Blog

KI hat soeben die Experten-Angreifer-Schwelle überschritten

Im April 2026 führte ein KI-Modell erstmals einen 32-Schritte-Unternehmensnetzwerkangriff vollständig durch. Mehrere unabhängige Berichte kommen nun zu einem gemeinsamen Schluss: Der Wendepunkt ist erreicht.

Zwei Jahre lang endete jede KI-Cyber-Evaluierung mit demselben Vorbehalt: „aber kein Modell kann einen vollständigen Angriff autonom durchführen – noch nicht." Dieser Vorbehalt ist soeben abgelaufen.
Die KI-Ära-Schwelle: Das sichtbare Internet wird von autonomen KI-Agenten entdeckt, ins Visier genommen und ausgenutzt, während das durch NHP geschützte unsichtbare Internet nicht entdeckt werden kann – und daher nicht angegriffen werden kann
Die KI-Ära-Schwelle: Sichtbarkeit ist nun die Angriffsfläche. Infrastruktur, die entdeckt werden kann, kann ins Visier genommen und ausgenutzt werden; Infrastruktur, die nicht entdeckt werden kann, ist nicht angreifbar.
🎯 22 von 32

Am 13. April 2026 veröffentlichte das UK AI Safety Institute (AISI) seine Evaluierung von Claude Mythos Preview – wenige Tage zuvor am 7. April angekündigt – in einem simulierten 32-Schritte-Unternehmensangriff namens „The Last Ones" (TLO), einem Szenario, für das menschliche Experten etwa zwanzig Stunden benötigen.

Das Modell absolvierte im Durchschnitt 22 der 32 Schritte und vollendete den gesamten Angriff bei 3 von 10 Versuchen. Es ist das erste jemals dokumentierte Modell, das dies geschafft hat.

Die Vorgängergeneration (Opus 4.6) schaffte im Schnitt nur 16 Schritte und hatte den Angriff nie abgeschlossen.

Kein Mensch war im Loop. Die KI führte Aufklärung, Erstzugriff, laterale Bewegung, Rechteausweitung und Datenabfluss als kontinuierliche autonome Kette aus.
📊 Die Zahlen, die sich am 13. April 2026 veränderten

Vier Zahlen aus der AISI-Studie sind es wert, länger auf sie zu schauen:

73 % Erfolgsquote bei CTF-Aufgaben auf Expertenniveau
22 / 32 Abgeschlossene Schritte im TLO-Unternehmensangriff
3 / 10 Vollständige End-to-End-Durchläufe – ein Erstmal
+59 % Zuwachs, wenn Compute von 10M → 100M Tokens skaliert wurde

Die 73-%-Zahl ist bedeutsam, weil kein Modell vor April 2025 überhaupt Expert-Level-CTFs lösen konnte. In weniger als einem Jahr hat sich das von „null Fähigkeit" zu „bestanden" gewandelt.

Die letzte Zahl ist die alarmierendste. Die Leistung skaliert log-linear mit der Inferenz-Rechenleistung – und AISI beobachtete kein Plateau. Mehr Geld, mehr Zeit, mehr Tokens → mehr Fähigkeit. Es ist keine architektonische Obergrenze in Sicht.

🔁 Kein Einzelfall – eine Konvergenz

Der Mythos-Bericht ist kein Ausreißer. Mehrere unabhängige Gremien kamen im selben Quartal zum selben Schluss:

QuelleBefund
International AI Safety Report 2026„Aktuelle KI-Systeme können bereits einige Aufgaben bei Cyberangriffen autonom ausführen." Dokumentiert einen realen Vorfall.
UK NCSCDie offensive Fähigkeit von Frontier-KI verdoppelt sich alle 4 Monate.
Malwarebytes 2026 Predictions„Vollständig autonome Ransomware-Pipelines", die es kleinen Crews ermöglichen, viele Ziele gleichzeitig anzugreifen.
PentestGPT v2 (akademisch)76,9 % Abschlussrate bei HackTheBox Season 8 – Top 100 von 8.036 aktiven Teilnehmern weltweit.
Hadrian-Erhebung70 Open-Source-KI-Pentest-Tools bis März 2026 katalogisiert – 65 davon wurden in 18 Monaten veröffentlicht.

Fünf verschiedene Perspektiven – staatlich, akademisch, kommerziell, Threat-Intel – und alle weisen in dieselbe Richtung.

