Agentische KI in Cyberangriffen wird laut Google Cloud Blog zunehmend praktisch relevant: China-nahe Akteure wie APT31 testen agentische Workflows für automatisierte Reconnaissance, während parallel Model-Extraction-/Distillation-Angriffe auf KI-Modelle an Umfang gewinnen – für Unternehmen entsteht damit neben klassischer IT-Sicherheit eine zusätzliche Angriffsfläche rund um KI-APIs und Modellschutz.
Agentische KI in Cyberangriffen rückt näher
Staatlich unterstützte Angreifer testen zunehmend, wie sich generative KI in reale Operationsketten einbauen lässt – und zwar nicht nur als „Schreibhilfe“ für Phishing, sondern als teilautonomer Motor für Aufklärung, Tooling und Skalierung. Google warnt in seinem aktuellen Beitrag aus der Reihe Cloud CISO Perspectives, besonders auffällig sei die Experimentierphase mit agentischen Fähigkeiten, die es Akteuren erlaube, Reconnaissance zu automatisieren und Operationen schneller hochzuskalieren. Als Beispiel nennt Google die China-nahe Gruppe APT31, die agentische Ansätze zur automatisierten Aufklärung erprobt.
Parallel dazu beobachten die Analysten eine zweite Entwicklung, die weniger sichtbar, aber für Anbieter und Betreiber von KI-Diensten geschäftskritisch ist: Model-Extraction-Angriffe (auch „Distillation“ genannt) nehmen zu. Dabei versuchen Angreifer, die Logik eines leistungsfähigen „Teacher“-Modells über massenhafte Abfragen nachzubilden – häufig mit dem Ziel, ein eigenes „Student“-Modell deutlich billiger zu trainieren und ohne die Schutzmechanismen der Originalsysteme weiterzuverwenden.
Was Google zu APT31 und agentischer Reconnaissance sagt
Die zentrale Warnung im Google-Beitrag ist weniger ein einzelner „Exploit“, sondern eine taktische Verschiebung: Agentische Workflows können Reconnaissance von einem manuellen, iterativen Prozess zu einer automatisierten Pipeline machen. Google beschreibt agentische Experimente als besonders besorgniserregend, weil sie Aufklärung nicht nur beschleunigen, sondern auch systematisieren: Ein Agent kann Aufgaben wie Zielprofiling, Recherche zu öffentlich bekannten Schwachstellen, das Ableiten von Testplänen oder die Vorbereitung von Social-Engineering-Interaktionen in Serie abarbeiten – und damit die „Kosten pro Ziel“ drastisch senken.
Wichtig: Google formuliert das als Beobachtung von „Experimentation“ – also als ein Stadium, in dem Akteure Vorgehensweisen erproben und verfeinern, nicht zwingend als Hinweis auf einen bereits vollständig autonom laufenden Angriff. Genau diese Zwischenphase ist aber in der Praxis oft der Moment, in dem Verteidiger am meisten lernen können: Welche Artefakte entstehen? Welche Prompt- und API-Muster sind typisch? Und an welchen Stellen bleibt der Mensch weiterhin im Loop?
Model Extraction als neue Angriffsfläche für KI-Anbieter
Während agentische Reconnaissance vor allem die operative Seite betrifft, adressieren Model-Extraction- und Distillation-Angriffe ein anderes Ziel: das KI-Modell selbst. Google beschreibt Model Extraction als Missbrauch von Knowledge Distillation, um Informationen und Fähigkeiten eines Modells auf ein System zu übertragen, das der Angreifer kontrolliert. Das ist aus Sicht der Anbieter primär IP-Diebstahl – und damit ein Business-Risiko, nicht nur ein technisches Problem. Entsprechend empfiehlt Google Anbietern von „AI-as-a-Service“, API-Zugriffe gezielt auf Extraktions- und Distillation-Muster zu überwachen.
BornCity konkretisiert die Dimension solcher Kampagnen und spricht – unter Verweis auf Googles Threat-Intelligence-Erkenntnisse – von einem Fall mit über 100.000 Prompts, die darauf abzielten, die interne Logik bzw. Reasoning-Fähigkeiten der Gemini-Modelle zu extrahieren. Die Kernaussage:
Für Endnutzer sei das nicht zwingend das unmittelbare Risiko, für KI-Plattformbetreiber jedoch schon – weil die API selbst zum Diebstahlkanal werden kann.
Agentische KI in Cyberangriffen – Welche Folgen das für SOCs und KI-Teams hat
Aus Verteidigersicht treffen die beiden Trends unterschiedliche Verantwortlichkeiten – und genau das macht sie gefährlich:
- Security Operations müssen damit rechnen, dass Reconnaissance schneller, breitflächiger und stärker personalisiert abläuft – nicht zwingend „magischer“, aber effizienter. Das erhöht die Frequenz von Vorstufenaktivität (Profiling, Pretexting, Skripting) und kann klassische Frühwarnsignale verwässern.
- AI-/Plattform-Teams müssen API- und Abuse-Telemetrie als Sicherheitskontrolle betrachten, nicht nur als Billing- oder Performance-Metrik. Wenn Distillation über legitime Schnittstellen läuft, entscheidet Anomalieerkennung über „normal“ vs. „Extraktion“.
Google betont zudem, dass Model Extraction aktuell vor allem „Frontier Labs“ betrifft, aber mit wachsender Exponierung von Modellen auch bei anderen Anbietern und in Unternehmen ankommen dürfte, sobald diese eigene Modelle an Kunden oder die Öffentlichkeit anbinden.
KI bringt nicht zwingend neue Fähigkeiten, aber neue Skalierung
BornCity fasst die Stoßrichtung so zusammen, dass KI Angreifern bislang nicht zwingend „radikal neue“ Fähigkeiten verschaffe, aber bestehende Taktiken häufiger, raffinierter und produktiver mache – ein Wettrüsten, das sich damit von der Frage „kann KI hacken?“ hin zu „wie stark senkt KI die Kosten pro Angriffsschritt?“ verschiebt.
Für die Praxis heißt das: Wer KI als Plattform betreibt oder in Produkte integriert, muss Sicherheitskontrollen um KI-spezifische Missbrauchsmuster erweitern. Und wer klassische Unternehmens-IT verteidigt, sollte damit rechnen, dass Reconnaissance und Social Engineering künftig noch stärker industrialisiert werden – gerade dann, wenn agentische Workflows in der Frühphase einer Kampagne zuverlässig funktionieren.
