Im digitalen Zeitalter hat die Sicherheit von Webanwendungen enorm an Bedeutung gewonnen. Cyberangriffe werden immer raffinierter und komplexer, sodass herkömmliche Sicherheitstests oft an ihre Grenzen stoßen. Vor diesem Hintergrund gewinnt der Einsatz von Künstlicher Intelligenz (KI) und insbesondere von großen Sprachmodellen (Large Language Models, LLMs) eine zunehmend wichtige Rolle. Ein spannendes Projekt, das in den letzten acht Monaten realisiert wurde, zeigt, wie LLMs dabei helfen können, Sicherheitslücken in Webapplikationen systematisch zu finden und auszunutzen. Dieses Projekt mit dem Namen "Peneterrer" ist eine innovative Umsetzung einer KI-basierten Sicherheitslösung, die vollautomatisierte Angriffsszenarien durchführt und dadurch einen entscheidenden Mehrwert für Unternehmen bietet, die ihre IT-Infrastruktur absichern wollen.
Die Herausforderung bei der Entwicklung solcher KI-Agenten liegt nicht nur darin, die aktuellsten Methoden der künstlichen Intelligenz zu verwenden, sondern diese auch effektiv in den komplexen Ablauf von Penetrationstests zu integrieren. Der Entwickler des Systems hat sich für einen ungewöhnlichen, aber sehr effizienten Ansatz entschieden: Anstelle auf weithin bekannte Frameworks wie Langchain, Auto-GPT oder Crew AI zu setzen, wurde eine komplett eigene Orchestrierungslogik entwickelt, die auf einer klassischen Task-Subtask-Architektur basiert. Diese Struktur ermöglicht es, die komplexe Aufgabe des Hackens in kleinere, gut handhabbare Schritte zu zerlegen, die jeweils von einzelnen spezialisierten Agenten übernommen werden. Insgesamt bestehen die Systeme aus 29 verschiedenen Agenten, die kooperativ miteinander agieren, um die Webanwendung tiefgreifend zu analysieren. Jeder Pentest wird in einer isolierten Umgebung auf einer Kali Linux Instanz ausgeführt, die in der Cloud via AWS Fargate betrieben wird.
Diese Isolation ist essenziell, um jegliche Risiken zu minimieren und gleichzeitig sicherzustellen, dass die Agenten völlig frei agieren können, ohne äußere Einflüsse oder Hinderungen. Zudem haben die Agenten Zugriff auf das Internet, wodurch sie eigenständig Recherchen anstellen können – zum Beispiel um neuere Angriffsmethoden zu ermitteln oder sich über spezifische Technologien zu informieren, die in der Zielanwendung Nutzung finden. Diese Kombination aus Autonomie und gezielter Zusammenarbeit macht den Ansatz besonders vielversprechend. Das Resultat sind ausführliche Pentest-Berichte, die automatisch generiert werden und alle gefundenen Schwachstellen detailliert dokumentieren. Diese Reports können durchaus 30 Seiten oder mehr umfassen, was insbesondere für Unternehmen von großem Vorteil ist, da sie einen umfassenden Überblick über das Sicherheitsniveau ihrer Webanwendungen erhalten.
Der gesamte Testprozess selbst kann mehrere Stunden bis zu einem halben Tag oder länger dauern, je nach Komplexität und Umfang der Zielsysteme. Der Einsatz von LLMs in diesem Kontext bietet gegenüber traditionellen Penetrationstest Methoden erhebliche Vorteile. Zum einen verbessert sich die Effizienz, denn Routinen und repetitive Aufgaben werden eigenständig von der KI übernommen, wodurch menschliche Experten entlastet werden. Zum anderen erhöht sich die Genauigkeit, weil die Agenten kontinuierlich lernen und auch auf öffentlich zugängliche Informationsquellen zugreifen können, um ihre Angriffstechnik zu verfeinern. Außerdem lassen sich potenzielle Bedrohungen viel detaillierter analysieren und nachvollziehbar dokumentieren.
