Ein Ransomware-Angriff, bei dem erstmals ein KI-Agent die gesamte technische Ausführung übernahm, wird meist als Cybersecurity-Geschichte erzählt. Der Fall JadePuffer ist aber vor allem eine Geschichte über Identität: Die eigentliche Schwachstelle lag nicht im Modell, sondern darin, dass das angegriffene System zwischen einem autorisierten Nutzer und einem regelentwerfenden Agenten gar nicht erst unterscheiden konnte.


Ausgangspunkt

Anfang Juli 2026 meldete die Sicherheitsfirma Sysdig, was in der Berichterstattung schnell zum Fanal wurde: der erste dokumentierte Fall von „agentic ransomware”. Ein als JadePuffer bezeichneter Bedrohungsakteur ließ einen KI-Agenten über eine Schwachstelle in Langflow eindringen, sich lateral durch ein Netzwerk bewegen, eine Datenbank kompromittieren, mehr als 1.300 Konfigurationseinträge verschlüsseln und schließlich eine selbst verfasste Lösegeldforderung samt Bitcoin-Adresse hinterlassen. Die Schlagzeilen sprachen von einem Angriff „ohne menschliche Aufsicht”. Wenige Tage später relativierte Sysdig-Forscher Michael Clark diese Lesart gegenüber CyberScoop und TechCrunch: Ein Mensch hatte das Opfer ausgewählt, die Command-and-Control-Infrastruktur aufgesetzt und die initialen Datenbank-Zugangsdaten aus einem separaten, früheren Einbruch beschafft. Der Agent übernahm die technische Durchführung – nicht die Entscheidung, überhaupt zu handeln.

Diese Korrektur ist mehr als eine Fußnote für Sicherheitsanalysten. Sie markiert die eigentliche Bruchstelle des Falls.

Konstellationsanalyse: Wer handelt hier eigentlich?

Betrachtet man die Konstellation nüchtern, treten vier Instanzen auf: der menschliche Operator, der Ziel und Infrastruktur festlegt; der KI-Agent, der die Ausführung übernimmt; die gestohlenen Zugangsdaten, die als Autorisierungsnachweis fungieren, ohne dass ihre Herkunft geprüft wird; und schließlich die angegriffene Infrastruktur selbst, die zwischen diesen Instanzen nicht unterscheiden kann. Genau hier liegt der Kern des Problems, den die Cybersecurity-Berichterstattung nur am Rande streift: Die Zielsysteme sahen keinen Agenten und keinen Menschen. Sie sahen gültige Credentials und eine erreichbare Codeausführungs-Schnittstelle. Die Frage „Wer handelt hier?” stellte sich technisch schlicht nicht.

Sysdig konnte nicht einmal feststellen, welches Sprachmodell den Angriff steuerte. Die im System vorgefundenen API-Schlüssel für mehrere Anbieter erwiesen sich nachträglich als Beute, nicht als Antrieb. Was bleibt, ist eine Blackbox, die sich mit legitimen Zugangsdaten durch ein System bewegt hat, ohne dass an irgendeiner Stelle eine Instanz existierte, die hätte fragen können: Handelt hier tatsächlich derjenige, dem diese Credentials ursprünglich zugeordnet waren – oder ein Agent, der sie lediglich übernommen hat?

Die PR-Schere: Autonomie als Erzählung, Autorisierungslücke als Realität

Zwischen der ersten Meldung „vollautonomer Angriff” und der späteren Präzisierung „Me…