Anthropics Bericht ist so oberflächlich, dass ihm kaum zu trauen ist

 (djnn.sh)
1 Punkte von GN⁺ 2025-11-17 | 2 Kommentare | Auf WhatsApp teilen
  • Der von Anthropic veröffentlichte Bericht über KI-gestützte Cyber-Spionageaktivitäten behauptet, Angriffe einer von China unterstützten Hackergruppe erkannt zu haben, doch bemängelt werden vor allem das Fehlen technischer Belege und überprüfbarer Informationen
  • Der Bericht enthält keinerlei Kernelemente üblicher Threat-Intelligence-Reports wie IoCs (Indicators of Compromise), TTPs (Taktiken, Techniken und Verfahren) sowie Informationen zu Domains, Hash-Werten oder Angriffswerkzeugen
  • Da konkrete Daten oder Beweise zur genauen Vorgehensweise des Angriffs, zu den verwendeten Tools oder Systemtypen und zum Ausmaß des Schadens fehlen, bleiben die Aussagen nicht verifizierbar
  • Besonders problematisch ist die Behauptung einer Attribution des Angriffs an eine mit der chinesischen Regierung verbundene Gruppe, für die keinerlei Grundlage geliefert wird; damit wirkt die Veröffentlichung angesichts möglicher diplomatischer Folgen unverantwortlich
  • Insgesamt wird der Bericht als ohne faktenbasierte Belege verfasst und zur Vermarktung des eigenen KI-Produkts genutzt bewertet; daraus ergibt sich die Notwendigkeit strengerer Transparenz- und Prüfstandards in der Branche

Überblick über den Anthropic-Bericht

  • Anthropic ist das Unternehmen hinter dem KI-Assistenten Claude und veröffentlichte kürzlich einen Bericht, laut dem man eine „KI-gesteuerte Cyber-Spionageoperation“ entdeckt habe
  • Dem Bericht zufolge habe die von China unterstützte Hackergruppe GTG-1002 um September 2025 rund 30 Organisationen angegriffen, wobei einige Einbrüche erfolgreich gewesen sein sollen
  • Beschrieben wird, dass über eine Claude-Code-Instanz autonom Penetrationstests durchgeführt und 80–90 % der taktischen Arbeit automatisiert worden seien

Fehlende technische Grundlage

  • Der Bericht enthält keinerlei üblicherweise veröffentlichte Indicators of Compromise (IoCs) wie Domains, Hashes, IPs, Phishing-E-Mails oder verwendete Tools
  • Auch eine Analyse auf Basis des MITRE ATT&CK-Frameworks, Angaben zum Zeitpunkt der Angriffe, Informationen zum Tooling oder Empfehlungen zur Reaktion fehlen
  • Im Vergleich etwa mit dem APT28-Bericht des französischen CERT wird das Format als unterhalb des Industriestandards bewertet

Nicht überprüfbare Behauptungen

  • Die Aussage des Berichts, „die KI habe 80–90 % der taktischen Arbeit übernommen“, ist nicht verifizierbar
  • Es heißt zwar, Claude habe Zertifikate extrahiert, Zugangsdaten gesammelt und interne Dienste abgefragt, doch fehlt jede Angabe zur konkreten Ausführung oder zu Werkzeugen (etwa Mimikatz)
  • Ebenso fehlt eine Erklärung dazu, welche Systeme oder Umgebungen kompromittiert wurden und wie die Daten verarbeitet wurden

Problem der Attribution

  • Der Bericht schreibt den Angriff einer mit der chinesischen Regierung verbundenen Gruppe zu, liefert dafür aber keine Belege
  • Welche APT-Gruppe gemeint ist und auf welcher Analyse die Attribution beruht, bleibt unklar
  • Der Autor kritisiert, eine solche unbegründete staatliche Attribution sei diplomatisch riskant und eine unverantwortliche Veröffentlichung

Fazit und Kritik

  • Der Bericht wirkt, als liege der Fokus nicht auf faktenbasierter Prüfung, sondern auf der Bewerbung der eigenen KI-Abwehrlösung
  • Im letzten Absatz wird empfohlen, „Sicherheitsteams sollten KI in der Verteidigung einsetzen“, was auf die Absicht hindeutet, KI-Sicherheitsprodukte zu verkaufen
  • Der Autor bezeichnet dies als „beschämendes und unprofessionelles Verhalten“ und fordert strengere Prüfstandards und ethische Verantwortung in der gesamten Branche
  • Unbelegte Behauptungen können die Glaubwürdigkeit der Sicherheitsforschung untergraben, weshalb die Offenlegung faktenbasierter Beweise nötig sei