📈 Was „Verdopplung alle 4 Monate" tatsächlich bedeutet

Die Einschätzung des NCSC ist leicht zu überlesen. Sollte sie aber nicht sein. Wachstum in diesem Tempo führt zu Zahlen, die Verteidiger ernst nehmen müssen:

T+0 Basislinie T+4 Mon. 2× T+8 Mon. 4× T+12 Mon. 8× T+16 Mon. 16× T+24 Mon. 64×

Eine Schwachstelle, für deren Ausnutzung ein KI-Agent heute 8 Stunden benötigt, wird in zwei Jahren nur 7,5 Minuten brauchen, wenn sich dieser Trend fortsetzt. Indes werden Patch-Zyklen in Unternehmen immer noch in Wochen gemessen, und die Zeitfenster zwischen Schwachstellenbekanntgabe und Ausnutzung schrumpfen bereits unter die Grenze menschlicher Reaktionszeit.

Die Verteidiger-Rechnung geht nicht auf. Sie können eine Fähigkeitskurve, die sich jedes Quartal verdoppelt, nicht durch Patchen einholen.
🏰 Warum traditionelle Verteidigung dieses Rennen verliert

Moderne Sicherheits-Stacks – TLS, WAFs, Firewalls, EDR, SIEM – wurden um eine grundlegende Annahme herum gebaut: Dienste sind sichtbar, und die Verteidigung beginnt beim Handshake. Sie öffnen einen Port. Sie veröffentlichen einen DNS-Eintrag. Sie terminieren TLS. Dann authentifizieren Sie.

Jede Schicht dieses Stacks setzt voraus, dass die ersten drei Fakten öffentlich sind. Für einen menschlichen Angreifer, der in menschlicher Geschwindigkeit arbeitet, war das vertretbar – Aufklärung kostete etwas, und Fingerprinting erforderte Aufwand.

Für einen KI-Agenten, der rund um die Uhr zu marginalen Token-Kosten läuft, ist diese Sichtbarkeit die Angriffsfläche. Jeder offene Port ist kostenlose Information. Jeder DNS-Eintrag ist eine Karte. Jedes TLS-Zertifikat verrät Metadaten. Die KI muss das Schloss nicht knacken – sie studiert die Baupläne, den Belegungsplan, die Lieferkette und die Patch-Historie des Anbieters, alles parallel, und wählt den Moment, in dem Sie am schwächsten sind.

Die erste Frage eines autonomen Angreifers lautet „Was gibt es dort draußen?" Wenn Sie diese Frage beantworten – auch nur teilweise –, haben Sie den Zeitvorteil bereits verloren.
🚫 Zero Trust ist notwendig, aber unzureichend

Zero Trust hat zu Recht die Idee impliziten internen Vertrauens verworfen. Identitätszentrierte Authentifizierung, kontinuierliche Verifikation, Least Privilege – das sind echte Verbesserungen, und OpenNHP verdrängt sie nicht.

Aber die meisten Zero-Trust-Deployments öffnen die Tür, bevor sie prüfen, wer anklopft. Der Dienst ist erreichbar. Der Port antwortet. Der TLS-Handshake wird abgeschlossen. Die Authentifizierung geschieht nach dem Kontakt.

Diese Reihenfolge war im Zeitalter menschengetriebener Bedrohungen in Ordnung. Im Zeitalter autonomer KI-Geschwindigkeit bedeutet sie, dass Angreifer sondieren, fingerprinten, enumerieren und fuzzen dürfen, bevor überhaupt ein Credential geprüft wird. Das heißt, sie finden den einen Bug, der die Credential-Prüfung ganz überspringt – genau die Art von Fehler, von der die Claude-Code-Security-Arbeit bewiesen hat, dass KI sie nun massenhaft finden kann.

Zero Trust reduziert implizites Vertrauen. Es beseitigt nicht die Sichtbarkeit.
🌲 Dark-Forest-Doktrin: Nicht gesehen werden

Wir haben diese These bereits in „Das Internet wird zu einem Dunklen Wald" behandelt. Die AISI-Daten verwandeln diese These von einer literarischen Metapher in eine operative Anforderung.

In einem dunklen Wald verrät jedes Geräusch den Standort und jedes Licht zieht Jäger an. Im KI-Zeitalter-Internet verrät jeder exponierte Port ein Ziel und jeder veröffentlichte DNS-Eintrag zieht automatisierte Aufklärung an.

Dunkler WaldKI-Zeitalter-Internet
LichtOffener Port
GeräuschIP-Adresse
SignalDNS-Eintrag
JägerAutonomer KI-Agent

Die vollständige These finden Sie auf der Vision-Seite. In einem Satz:

Sichtbarkeit ist gleich Verwundbarkeit. Die einzig skalierbare Verteidigung ist, nicht da zu sein.
🔐 Wie OpenNHP das Angriffskalkül verändert

OpenNHP – das Network-Infrastructure Hiding Protocol – setzt Dark-Forest-Verteidigung auf der Sitzungsschicht um:

