KI Pentesting Tool im Test
Es ist erstaunlich, wie groß der Hype um KI-Tools inzwischen geworden ist. Marketing und PR vermitteln den Eindruck, diese "Intelligenz" sei dem Menschen überlegen – schließlich steckt das Wort Intelligenz bereits im Namen. Die Realität sieht jedoch deutlich nüchterner aus. Zwar lassen sich mit solchen Systemen wohlklingende Texte in ansprechendem Stil erzeugen, inhaltlich sind sie jedoch – laut Studien – in mehr als der Hälfte der Fälle schlicht falsch. Von einfachen mathematischen Aufgaben ganz zu schweigen: Diese scheitern oft zuverlässig.
Auch in der Security-Welt hat der KI-Hype Einzug gehalten. Hersteller suggerieren, dass dieselbe KI, die nicht einmal zuverlässig bis 100 zählen kann, nun komplexe Sicherheitstests durchführen soll. Vor diesem Hintergrund habe ich mir das Pentesting-Tool HexStrike näher angesehen.
HexStrike AI is a revolutionary AI-powered offensive security framework that combines professional security tools with autonomous AI agents to deliver comprehensive security testing capabilities.
Das Marketing sitzt: revolutionär, professionell, autonom.
In der Praxis fällt das Bild deutlich ernüchternder aus. Im Kern handelt es sich um eine Sammlung bekannter Open-Source-Hacking-Tools, die über einige Schnittstellen mit einem Chatbot verbunden sind. Dieser wiederum kann nur einen sehr begrenzten Funktionsumfang der angebundenen Tools tatsächlich steuern.
Was alles fehlt
Im Test zeigten sich zahlreiche Lücken – insbesondere gemessen an dem Versprechen rund um "Intelligenz". Der Chatbot erfüllt seine Aufgabe so unzuverlässig, dass man sich schnell die direkte Arbeit in der Kommandozeile zurückwünscht.
Es gibt keine sinnvolle Integration oder Korrelation der Ergebnisse, die Tools lassen sich kaum oder gar nicht feinjustieren, und vor allem bleibt völlig unklar, welche Konfigurationsmöglichkeiten überhaupt existieren. Die Resultate werden ausschließlich im Chat angezeigt und lassen sich nicht sauber weiterverarbeiten. Hinzu kommt, dass das KI-System Ergebnisse gerne "vergisst", sobald die Konversation eine gewisse Länge erreicht.
Unterm Strich bleibt von der beworbenen Autonomie und Intelligenz wenig übrig.
Unsere Hacker Attack Simulation ist eine gezielt zusammengestellte Kombination aus bewährten Open-Source-Sicherheitstools und eigenen Entwicklungen, die wir tief integriert und fein abgestimmt haben. Damit bilden wir sämtliche Phasen eines realistischen Hackerangriffs ab – von der initialen Angriffsfläche bis zur Auswertung. Die gewonnenen Ergebnisse werden nicht nur gesammelt, sondern strukturiert aufbereitet und sinnvoll weiterverarbeitet.
Vor diesem Hintergrund stellte sich die Frage, ob KI-basierte Tools unser bestehendes Toolset sinnvoll erweitern oder verbessern könnten. Nach eingehender Prüfung lautet die klare Antwort: nein.
PS: Auch wir setzen künstliche Intelligenz ein – allerdings dort, wo sie tatsächlich Mehrwert liefert, etwa bei der Übersetzung unserer Texte oder Bebilderung. Die eigentliche "Intelligenz" unseres Tools stammt jedoch von Menschen: aus langjähriger Erfahrung, umfangreichen Tests in realistischen Szenarien und klar definierten Zielen.