Offensive Transformation
Was Frontier-Modelle Angreifern wirklich bringen
Worum es in dieser Folge geht
In Folge eins haben wir den Bogen gespannt — vom Microsoft-Bericht im Februar 2024 zum Anthropic-Bericht im August 2025. Heute schauen wir genauer hin: Was leisten Frontier-Modelle wirklich, wenn ein Angreifer sie ernsthaft einsetzt? Anker der Folge sind drei Belege aus 2024 und 2025, die unabhängig voneinander dieselbe Antwort geben — und am Schluss eine klare These: Skalierung schlägt Raffinesse.
Von Naptime zu Big Sleep
Im Juni 2024 veröffentlicht Googles Project-Zero-Team eine Forschungsarbeit mit dem programmatischen Titel «Evaluating Offensive Security Capabilities of Large Language Models». Das System heisst Naptime. Die Architektur ist methodisch elegant: Der Agent bekommt vier Werkzeuge — Code Browser, Python-Interpreter zum Fuzzen, Debugger, Reporter — und imitiert damit den hypothesengetriebenen Workflow eines menschlichen Security-Researchers. Chris erklärt, dass damit der Paradigmenwechsel von der Frage-Antwort-Maschine zum Werkzeug-Benutzer vollzogen ist: Das Modell darf Code ausführen, Hypothesen prüfen, Ergebnisse bewerten — eine agentische Schleife im klassischen ReAct-Pattern.
Die Performance-Zahlen auf Metas CyberSecEval-2-Benchmark sind eindeutig. Buffer-Overflow-Score steigt von 0.05 auf 1.00, Faktor zwanzig. Advanced Memory Corruption von 0.24 auf 0.76. Robert bringt den Realitäts-Check: CTF-Benchmarks sind synthetisch, real-world Code ist millionen Zeilen gross. Genau dafür macht Google die Folgestudie. Aus Naptime wird Big Sleep — eine produktive Pipeline, deployed im November 2024, betrieben von Project Zero und DeepMind gemeinsam. Im Juli 2025 dann der Schlüssel-Vorfall: Die Google Threat Intelligence Group beobachtet Indikatoren, dass ein Angreifer auf eine bestimmte SQLite-Version zielt. Big Sleep wird angesetzt, findet CVE-2025-6965 — eine Memory-Corruption-Schwachstelle, CVSS 7.2. Detection-to-Patch in 48 Stunden. Erster dokumentierter Fall weltweit, in dem ein AI-Agent eine aktive Zero-Day-Exploitation verhindert.
DARPA AIxCC und Team Atlanta
Im August 2025 endet an der DEF CON 33 die DARPA AI Cyber Challenge. Sieben Finalisten, 30 Millionen Dollar Preisgeld, 54 Millionen Zeilen Code zu analysieren. Sieger ist Team Atlanta — ein Konsortium aus Georgia Tech, Samsung Research, KAIST und POSTECH — mit ihrem System Atlantis. Vier Millionen Dollar. Trail of Bits mit Buttercup wird Zweiter, Theori Dritter. Die Ergebnisse sind technisch bemerkenswert: vierundfünfzig synthetische Vulnerabilities gefunden, dreiundvierzig automatisch gepatcht, plus achtzehn echte vorher unbekannte Zero-Days in produktivem Open-Source-Code, die jetzt im Coordinated-Disclosure-Verfahren an die Projekte gegeben werden.
Architektonisch ist Atlantis explizit hybrid — die Autoren nennen es «ensemble fuzzing everywhere». Coverage-guided Fuzzer wie AFL++ laufen parallel zu Directed Fuzzers, zu konkolischen Executors, und obendrauf gibt es LLM-Agenten. Die zentrale ML-Komponente heisst MLLA, Multi-Language LLM Agent, Teil einer grösseren Komponente UniAFL mit sechs verschiedenen Input-Generation-Modulen. Chris hebt einen methodischen Punkt der Autoren hervor: Was in der ML-Community Halluzination heisst, ist in der Praxis Diversität. Beim Fuzzing brauchst du Inputs, die deterministische Heuristik nicht findet — fünf Agenten mit orthogonalen Lösungswegen liefern genau das.
Autonome Offensive in der akademischen Forschung
Lukas verweist auf die Arbeit von Daniel Kang und Kolleg:innen an der University of Illinois Urbana-Champaign. Ihr HPTSA-System — Hierarchical Planning and Task-Specific Agents — zeigt, dass ein Verbund aus Planner-Agent und spezialisierten Subagenten echte Zero-Day-Schwachstellen ausnutzen kann. Auf einem Benchmark aus vierzehn realen CVEs erreicht HPTSA eine 4.3-fache Verbesserung gegenüber einem Einzelagenten. Das Paper ist im Juni 2024 erschienen und im März 2025 mit erweiterten Resultaten aktualisiert worden. Zusammen mit Hazell 2023 und Heiding et al. 2024 in IEEE Access (LLM-generierte Phishing-Mails erreichen Click-Through-Raten über 50 Prozent in feldnahen Tests) wird damit die ökonomische These der Folge belegbar.