Verwandte Beiträge

2 Kommentare

 
GN⁺ 2025-11-17
Hacker-News-Kommentare

  • Als ich früher SRE/Systemadministrator in einem KI-Forschungslabor eines FAANG-Unternehmens war, wurde ich gebeten, auf Informationssicherheit abgestimmte Foundation-Modelle zu testen
    Ich habe versucht, sie zum Hacken eines simulierten Druckers oder einer Linux-Box zu bewegen, aber in der Praxis war das nicht besonders hilfreich
    Ich glaube nicht, dass solche Modelle für die Steuerung von Angriffen besonders nützlich sind. Vor allem wäre es riskant, auf einem öffentlich zugänglichen System eine Command-and-Control-Struktur aufzubauen, wenn die API mit einem Bankkonto verknüpft ist

    • Ich glaube nicht, dass solche Einschränkungen für Cyberkriminelle viel bedeuten. Oft zahlen sie mit gestohlenen API-Schlüsseln oder gestohlenen Konten
      Aktuelle KIs sind viel leistungsfähiger als früher und erledigen auch Sicherheitsaufgaben leicht, wenn man nur die Sicherheitsfilter umgeht
    • Ich frage mich, ob mit der Formulierung „von einem jugendlichen Daten-Labeler betrieben“ vielleicht Alexandr Wang gemeint ist. Laut Wikipedia ist er 28
    • Der Grund, warum böswillige Akteure Claude wählen, liegt vermutlich nicht in der Fähigkeit, Angriffscode zu schreiben, sondern darin, dass westliche Organisationen Claude häufig nutzen
      Das Sonnet-Modell wurde auf westliche Code-Muster hin trainiert und ist daher im Vorteil, wenn es darum geht, Schwachstellen in Systemen zu finden, die mit Daten ähnlicher Verteilung arbeiten
      Auch bei Phishing-Angriffen lässt sich ein natürlicher Sprachton leichter nachbilden
    • „Meta und seine jugendlichen Daten-Labeler“ – das weckt alte Erinnerungen
    • Selbst wenn die API an ein Bankkonto gebunden ist, akzeptieren Vermittlungsdienste wie OpenRouter Zahlungen in Kryptowährungen

  • Die Korrekturhistorie des Anthropic-Blogs ist interessant
    Am 14. November 2025 wurde „tausende Anfragen pro Sekunde“ zu „tausende Anfragen, die mehrmals pro Sekunde auftraten“ korrigiert

    • Es wirkt seltsam, allein aus der Formulierung „mehrere Anfragen pro Sekunde“ abzuleiten, dass der Angriff von einem nichtmenschlichen autonomen Modell durchgeführt wurde
      Auch Menschen können per Code mehrere Aufgaben pro Sekunde ausführen
    • Ich glaube nicht, dass ein Techniker solche Einheiten verwechseln würde

  • Die Leute unterschätzen APT (Advanced Persistent Threat)
    An meinem früheren Arbeitsplatz gab es ebenfalls einen Gmail-Einbruch, eine komplexe Attacke aus mehreren Zero-Days und einer Social-Engineering-Kampagne
    Am Ende zeigten sich Spuren eines bestimmten staatlichen Akteurs, und KI beschleunigt bei solchen Angriffen die Effizienz

    • Tatsächlich gibt es unter APTs auch Angreifer mit geringer Qualifikation. Ich habe Fälle gesehen, in denen ein passwortloser HTTP-Server offen stand und der gesamte Root-Ordner freigegeben war
      Sie gewinnen eher durch Masse als durch Qualität. Deshalb vertraue ich dem Bericht von Anthropic nicht vollständig
    • Wenn man nur kurz von den „neuesten Hardware- und Software-Nachrichten“ hört, hat man plötzlich schon wieder einen weiteren Tech-Podcast abonniert
    • Es überrascht mich, dass bei einem einzigen Angriff mehrere Zero-Days eingesetzt worden sein sollen
    • Ich möchte nur bestätigen, dass APT für Advanced Persistent Threat steht

  • Zwischen Infosec-Forschern und ML-Sicherheitsforschern gibt es eine große Wissenslücke
    Bei Anthropic gibt es viele Leute aus der zweiten Gruppe und zu wenige aus der ersten
    Auch das Papier Attacker Moves Second behandelt diesen Unterschied
    Im ML-Bereich nutzt man ASR (Attack Success Rate) als Metrik, während in der Sicherheitswelt schon ein einziger Erfolg als gravierend gilt
    ML arbeitet mit statischen Tests, Sicherheit geht von adaptiven Angreifern aus

    • ML-Forscher sind keine Sicherheitsexperten. Erst beide Disziplinen zusammen zeigen das Gesamtbild
      ML übernimmt die Rolle des Blue Teams, Sicherheitsforscher die des Red Teams

  • Der ganze Artikel wirkte auf mich wie ein marketingartiger Text nach dem Muster „Claude ist so mächtig, dass chinesische Hacker es benutzen

