Nethercott zeichnet die Entwicklung offensiver KI als schrittweise Emanzipation vom menschlichen Bediener nach. In den vergangenen Jahren sei künstliche Intelligenz vor allem ein Werkzeug gewesen, das Texte formulierte, Exploits vorschlug oder bösartige Funktionen entwarf, die Ausführung aber an Menschen zurückgab. In einem Whitepaper, das er 2023 am SANS Technology Institute veröffentlichte, habe er gezeigt, wie selbst eine Person mit sehr geringen Kenntnissen einen Chatbot dazu bringen könne, Malware zu erzeugen, die eingebaute Schutzmechanismen umgeht. Mit Agentic AI werde aus dieser Assistenz nun ein System, das aus einem Ziel eigenständig Handlungsschritte ableitet und ausführt.

Besonders stark betreffe das nach seiner Einschätzung Akteure mit wenig Erfahrung. Sie könnten Agenten nutzen, um Exploits zu entwickeln und Kampagnen autonom durchzuführen. Nethercott bezeichnet dieses Phänomen als „Script Kiddie as a Service“: Anspruchsvollere Angriffe würden damit auch für bislang ungeschulte Akteure erreichbar. Deren Grenzen würden zunehmend nicht mehr durch eigenes Fachwissen bestimmt, sondern durch die Fähigkeiten der eingesetzten KI-Modelle.

Weil viele unerfahrene Angreifer ähnliche Modelle auf vergleichbare Weise einsetzen dürften, erwartet Nethercott eine Art Verhaltens-Monokultur. Das erhöhe zwar die Zahl kompetent wirkender Angriffe, erzeuge aber auch wiedererkennbare Muster, etwa standardisierte Phishing-Ansätze oder typische Exploit-Ketten. Erfahrene Gegner würden sich von solchen Voreinstellungen eher lösen, die Mehrheit jedoch nicht. Für Verteidiger könne genau dieses Wissen über Standardverhalten hilfreich sein, um weit verbreitete Bedrohungen besser vorherzusehen und abzufangen.

Für erfahrene Offensiv-Spezialisten liege der Vorteil laut Nethercott weniger in zusätzlicher Fachkompetenz als in Tempo. Wenn ein Agent mit etablierter Vorgehensweise trainiert werde, könnten Kampagnen parallel laufen; Aufgaben, die früher Wochen beanspruchten, ließen sich in Stunden erledigen. Damit wachse die Bedrohung in zwei Richtungen: mehr Akteure am unteren Einstiegspunkt und beschleunigte Operationen auf hohem Niveau.

Als anschauliches Beispiel nennt er autonomes Social Engineering. Ein Agent sammle dazu öffentlich verfügbare Informationen aus Quellen wie LinkedIn-Profilen, Pressemitteilungen oder Konferenzaufzeichnungen und erstelle daraus ein detailliertes Zielprofil. Ein zweiter Agent verfasse und versende dann personalisierte Nachrichten, bearbeite Reaktionen und führe die Kommunikation ohne menschliches Eingreifen weiter. Das Problem sei dabei nicht nur die Geschwindigkeit, sondern der Verlust klassischer Erkennungsmerkmale von Phishing: holprige Sprache, wiederverwendete Vorlagen und massenhaft identische Nachrichten. Infrastrukturmerkmale wie Absenderreputation und Authentifizierung blieben zwar relevant, auf sie müssten Verteidiger aber stärker denn je bauen.

Nethercott sieht dieselbe Automatisierung inzwischen auch bei Exploits und Malware. Mit leistungsfähigeren Modellen, die Werkzeugaufrufe verketten und sich an eine laufende Umgebung anpassen, sinke die Hürde für funktionierende Exploits. Er verweist darauf, dass sich inzwischen auch staatliche Stellen einschalteten und Modelle wie Anthropic Fable 5 wegen Befürchtungen über deren Fähigkeiten vom Markt nehmen ließen. Schon die Verknüpfung mittelstarker Modelle mit einer Abrufdatenbank bekannter Schwachstellen könne dazu führen, dass ein System selbst Aufklärung betreibt, die wahrscheinliche Angriffsfläche eines Ziels bewertet, einen passenden Exploit auswählt und dessen Einsatz vorschlägt. Auch Malware entwickle sich in diese Richtung; Agenten würden bereits vorhandene Schadsoftware in unauffälligere Varianten umschreiben, die ältere Schutzmechanismen eher umgehen.

Gerade deshalb warnt Nethercott vor blindem Vertrauen. Agenten suchten nicht nach Wahrheit, sondern nach einer abgeschlossenen Aufgabe und einer plausibel wirkenden Antwort. Sie könnten Indikatoren mit Schlussfolgerungen verknüpfen, ohne sicher zu wissen, ob ein Host tatsächlich verwundbar ist. Selbst in Verbindung mit einer Schwachstellen-Datenbasis bleibe das Problem bestehen, weil solche Systeme Plausibles hervorholten, aber nicht zuverlässig prüften, ob Version, Konfiguration oder Erreichbarkeit tatsächlich passen.

Diesen Punkt ordnet Nethercott in den SANS Secure AI Blueprint ein, den laut Beitrag SANS Chief AI Officer Rob T. Lee verfasst hat. Das Modell unterscheidet drei Bereiche: „Protect AI“, „Utilize AI“ und „Govern AI“. „Govern AI“ stehe für Richtlinien und Aufsicht, „Protect AI“ für die Absicherung der tatsächlich betriebenen Systeme. „Utilize AI“ sei der Bereich, in dem KI praktisch für offensive und defensive Zwecke eingesetzt werde. Gerade dort zeige sich nach Nethercotts Sicht, ob Richtlinien und technische Härtung in der Praxis tragen. Seine zentrale These: Die Maschine könne heute zielen, doch die Entscheidung, ob ein Schuss überhaupt abgegeben werden sollte, bleibe beim Menschen.