AISI zeigt, wie schnell KI-Cyberfähigkeiten wachsen
17. Juli 2026

Der britische AI Security Institute Report zeigt: Frontier-Modelle lösen Cyberaufgaben deutlich besser als 2024, offene Modelle holen auf und Schutzmechanismen bleiben angreifbar.
Worum es geht
Das britische AI Security Institute hat seinen Frontier AI Trends Report veröffentlicht und damit eine nüchterne Messlatte für eine unbequeme Frage geliefert: Wie schnell werden KI-Systeme in sicherheitskritischen Aufgaben besser? Die Antwort ist nicht beruhigend, aber auch nicht panisch. Die Fähigkeiten steigen klar messbar, während Schutzmaßnahmen zwar besser werden, aber nicht geschlossen sind.
Am 17. Juli 2026 griffen Medien die sicherheitspolitische Zuspitzung erneut auf, weil chinesische offene Modelle näher an US-Spitzensysteme heranrücken. Für Cyber Ivy ist der Kern nicht der Länderwettstreit. Wichtiger ist, dass Cyberfähigkeiten, offene Modellgewichte und Agenten-Scaffolds zusammen ein praktisches Risiko für Unternehmen, Behörden und Entwicklerteams ergeben.
Was der AISI-Trendreport tatsächlich macht
Der Report bündelt zwei Jahre eigener Tests des AISI zu Frontier-Systemen. Er untersucht unter anderem Cyberaufgaben, Chemie- und Biologieaufgaben, Autonomie, mögliche Kontrollverlustrisiken, Schutzmechanismen und gesellschaftliche Effekte. Im Cyberbereich testet AISI etwa, ob Modelle Schwachstellen finden, Aufgaben in einer Cyber-Range lösen oder durch bessere Werkzeuge und Prompts deutlich leistungsfähiger werden.
Eine der wichtigsten Zahlen: Die besten Modelle schaffen Apprentice-Level-Cyberaufgaben inzwischen im Schnitt zu 50 Prozent. Anfang 2024 lag dieser Wert laut AISI bei etwas über 10 Prozent. Außerdem berichtet AISI, dass 2025 erstmals ein Modell Expert-Level-Aufgaben lösen konnte, die für Menschen typischerweise mehr als zehn Jahre Erfahrung voraussetzen.
Warum das wichtig ist
Cyberrisiko entsteht nicht erst, wenn ein Modell selbstständig ein komplettes Unternehmensnetz kompromittiert. Es reicht, wenn es einzelne Schritte billiger, schneller und zugänglicher macht: Reconnaissance, Codeanalyse, Exploit-Ideen, Phishing-Varianten oder das Verstehen fremder Toolchains. Genau diese Zwischenstufen sind für Verteidiger relevant.
Der Report zeigt auch, dass Scaffolding die Leistung verändert. Wenn ein Modell bessere Werkzeuge, passendere Systemprompts und mehr interaktive Umgebung bekommt, steigt seine Wirksamkeit. AISI beobachtete in einem Cyber-Development-Set einen Leistungsgewinn von fast zehn Prozentpunkten durch ein verbessertes Agentengerüst. Das heißt: Das Risiko hängt nicht nur vom Modellnamen ab, sondern auch davon, wie jemand das Modell einbettet.
Zusätzlich schrumpft laut AISI der Abstand zwischen proprietären und offenen Modellen. Externe Daten deuten auf einen Abstand von vier bis acht Monaten hin. Das ist gut für Forschung und Wettbewerb, aber schwierig für Missbrauchsprävention. Offene Gewichte lassen sich nach Veröffentlichung nicht zurückrufen, lokal verändern und außerhalb überwachten Betriebs nutzen.
Einfach erklärt
Stell dir eine Werkstatt vor. Früher brauchte man eine ausgebildete Person, um eine komplizierte Maschine zu bedienen. Jetzt liegt daneben ein sehr guter Assistent, der Handgriffe erklärt, Werkzeuge reicht und Fehler schneller findet. Die Maschine baut noch nicht allein ein ganzes Produkt, aber viel mehr Menschen können gefährliche Zwischenschritte ausführen.
