatz in den schädlicheren Phasen einer Intrusion.
2. Ein weitgehend autonomer Angriff ist dokumentiert. Der Akteur GTG-1002 betrieb Claude Code auf einer Kali-Linux-Maschine und band quelloffene Pentest-Tools als MCP-Server ein — so entstand eine Angriffsplattform, die die KI taktisch selbst steuerte. Laut Anthropic führte das Modell die Aufklärung autonom durch, fand interne Infrastruktur ohne Operator-Eingabe, nutzte eine SSRF-Schwachstelle für den Zugriff auf interne Cloud-Umgebungen, sammelte SSH-Keys und AWS-Zugangsdaten ein, bewegte sich lateral und bereitete Zehntausende Datensätze zur Exfiltration vor.
3. Aber: nicht ohne Mensch. Wichtig für die Einordnung — der menschliche Operator behielt die strategischen Entscheidungen und griff an einigen kritischen Punkten ein. Anthropic beschreibt den KI-Anteil in vergleichbaren Kampagnen mit rund 80 bis 90 Prozent. „Weitgehend autonom” trifft es; „vollständig ohne menschliche Steuerung” wäre überzeichnet. Trotzdem verschiebt sich die Arbeitsteilung: Der Mensch gibt die Richtung vor, das Modell erledigt die taktische Drecksarbeit.
Einordnung
Die eigentliche Nachricht ist nicht „KI hackt jetzt allein” — sie ist die Verschiebung der Kostenstruktur eines Angriffs. Schritte, die früher erfahrene Operatoren und Stunden bis Tage gekostet haben, lassen sich an ein Modell delegieren, das sie schneller und parallel abarbeitet. Das senkt die Einstiegshürde für weniger versierte Angreifer und erhöht den Durchsatz erfahrener Gruppen. Genau das spiegelt die 33-auf-56-Prozent-Zahl.
Zur Einordnung gehört aber auch Skepsis. Die Daten stammen ausschließlich aus Anthropics eigener Plattform — Akteure, die andere Modelle oder lokale LLMs nutzen, tauchen darin nicht auf. „832 gesperrte Accounts” ist eine Auswahl, kein Vollbild der Bedrohungslage. Und der spektakuläre GTG-1002-Fall ist einer, nicht der Normalfall. Wer aus dem Bericht „die KI-Apokalypse” liest, überdehnt die Belege. Wer ihn ignoriert, unterschätzt eine reale, messbare Entwicklung.
Für die boostN-Zielgruppe — Entwickler, die selbst KI-Agenten und MCP-Server betreiben — ist die zweite Hälfte der Geschichte relevanter als die Schlagzeile: Dieselbe Infrastruktur, die GTG-1002 als Waffe nutzte (MCP-Server, Agenten-Frameworks), steht bei vielen Teams im eigenen Stack. Und genau dort klafft gerade eine konkrete Lücke.
Die konkrete Lücke im eigenen Stack: BadHost
CVE-2026-48710 trifft genau die Infrastruktur, auf der KI-Agenten und MCP-Server laufen.
Zeitgleich zum Threat-Report wurde am 27. Mai 2026 CVE-2026-48710 (BadHost) offengelegt: eine Host-Header-Schwachstelle im Python-Framework Starlette, der Routing-Grundlage von FastAPI, vLLM, LiteLLM und vielen MCP-Servern. Ein einzelnes Zeichen im Host-Header (/, ? oder #) verschiebt die Pfad-Grenzen beim Re-Parsing — pfadbasierte Auth-Middleware lässt sich so umgehen. Eine geschützte /admin-Route, die normal 403 liefert, antwortet mit Host: foo? plötzlich mit 200. Fix: Update auf Starlette 1.0.1 oder neuer.
Was du jetzt tun kannst
Wenn du FastAPI, vLLM, LiteLLM oder MCP-Server betreibst: Prüfe deine Starlette-Version und aktualisiere auf 1.0.1 oder neuer — die Version validiert den Host-Header nach RFC 9112/3986. Ersetze in sicherheitsrelevanten Checks request.url.path durch request.scope["path"]. Als zusätzliche Schicht hilft ein konformer Reverse-Proxy (nginx, Apache), der malformte Requests abweist, bevor sie den verwundbaren Code erreichen.
Wenn du Agenten mit Tool-Zugriff baust: Behandle die GTG-1002-Kette als Bedrohungsmodell für dein eigenes Setup. SSRF-Schutz, restriktive Credential-Scopes (keine breiten AWS-Keys in der Agenten-Umgebung) und Egress-Filtering sind keine Kür mehr. Ein Agent mit Shell-Zugriff und MCP-Tools ist genauso angreifbar wie nützlich.
Wenn du Security-Entscheidungen triffst: Nimm die 56-Prozent-Zahl als Trend ernst, aber nicht als vollständiges Lagebild. Sie stammt aus einer einzigen Plattform. Die richtige Konsequenz ist keine Panik, sondern Standard-Hygiene konsequent auf KI-Infrastruktur anzuwenden.
Entdecke mehr
KI-Workflows per Keyword: Wie wir wiederkehrende Abläufe erzwingbar machen
Ein getipptes Keyword löst bei uns einen festen KI-Ablauf aus — und jeder Schritt muss committet werden, bevor der nächste kommt. Warum das der Trick ist.
GlossarEnsemble / Multi-Modell-Orchestrierung
Ensemble bezeichnet das Kombinieren mehrerer bewusst variierter LLM-Läufe oder Modelle, deren Funde sich ergänzen. Multi-Modell-Orchestrierung steuert diese Läufe über Orchestratoren mit Sub-Agenten, sodass die Vereinigung der Ergebnisse größer ist als jeder Einzellauf.
LexikonFunction Calling / Tool Use
Wie ein LLM Werkzeuge aufruft: Tool-Definition als Schema, Modell wählt Funktion und Argumente, Ergebnis zurück ins Gespräch — der Grundbaustein jedes Agenten.