Der Fall des 17-Jährigen steht nicht allein. Im Februar 2025 bauten drei Jugendliche im Alter von 14, 15 und 16 Jahren ohne jede Programmiererfahrung mit ChatGPT ein Werkzeug, das das System von Rakuten Mobile rund 220.000 Mal traf; ihre Erlöse gaben sie für Spielekonsolen und Online-Glücksspiel aus. Im Juli 2025 führte ein einzelner Akteur mithilfe von Claude Code eine Erpressungskampagne gegen 17 Organisationen durch — die agentische KI entwickelte den Schadcode, ordnete gestohlene Dateien, analysierte Finanzdaten zur Bemessung der Forderungen und verfasste die Erpressungsmails. Im Dezember 2025 drang eine Einzelperson mit Claude Code und ChatGPT in mehr als zehn Behörden der mexikanischen Regierung ein und entwendete über 195 Millionen Steuerdatensätze.
Solche Angriffe waren laut Smyth auch vor 2025 möglich. Neu ist, dass einzelne Täter heute leisten, was zuvor organisierte Teams kennzeichnete, und dass technisch unbedarfte Personen Attacken ausführen, die früher nur begabten Hackern oder Ingenieuren vorbehalten waren.
Die Kennzahlen untermauern den Befund. Laut Sonatype gab es 2022 noch 55.000 Schadpakete in öffentlichen Repositorien, 2025 bereits 454.600. Deutliche Sprünge fielen mit der Veröffentlichung von GPT-4 (2023) und dem Durchbruch agentischer Programmierung (2025) zusammen. Die Zeit bis zum Exploit sank von über 700 Tagen im Jahr 2020 auf nur noch 44 Tage im Jahr 2025. Mandiants Bericht M-Trends 2026 zufolge ist diese Spanne effektiv negativ geworden: Exploits treffen routinemäßig vor den Patches ein, 28,3 Prozent der CVEs werden binnen 24 Stunden nach Offenlegung ausgenutzt.
Parallel schnellte die Leistung führender Modelle auf technischen Benchmarks nach oben. Im August 2024 lösten die besten Modelle 33 Prozent realer GitHub-Issues auf SWE-bench, im Dezember 2025 knapp 81 Prozent.
Das Wettrennen begünstigt laut den Daten die Angreifer. Dem Edgescan 2025 Vulnerability Statistics Report zufolge beträgt die durchschnittliche Behebungszeit für bekannte hoch- oder kritisch eingestufte CVEs inzwischen 74 Tage; in Systemen großer Unternehmen mit mehr als 1.000 Mitarbeitern werden 45 Prozent der Schwachstellen nie behoben.
Den Druck verschärft die Flut an Schadpaketen. Im September 2025 kompromittierte der Shai-Hulud-Angriff auf das npm-Ökosystem über 500 Pakete; bei mehr als 487 Organisationen wurden Geheimnisse offengelegt, und nach dem Diebstahl ausgespähter Zugangsdaten wurden über eine vergiftete Chrome-Erweiterung 8,5 Millionen Dollar von Trust Wallet entwendet. Viele Organisationen verhängten daraufhin Code-Freezes.
Hinzu kommt das Erkennungsproblem: 2025 gaben sich schädliche npm-Pakete als populäre Bibliotheken wie chalk und debug aus und enthielten Dokumentation, Unit-Tests und Code, der wie legitime Telemetrie-Module wirkte. Statische Analyse und Signaturscanner übersahen sie vollständig, weil der vermutlich KI-generierte Code wie echte Software aussah. Chainguard-Chef Dan Lorenc bemerkt dazu, Komplexität und Umfang des Schwachstellenmanagements seien den Fähigkeiten der meisten Organisationen entwachsen.
Smyth plädiert deshalb dafür, ganze Schwachstellenkategorien zu eliminieren statt den Angriffen hinterherzulaufen. Diesem Ansatz folge Chainguard Libraries, das jede Open-Source-Bibliothek aus verifiziertem, zuordenbarem Quellcode neu baut und so Angriffe wie CI/CD-Übernahmen, Dependency Confusion oder Paketverteilungsangriffe strukturell unmöglich machen soll. Im Test gegen 8.783 schädliche npm-Pakete habe das Verfahren 99,7 Prozent blockiert, gegen rund 3.000 schädliche Python-Pakete etwa 98 Prozent.