Nach der Beschreibung im GitHub-Repository ist CyberStrikeAI in Go geschrieben und bindet mehr als 100 Sicherheitswerkzeuge ein. Damit lassen sich Schwachstellen aufspüren, Angriffsketten analysieren, Wissen abrufen und Ergebnisse visualisieren. Gepflegt wird das Projekt von einem chinesischen Entwickler, der unter dem Online-Pseudonym Ed1s0nZ auftritt.
Team Cymru beobachtete zwischen dem 20. Januar und dem 26. Februar 2026 insgesamt 21 unterschiedliche IP-Adressen, auf denen CyberStrikeAI lief. Die Server standen überwiegend in China, Singapur und Hongkong; weitere Server mit Bezug zu dem Werkzeug wurden in den USA, Japan und der Schweiz festgestellt.
Neben CyberStrikeAI hat das Konto Ed1s0nZ mehrere weitere Werkzeuge veröffentlicht, die ein Interesse an der Ausnutzung und am “Jailbreaking” von AI-Modellen erkennen lassen. Laut Will Thomas deuten die GitHub-Aktivitäten des Entwicklers zudem auf Kontakte zu Organisationen hin, die möglicherweise staatlich gestützte chinesische Cyberoperationen unterstützen – darunter chinesische Privatunternehmen mit bekannten Verbindungen zum chinesischen Ministerium für Staatssicherheit (MSS).
Eines dieser Unternehmen ist Knownsec 404, ein chinesischer Sicherheitsanbieter, bei dem es kürzlich zu einem schwerwiegenden Leck von mehr als 12.000 internen Dokumenten kam. Offengelegt wurden dabei Mitarbeiterdaten, Behördenkunden, Hacking-Werkzeuge sowie große Mengen entwendeter Daten, etwa südkoreanische Anrufprotokolle und Informationen zu kritischen Infrastrukturen Taiwans. DomainTools bezeichnete Knownsec in einer Analyse als “staatsnahen Cyber-Auftragnehmer”, der die nationale Sicherheit, Geheimdienst- und Militärziele Chinas unterstützen könne. Tatsächlich verfüge die Firma über eine Schattenorganisation, die für die Volksbefreiungsarmee (PLA), das MSS und die Sicherheitsorgane des chinesischen Staates arbeite; Werkzeuge wie ZoomEye und die “Critical Infrastructure Target Library” verschafften China ein globales Aufklärungssystem.
Thomas zufolge hat Ed1s0nZ aktiv an einer README.md-Datei in einem gleichnamigen Repository Änderungen vorgenommen und dabei Hinweise darauf entfernt, mit dem “Level 2 Contribution Award” der China National Vulnerability Database of Information Security (CNNVD) ausgezeichnet worden zu sein. Der Entwickler erklärte zudem, alles Geteilte diene ausschließlich der Forschung und dem Lernen.
Nach Recherchen von Bitsight unterhält China zwei verschiedene Schwachstellendatenbanken: die CNNVD, die dem Ministerium für Staatssicherheit untersteht, und die CNVD, die von CNCERT kontrolliert wird. Frühere Erkenntnisse von Recorded Future zeigten, dass die CNNVD Schwachstellen mit höheren CVSS-Werten langsamer veröffentlicht als solche mit niedrigeren.
“Der jüngste Versuch des Entwicklers, Verweise auf die CNNVD aus seinem GitHub-Profil zu tilgen, deutet auf ein aktives Bemühen hin, diese staatlichen Verbindungen zu verschleiern – wahrscheinlich, um die Einsatzfähigkeit des Werkzeugs mit wachsender Popularität zu sichern”, so Thomas. Die Verbreitung von CyberStrikeAI dürfte sich beschleunigen und stelle eine besorgniserregende Entwicklung bei der Ausbreitung AI-gestützter Offensivwerkzeuge dar.