  • Kryptografischer Knock vor dem TCP-Handshake. Eine nicht authentifizierte Anfrage erhält kein SYN-ACK. Sie erhält nicht einmal ein ICMP-Unreachable. Der Dienst ist nicht „gefiltert" – er ist von nichts zu unterscheiden.
  • NXDOMAIN für nicht autorisierte DNS-Abfragen. Clients ohne gültigen Identitätsnachweis erhalten dieselbe Antwort, die sie für eine nicht existierende Domain erhalten würden. Kein Fingerabdruck, keine Metadaten, keine Angriffsfläche.
  • Default-Deny auf jeder Schicht. Domains, IPs und Ports sind alle verborgen, bis die Identität mit moderner Kryptografie (Noise Protocol, Curve25519, ChaCha20-Poly1305) nachgewiesen wird.
  • Zustandslos und skalierbar. In speichersicherem Go gebaut, mit Benchmarks bei 10K Auth-Anfragen/s bei unter 100ms Latenz – Verbergung geht also nicht zulasten der Leistung.

Wenn ein autonomer KI-Agent eine OpenNHP-geschützte Umgebung scannt, liefert seine Aufklärung nichts, worauf er aufbauen könnte. Die 32-Schritte-TLO-Angriffskette bricht bei Schritt eins zusammen, weil Schritt eins erfordert, etwas zu finden, das angegriffen werden kann. Es ist nichts zu finden.

Details zum Protokoll finden Sie auf der Spezifikations-Seite. Der Entwurf wird bei der IETF standardisiert und im Session-Layer-Zero-Trust-Leitfaden der Cloud Security Alliance referenziert.

⚡ Vom Protokoll zum Produkt: Qurl von LayerV

OpenNHP ist das Open-Source-Protokoll. Ein Protokoll einzusetzen bedeutet trotzdem, Server zu betreiben, Schlüssel zu verwalten und Clients zu integrieren. Für Teams, die Dark-Forest-Verteidigung ohne diesen operativen Aufwand benötigen, ist Qurl von LayerV das direkt auf OpenNHP aufbauende Produkt – sofort einsatzbereit.

Qurls Slogan bringt die These auf den Punkt:

„You Can't Breach What You Can't See."

Mit einem einzigen API-Aufruf erzeugt Qurl zeitlich begrenzte, selbstzerstörende Zugangs-Links zu Ihren Servern, APIs und Admin-Oberflächen. Solange keiner dieser Links vorgelegt wird, ist die zugrunde liegende Infrastruktur für Scanner, Crawler und KI-Agenten unsichtbar. Der Aufklärungsschritt der TLO-Angriffskette liefert nichts, weil es nichts zu liefern gibt.

  • Out-of-the-Box-NHP-Verteidigung – keine Protokollintegrationsarbeit nötig
  • Flüchtiger Zugriff – jeder Link hat eine Lebensdauer und widerruft sich automatisch
  • API-first – mit einem Aufruf in bestehende CI/CD-, Support- oder Admin-Workflows integrierbar
  • OpenNHP unter der Haube – dieselbe standardisierungsnahe kryptografische Grundlage, dieselben Verbergungsgarantien
OpenNHP ist die Open-Source-Technologie. Qurl ist, wie Sie sie am Montag produktiv einsetzen.
🧭 Das Zeitfenster schließt sich

Wenn sich der vom NCSC beobachtete Verdopplungstrend fortsetzt, wird die Lücke zwischen „KI wird darin besorgniserregend gut" und „KI macht das autonom, in großem Umfang, billig, rund um die Uhr" in einstelligen Quartalen gemessen.

Daraus folgen drei Dinge:

  1. Sichtbarkeit ist keine neutrale Grundeinstellung mehr. Jede exponierte Oberfläche ist eine Subvention an automatisierte Angreifer.
  2. Erkennung und Reaktion allein werden nicht skalieren. Sie können kein SOC aufbauen, das mit einem Angriffs-Agenten mithalten kann, der 0,50 US-Dollar pro Stunde kostet.
  3. Netzwerk-Verbergung wird zur architektonischen Grundlage. Keine Nischenkontrolle, kein Premium-Feature – sondern Standard.
Die Frage lautet nicht mehr „Wie erkennen wir Angriffe schneller?". Sie lautet: „Wie machen wir Angriffe rechnerisch bedeutungslos?"

OpenNHP ist eine Antwort. Es ist Open Source, standardisierungsnah und heute einsatzbereit. Die Verteidiger-Rechnung geht nur auf, wenn wir die Eingaben ändern – und die eine Eingabe, die wir kontrollieren, ist, wie viel von uns wir preisgeben.

Autonome KI-Angreifer können nicht ausnutzen, was sie nicht finden können.
OpenNHP verbirgt Ihre Infrastruktur standardmäßig.

Vollständige Vision lesen →
NHP
Das OpenNHP-Team
16. April 2026 KI-Bedrohungen Zero Trust Sicherheit
← Zurück zu OpenNHP.org