Ein interessantes Praxisbeispiel zeigt, wie das System bereits innerhalb eines Monats nach dem Start von über 120 Unternehmen genutzt wurde. Ein potenzieller Kunde konnte dadurch eine nennenswerte Schwachstelle in seiner React-Webanwendung entdecken: Aus Versehen wurden Code-Dateien im öffentlichen Verzeichnis /public abgelegt, wodurch ein Angreifer über den Pfad /assets an sensible Daten gelangen konnte. Solche Fehler sind in der agilen Welt der Webentwicklung häufiger anzutreffen, können aber fatale Folgen haben, wenn sie unentdeckt bleiben. Der automatisierte Test konnte hier eine Schwachstelle aufzeigen, die andernfalls vielleicht erst viel später entdeckt worden wäre. Die Innovation dieses Projekts liegt auch in der Tatsache, dass es komplett unabhängig von kommerziellen oder Open-Source-Lösungen agiert.
Dies gibt dem Entwickler die Freiheit, alle Mechanismen genau an seine Bedürfnisse anzupassen und auf spezielle Sicherheitsanforderungen einzugehen. Gerade im Bereich der Cybersecurity ist diese Individualität ein unschätzbarer Vorteil, weil Angriffe und Gegenmaßnahmen sich stetig weiterentwickeln. Indem eigene Agenten in einem speziell konzipierten Rahmen operieren, können neue Angriffsstrategien und Schwachstellentypen proaktiv adressiert werden. Als Infrastruktur wird die Kombination aus AWS Fargate und Kali Linux gewählt. Kali Linux ist das De-facto-Betriebssystem im Bereich Penetrationstests und beinhaltet zahlreiche Tools, die für unterschiedliche Angriffsszenarien relevant sind.
AWS Fargate ermöglicht es, solche Systeme flexibel und sicher in der Cloud bereit zu stellen, ohne sich um die physische Hardware kümmern zu müssen. Der Vorteil ist eine hohe Skalierbarkeit und eine schnelle Anpassbarkeit der Testumgebung, insbesondere bei parallelen oder aufwendigen Testszenarien. Die Zukunft solcher selbstlernenden KI-Agenten für Sicherheitsüberprüfungen ist unglaublich vielversprechend. Besonders bei der immer weiter zunehmenden Digitalisierung von Geschäftsprozessen und der steigenden Komplexität moderner Webapplikationen werden automatisierte Pentests zur unverzichtbaren Ergänzung der IT-Sicherheitsstrategie. Sie können dabei helfen, kritische Schwachstellen frühzeitig zu entdecken, noch bevor böswillige Angreifer sie ausnutzen.
Während die Technologie spannende Möglichkeiten eröffnet, bleibt auch zu bedenken, dass KI-basierte Systeme niemals menschliche Experten vollständig ersetzen können. Vielmehr sind sie wertvolle Werkzeuge, die Spezialisten ergänzen und Routineaufgaben übernehmen. Zudem müssen ethische Aspekte und der verantwortungsvolle Umgang mit automatisierten Angriffen stets sichergestellt werden, um Missbrauch zu verhindern. Insgesamt zeigt das Projekt Peneterrer eindrucksvoll, wie viel Potenzial in der Verbindung von Künstlicher Intelligenz, großer Sprachmodelle und klassischer Pentesting-Praktiken steckt. Es verdeutlicht, dass moderne KI nicht nur theoretische Spielerei ist, sondern handfeste Anwendungen mit unmittelbarem Nutzen für die IT-Sicherheit bietet.
Unternehmen, die auf der Suche nach innovativen Lösungen zur Absicherung ihrer Webanwendungen sind, sollten solche Technologien genau beobachten und nutzen, um im Wettlauf gegen Cyberkriminalität einen Schritt voraus zu sein.
