Projekt Zealot: Wenn KI-Agenten die Cloud-Sicherheit im Alleingang knacken

Forscher zeigen mit „Zealot“, wie KI-Agenten autonom Cloud-Systeme infiltrieren. Die Geschwindigkeit der Angriffe übersteigt menschliche Reaktionszeiten.

Die Grenzen zwischen menschgesteuerten Cyberattacken und autonom agierender Software verschwimmen zusehends. Ein aktuelles Forschungsprojekt des Unit 42-Teams von Palo Alto Networks demonstriert unter dem Codenamen „Zealot“, dass künstliche Intelligenz mittlerweile eine funktionale Reife erreicht hat, um komplexe Cloud-Umgebungen eigenständig anzugreifen. In einer isolierten Testumgebung der Google Cloud Platform (GCP) gelang es dem System, eine vollständige Angriffskette ohne menschliches Zutun abzuarbeiten. Und zwar von der ersten Erkundung bis zum Abzug sensibler Daten.

Supervisor fungiert als strategisches Gehirn

Das System Zealot basiert auf einem sogenannten Multi-Agenten-Ansatz. Anstatt eines einzelnen, monolithischen Modells nutzt das Framework eine hierarchische Struktur, die von einem „Supervisor-Agenten“ gesteuert wird. Dieser Supervisor fungiert als strategisches Gehirn, das die aktuelle Situation analysiert und Aufgaben an drei spezialisierte Unteragenten delegiert:

• Infrastructure Agent: Dieser Agent ist auf die Erkundung und Kartierung von Netzwerken spezialisiert. Er scannt Ports, identifiziert verbundene Instanzen und erkennt Cloud-Netzwerkstrukturen wie Peered VPCs.
• Application Security Agent: Er konzentriert sich auf die Ausnutzung von Schwachstellen in Webanwendungen. Sein Ziel ist die Gewinnung von Zugangsdaten (Credentials) durch Techniken wie Server-Side Request Forgery (SSRF).
• Cloud Security Agent: Dieser Spezialist übernimmt die Phase nach dem Eindringen. Er nutzt gestohlene Token, um Identitäten zu imitieren (Impersonation), Berechtigungen auszuweiten (Privilege Escalation) und schließlich Daten aus Diensten wie BigQuery zu exfiltrieren.

Dieser modulare Aufbau erlaubt es dem System, Kontextinformationen zwischen den Agenten auszutauschen und die Strategie dynamisch an die Entdeckungen im Netzwerk anzupassen.

Der dokumentierte Angriffsweg in der GCP-Sandbox

In den durchgeführten Versuchen erhielt Zealot lediglich ein abstraktes Ziel: „Exfiltriere sensible Daten aus BigQuery“. Den Weg dorthin musste das System selbstständig finden. Der dokumentierte Ablauf verdeutlicht die Effizienz der Maschine:

1. Phase: Erkundung. Der Infrastructure Agent scannte die Netzwerkumgebung und entdeckte eine über VPC-Peering verbundene virtuelle Maschine (VM), auf der eine Webanwendung lief.
2. Phase: Initialer Zugriff. Der Application Security Agent identifizierte eine SSRF-Schwachstelle in der Anwendung. Durch deren Ausnutzung gelang es der KI, das Zugriffstoken eines Service-Accounts über den internen Metadatendienst von Google Cloud abzugreifen.
3. Phase: Privilegieneskalation. Mit dem entwendeten Token prüfte der Cloud Security Agent die vorhandenen IAM-Berechtigungen (Identity and Access Management). Da der direkte Zugriff auf eine „Production“-Datenbank in BigQuery zunächst verweigert wurde, erstellte die KI einen neuen Storage-Bucket, exportierte die Datenbanktabelle dorthin und erteilte sich selbst die nötigen Rechte (storage.objectAdmin), um die Daten final abzuziehen.

Besonders bemerkenswert für die Forscher war das Auftreten von „emergenter Intelligenz“: Ohne explizite Anweisung pflanzte die KI nach der Übernahme einer VM einen eigenen SSH-Schlüssel ein, um sich einen dauerhaften Zugangsweg (Persistence) zu sichern. Das ist eine strategische Entscheidung, die nicht Teil der ursprünglichen Programmierung war.

Herausforderungen: Das Problem der „Rabbit Holes“

Trotz der beeindruckenden Geschwindigkeit und Präzision stießen die KI-Agenten in den Tests auch an Grenzen. Die Forscher beobachteten das sogenannte „Rabbit Hole“-Problem: Die KI neigt dazu, sich in irrelevanten technischen Details zu verlieren. So konnte es vorkommen, dass ein Agent eine unwichtige IP-Adresse über Stunden hinweg mit maximaler Tiefe analysierte, anstatt das offensichtliche Hauptziel weiterzuverfolgen.

Ein vollständig autonomer Angriff über den gesamten Lebenszyklus hinweg ist daher noch instabil. In der Praxis waren in den Unit 42-Tests gelegentliche manuelle Eingriffe nötig, um das System aus logischen Sackgassen zu befreien. Dennoch schrumpft das Zeitfenster zwischen dem ersten Zugriff und dem Datenverlust (Mean Time to Exfiltrate) durch diese Automatisierung enorm.

Implikationen für die Cloud-Verteidigung

Die Ergebnisse von Projekt Zealot haben weitreichende Folgen für Sicherheitsverantwortliche. Traditionelle Detektionsmodelle, die auf dem Zeitmanagement und den Verhaltensmustern menschlicher Angreifer basieren, stoßen bei KI-gesteuerten Attacken an ihre Grenzen. Eine KI agiert in Maschinengeschwindigkeit; Aktionen, für die ein menschliches Red Team Stunden benötigt, werden in Sekunden oder Minuten ausgeführt.

Experten ziehen daraus drei wesentliche Schlüsse:

• Automatisierung der Abwehr: Manuelle Reaktionen auf Alarme sind zu langsam. Abwehrmechanismen müssen ebenso wie die Angriffe automatisiert und KI-gestützt erfolgen.
• Fokus auf Posture-Management: Da KI-Agenten bestehende Fehlkonfigurationen (wie überprivilegierte Service-Accounts oder exponierte Metadatendienste) systematisch und ohne Ermüdungserscheinungen finden, wird die proaktive Härtung der Cloud-Konfiguration (CSPM) zur kritischsten Verteidigungslinie.
• Identität als primäres Ziel: Da 65 % der initialen Zugriffe im Jahr 2026 auf identitätsbasierte Techniken zurückzuführen sind, müssen Unternehmen den Zugriff auf Metadatendienste strikt begrenzen und das Prinzip der geringsten Rechte (Least Privilege) konsequent umsetzen.