CyberStrikeAI beschreibt sich im eigenen GitHub-Repository als “KI-native Plattform für Sicherheitstests, geschrieben in Go”. Sie bindet nach eigener Darstellung über 100 Sicherheitswerkzeuge ein und kombiniert sie mit einer Orchestrierungs-Engine, vordefinierten Sicherheitsrollen und einem Fähigkeitensystem. Über das native MCP-Protokoll und KI-Agenten soll sie laut Projektbeschreibung eine durchgängige Automatisierung ermöglichen – von dialogbasierten Befehlen über das Aufspüren von Schwachstellen und die Analyse von Angriffsketten bis zur Aufbereitung der Ergebnisse.
Die Plattform enthält eine KI-Entscheidungs-Engine, die mit Modellen wie GPT, Claude und DeepSeek kompatibel ist, eine passwortgeschützte Weboberfläche mit Audit-Protokollierung und SQLite-Speicherung sowie ein Dashboard zur Verwaltung von Schwachstellen und zur Visualisierung von Angriffsketten.
Das Werkzeugarsenal deckt eine vollständige Angriffskette ab: Netzwerk-Scanning (nmap, masscan), Web- und Anwendungstests (sqlmap, nikto, gobuster), Exploitation-Frameworks (Metasploit, pwntools), Werkzeuge zum Knacken von Passwörtern (hashcat, john) sowie Post-Exploitation-Frameworks (mimikatz, bloodhound, impacket). Durch die Verbindung dieser Werkzeuge mit KI-Agenten und einem Orchestrator ermöglicht CyberStrikeAI laut Team Cymru auch wenig versierten Akteuren, Angriffe gegen Ziele zu automatisieren.
Die Forscher beobachteten zwischen dem 20. Januar und dem 26. Februar 2026 insgesamt 21 verschiedene IP-Adressen, auf denen CyberStrikeAI lief. Die Server standen überwiegend in China, Singapur und Hongkong, weitere Infrastruktur fand sich in den USA, Japan und Europa. Thomas erwartet, dass die automatisierte, KI-gestützte Ausrichtung auf verwundbare Edge-Geräte zunehmen wird – ähnlich der beobachteten Aufklärung und Adressierung von FortiGate-Geräten. Neben CyberStrikeAI nennt er weitere Projekte des Entwicklers wie PrivHunterAI und InfiltrateX, die die Einstiegshürde für komplexe Netzwerkangriffe deutlich senkten.
Den Entwickler, der unter dem Alias “Ed1s0nZ” auftritt, untersuchten die Forscher näher. Über mit dem Konto verknüpfte öffentliche Repositories arbeitete er an weiteren KI-gestützten Werkzeugen, darunter PrivHunterAI zur Erkennung von Schwachstellen für Rechteausweitung und das Scan-Werkzeug InfiltrateX. Laut Team Cymru zeigt die GitHub-Aktivität Interaktionen mit Organisationen, die zuvor mit chinesischen staatsnahen Cyberoperationen in Verbindung gebracht wurden.
Im Dezember 2025 teilte der Entwickler CyberStrikeAI mit dem “Starlink Project” von Knownsec 404 – Knownsec ist ein chinesisches Sicherheitsunternehmen mit mutmaßlichen Verbindungen zur chinesischen Regierung. Am 5. Januar 2026 erwähnte er auf seinem GitHub-Profil eine Auszeichnung im Rahmen des “CNNVD 2024 Vulnerability Reward Program – Level 2 Contribution Award”. Die China National Vulnerability Database (CNNVD) wird mutmaßlich von Chinas Nachrichtendiensten betrieben; der Hinweis auf die CNNVD wurde laut Team Cymru später aus dem Profil entfernt. Die Repositories sind überwiegend auf Chinesisch verfasst, was auf einen chinesischsprachigen Entwickler hindeutet.
In diesem Monat berichtete zudem Google, dass Bedrohungsakteure die KI Gemini über sämtliche Phasen von Cyberangriffen hinweg missbrauchen.