    • Das erinnert an das alte Gerücht, die PlayStation 2 sei so leistungsstark gewesen, dass der Irak sie als Supercomputer eingesetzt habe
      Passender Artikel
    • Weil Anthropic Claude gut gebaut hat, scheint man dort zu glauben, man sei nun auch Sicherheitsexperte
      Deshalb wirkt der Bericht so, als sei er unter Missachtung von Branchenstandards verfasst worden
    • Wenn man die „chinesische Bedrohung“ betont, kann man sich die Gunst der US-Regierung sichern
      Vielleicht haben sie tatsächlich Angriffe erkannt, aber sie gleich als von der chinesischen Regierung unterstützte Organisationen festzulegen, wirkt wie übertriebenes Marketing
    • Werbung nach dem Muster „unser Produkt ist gefährlich“ ist außerhalb der Rüstungsindustrie eher selten
      Andererseits könnte man ihnen bei Nichtveröffentlichung Vertuschung vorwerfen, also könnte es auch eine Mitteilung mit Warncharakter sein

  • Problematisch ist der Mangel an Belegen für die Einstufung der Angriffe als von China unterstützte Gruppen
    Solche Berichte wirken wie eine politische Botschaft, um Investitionen der US-Regierung anzustoßen

    • Öffentliche Berichte legen selten Detail-Tools oder URLs offen
      In Regierungsberichten mag das enthalten sein, auf Blog-Niveau kann es weggelassen werden
      Trotzdem halte ich es für überzogen, von „unzureichender Beweislage“ direkt auf „politische Manipulation“ zu schließen
      Schon die Möglichkeit, dass KI für solche Angriffe eingesetzt wird, ist ein hinreichendes Warnsignal
    • Anthropic fährt schon lange eine anti-chinesische Linie
      Es ist möglich, dass ein Vorfall mit einigen tatsächlichen chinesischen IPs absichtlich hervorgehoben wurde
    • Die KI-Blase wird bald platzen, und die Unternehmen versuchen offenbar, sich als nationale Sicherheitsinfrastruktur darzustellen, um staatliche Unterstützung zu bekommen
    • Es ist ironisch, dass sie „China stiehlt Technologie“ rufen, während sie selbst urheberrechtlich geschützte Werke ohne Erlaubnis zum Training verwenden

  • Ich frage mich, ob Anthropic überhaupt echte Sicherheitsexperten hat
    Vielleicht ist es nur Unternehmensstrategie, vielleicht fehlen intern aber auch tatsächlich Sicherheitskompetenzen

    • Ich kritisiere oft ihre mangelnde technische Umsetzungskompetenz. Dass so ein Unternehmen ein solides Sicherheitssystem aufgebaut hat, halte ich für fast ausgeschlossen
    • Ohne ausreichendes Sicherheitspersonal Behauptungen wie „eine von der chinesischen Regierung unterstützte Spionageoperation“ ohne Belege aufzustellen, ist verantwortungslos
    • Sie verfügen doch ohnehin über das Modell selbst, das mit solchen Berichten trainiert wurde – warum können sie die Analyse dann nicht direkt selbst durchführen?
    • Es gibt auch ein Vortragsvideo, in dem gezeigt wird, wie KI zur Lösung realer Sicherheitsprobleme eingesetzt wurde
      YouTube-Link

  • Wer schon einmal einen Coding-Assistenten wie Claude benutzt hat, unterschätzt seine Fähigkeiten nicht
    Deshalb wirken die Behauptungen des Berichts auf mich durchaus plausibel

    • Ich gebe Claude SSH-Zugriff und lasse es Netzwerkprobleme auf Servern direkt untersuchen
      Die Analyse von tcpdump oder Routing-Tabellen war dabei ziemlich nützlich
      Man muss allerdings die Grenzen und Zeitpunkte von Fehlverhalten kennen und direkt eingreifen können
    • Beiträge nach dem Muster „ich habe es zwar nicht benutzt, aber“ sieht man auf HN oft
      Wenn jemand, der es nie ausprobiert hat, wie ein Experte spricht, wirkt das wenig glaubwürdig
    • Das Problem des Berichts ist nicht das Potenzial des Werkzeugs, sondern das Fehlen von Belegen
      Reine Möglichkeit macht noch keinen vertrauenswürdigen Bericht
    • Anthropic hat nur Plausibilität behauptet, aber keine empirischen Belege geliefert; dadurch ist die Qualität niedrig und das Motiv wirkt fragwürdig

  • Der Bericht von Anthropic fühlte sich an wie Werbung nach dem Muster: Unsere Technologie ist so mächtig, dass sie missbraucht werden kann
    Fast wie eine Waffenwerbung, die sagt: „Seht, wie gefährlich diese Waffe ist“

  • Als ich den Titel zuerst sah, dachte ich, es ginge um Anthropic als Papierfirma, die seltsam riechendes Papier herstellt
    Und selbst nach dem Lesen fühlt es sich immer noch wie Unsinn an