Die These — und was Sie mitnehmen
Es geht nicht um qualitativ neue Angriffstechniken. Spear-Phishing, Pentesting, Vulnerability Research existieren seit Jahrzehnten. Was neu ist, ist die Stückkostenstruktur. Eine Klasse von Angriffen, die früher nur gegen hochwertige Ziele wirtschaftlich war, ist heute gegen Mittelständler wirtschaftlich. Robert formuliert die Praxis-Konsequenz: Wer als Verteidiger noch glaubt, sein mittelständisches Unternehmen sei wegen seiner Grösse uninteressant, hat den Schuss nicht gehört. Chris ergänzt aus AI-Sicht: Die agentische Schleife ist die Schlüsselarchitektur, der Sprung von 2024 zu 2026 ist Tool-Use — methodisch klar nachvollziehbar, nicht magisch. Lukas rundet aus Forschungssicht ab: Big Sleep, Atlantis und HPTSA sind drei unabhängige Belege für dasselbe Resultat. Wer 2026 Defender-Architekturen baut, ohne diese Realität einzupreisen, baut Defense gegen 2022. Der nächste Schritt der Staffel ist das konkreteste Beispiel dieser Skalierung — Social Engineering auf Industrieskala.
Quellen und Referenzen
- Glazunov, S., & Brand, M. (2024, June 20). Project Naptime: Evaluating offensive security capabilities of large language models. Google Project Zero. https://projectzero.google/2024/06/project-naptime.html
- The Hacker News. (2025, July). Google AI Big Sleep stops exploitation of critical SQLite vulnerability before hackers act. The Hacker News. https://thehackernews.com/2025/07/google-ai-big-sleep-stops-exploitation.html
- Defense Advanced Research Projects Agency. (2025, August). AI Cyber Challenge marks pivotal inflection point for cyber defense. DARPA. https://www.darpa.mil/news/2025/aixcc-results
- Trail of Bits. (2025, August 9). Buttercup wins 2nd place in AIxCC Challenge. Trail of Bits Engineering Blog. https://blog.trailofbits.com/2025/08/09/trail-of-bits-buttercup-wins-2nd-place-in-aixcc-challenge/
- Bhatt, M., Chennabasappa, S., Yan, Y., Nikolaidis, C., Song, D., Hyrum, A., Hyrum, V., Tay, Y., & Saxe, J. (2024). CYBERSECEVAL 2: A wide-ranging cybersecurity evaluation suite for large language models (arXiv:2404.13161). arXiv. https://arxiv.org/abs/2404.13161
- Kim, T., Yu, K., Lee, H., Lim, S., Park, D., & Kim, T. (Team Atlanta). (2025). ATLANTIS: AI-driven threat localization, analysis, and triage intelligence system (arXiv:2509.14589). arXiv. https://arxiv.org/abs/2509.14589
- Zhu, F., Wang, Z., & Kang, D. (2024). Teams of LLM agents can exploit zero-day vulnerabilities (arXiv:2406.01637, updated March 2025). arXiv. https://arxiv.org/abs/2406.01637
- Hazell, J. (2023). Spear phishing with large language models (arXiv:2305.06972). arXiv. https://arxiv.org/abs/2305.06972
- Heiding, F., Schneier, B., Vishwanath, A., Bernstein, J., & Park, P. S. (2024). Devising and detecting phishing emails using large language models. IEEE Access, 12, 42131–42146. https://doi.org/10.1109/ACCESS.2024.3375882
- Yao, S., Zhao, J., Yu, D., Du, N., Shafran, I., Narasimhan, K., & Cao, Y. (2023). ReAct: Synergizing reasoning and acting in language models (arXiv:2210.03629). arXiv. https://arxiv.org/abs/2210.03629
- MITRE Corporation. (n.d.). ATLAS: Adversarial Threat Landscape for Artificial-Intelligence Systems. https://atlas.mitre.org/
- OST – Ostschweizer Fachhochschule. (2026). CAS AI-Driven Cybersecurity and Strategic Defence [Programmseite, 15 ECTS, 14 Präsenztage, Campus Rapperswil-Jona]. https://www.ost.ch/de/weiterbildung/weiterbildungsangebot/informatik/cybersecurity-networks/cas-ai-driven-cybersecurity-and-strategic-defence