De offensieve mogelijkheden van grote taalmodellen (LLM's) waren tot voor kort vooral theoretisch, besproken op conferenties en in rapporten, maar zelden aangetroffen in praktische aanvallen. In november 2025 publiceerde Anthropic echter een pivotal report over een door een staat gesponsorde spionagecampagne waarbij AI niet alleen menselijke operators ondersteunde, maar zelf 80 tot 90 procent van de operatie autonoom uitvoerde, met een snelheid die menselijke teams niet konden evenaren. Deze onthulling veranderde de discussie van 'zou dit kunnen gebeuren?' naar 'dit gebeurt nu'.

Dit riep praktische vragen op over de mate van autonomie van AI in aanvallen: kan AI volledig zelfstandig opereren zonder menselijke tussenkomst, en waar liggen de sterke en zwakke punten van LLM's vergeleken met ervaren menselijke operators? Om dit te onderzoeken ontwikkelden onderzoekers een multi-agent proof of concept (PoC) voor penetratietests, gericht op het empirisch testen van autonome AI-aanvalscapaciteiten binnen cloudomgevingen.

De resultaten tonen aan dat AI niet per se nieuwe aanvalsvectoren creëert, maar wel als krachtvermenigvuldiger fungeert door het versneld benutten van bekende misconfiguraties. Het ontwikkelde systeem, genaamd Zealot, bestaat uit een supervisor-agent die drie specialistische agents coördineert: een Infrastructure Agent, een Application Security Agent en een Cloud Security Agent. Deze agents delen continu informatie en context tijdens de aanval.

In sandboxtests op een misgeconfigureerde Google Cloud Platform (GCP) omgeving voerde het multi-agent systeem zelfstandig een keten van aanvallen uit, waaronder server-side request forgery (SSRF), diefstal van metadata service credentials, service account impersonatie en exfiltratie van BigQuery-data. Hiermee werd aangetoond dat AI in staat is om multi-stage aanvallen op machine-snelheid uit te voeren tegen cloudinfrastructuur.

Voor organisaties die zich willen beschermen tegen dergelijke dreigingen biedt Palo Alto Networks producten zoals Cortex XDR, XSIAM en Cortex Cloud. Daarnaast kunnen organisaties hun cloudbeveiliging laten beoordelen via de Unit 42 Cloud Security Assessment en veilig AI-gebruik ondersteunen met de Unit 42 AI Security Assessment. Bij vermoedens van compromittering kan contact worden opgenomen met het Unit 42 Incident Response team.