Praktisches Beispiel
Ein mittelständischer Softwareanbieter betreibt 180 interne Repositories und bekommt im Monat 600 Dependency-Alerts. Früher prüft ein Security Engineer davon 80 gründlich und priorisiert den Rest grob. Ein Angreifer mit einem offenen Modell und einem einfachen Agentengerüst kann dieselben öffentlichen Pakete analysieren, Proof-of-Concept-Ideen sortieren und in zwei Stunden 15 wahrscheinliche Angriffspfade vorschlagen.
Das heißt nicht, dass alle 15 funktionieren. Aber wenn nur zwei davon realistisch sind, verschiebt sich die Verteidigungsarbeit. Das Unternehmen braucht bessere Priorisierung, schnellere Patches, strengere Geheimnisprüfung in Repositories und klare Regeln, welche internen Daten in KI-Coding-Tools gelangen dürfen.
Einordnung und Grenzen
Erstens sind AISI-Tests keine Vorhersage für jeden realen Angriff. Cyber-Ranges und Benchmarks messen wichtige Fähigkeiten, aber echte Netzwerke, menschliche Fehler und Betriebskontext bleiben komplizierter.
Zweitens heißt ein stärkeres offenes Modell nicht automatisch mehr Schaden. Dieselben Modelle können Verteidigung, Codeprüfung und Forschung verbessern. Das Risiko entsteht durch Kombination aus Fähigkeit, Zugang, Anleitung und Motiv.
Drittens sind Schutzmechanismen nicht wertlos. AISI sieht Fortschritte, etwa deutlich höheren Aufwand für bestimmte Jailbreaks. Gleichzeitig fand das Institut in allen getesteten Systemen Schwachstellen. Verteidigung darf sich deshalb nicht auf Modellregeln allein verlassen.
SEO- und GEO-Schlüsselbegriffe
AI Security Institute, AISI Frontier AI Trends Report, KI-Cyberrisiko, offene KI-Modelle, Open Weights, Cyber-Range, KI-Agenten, Jailbreaks, Frontier Models, Modell-Sicherheit, Schwachstellenanalyse, KI-Governance
💡 Im Klartext
KI-Modelle werden bei Cyberaufgaben messbar besser, vor allem wenn sie als Agenten mit Werkzeugen eingesetzt werden. Das hilft Verteidigern, kann aber auch Angreifern einzelne Arbeitsschritte erleichtern.
Wichtigste Erkenntnisse
- →AISI meldet einen deutlichen Leistungssprung bei Cyberaufgaben seit Anfang 2024.
- →Die besten Modelle lösen Apprentice-Level-Cyberaufgaben inzwischen im Schnitt zu 50 Prozent.
- →Besseres Agenten-Scaffolding kann die Cyberleistung eines Modells spürbar erhöhen.
- →Der Abstand zwischen proprietären und offenen Modellen liegt laut externen Daten nur noch bei vier bis acht Monaten.
- →Schutzmechanismen werden besser, bleiben aber laut AISI in jedem getesteten System angreifbar.
Häufige Fragen
Was misst AISI im Cyberbereich?
AISI testet unter anderem Schwachstellensuche, Cyber-Range-Aufgaben und den Effekt von Werkzeugen und Agenten-Scaffolds auf Modellleistung.
Sind offene Modelle automatisch gefährlich?
Nein. Sie sind auch für Forschung und Verteidigung wertvoll. Schwieriger ist, dass veröffentlichte Gewichte nicht zurückgerufen und lokal verändert werden können.
Was bedeutet Scaffolding?
Scaffolding ist die technische Hülle um ein Modell, etwa Tools, Prompts, Speicher und Arbeitsabläufe. Sie kann aus demselben Modell einen deutlich fähigeren Agenten machen.
Was sollten Unternehmen daraus lernen?
Sie sollten KI-Coding-Tools, Secret-Scanning, Patch-Priorisierung und interne Datenfreigaben gemeinsam betrachten, nicht als getrennte Einzelthemen.