Unit 42 Agentic AI Framework

Eine der alarmierendsten Veränderungen, die wir nach der Einführung von KI-Technologien beobachten konnten, ist der dramatische Rückgang der durchschnittlichen Zeit bis zur Exfiltration von Daten nach dem ersten Zugriff. Im Jahr 2021 lag die durchschnittliche MTTE bei neun Tagen. Laut dem Unit 42 2025 Global Incident Response Report wird die MTTE bis 2024 auf zwei Tage sinken. In einem von fünf Fällen betrug die Zeit von der Kompromittierung bis zur Exfiltration weniger als eine Stunde.

Unit 42 simulierte einen Ransomware-Angriff (von der ersten Kompromittierung bis zur Datenexfiltration) in nur 25 Minuten, wobei KI in jeder Phase der Angriffskette eingesetzt wurde. Dies stellt eine 100-fache Steigerung der Geschwindigkeit dar, die ausschließlich durch KI ermöglicht wird.

Die jüngsten Bedrohungsaktivitäten, die von Unit 42 beobachtet wurden, zeigen, wie Angreifer KI für ihre Angriffe nutzen.

– Deepfake-fähiges Social Engineering wurde bei Kampagnen von Gruppen wie Muddled Libra (auch bekannt als Scattered Spider) beobachtet, die KI-generierte Audio- und Videodateien verwenden, um sich bei Helpdesk-Betrügereien als Mitarbeiter auszugeben.

– Nordkoreanische IT-Mitarbeiter nutzen die Deepfake-Technologie in Echtzeit, um Unternehmen über Remote-Arbeitsplätze zu infiltrieren, was erhebliche Sicherheits-, Rechts- und Compliance-Risiken mit sich bringt.

– Angreifer setzen generative KI ein, um Ransomware-Verhandlungen zu führen, Sprachbarrieren zu überwinden und höhere Lösegeldzahlungen effektiver auszuhandeln.

– KI-gestützte Produktivitätsassistenten werden eingesetzt, um sensible Anmeldedaten in den Umgebungen der Opfer zu identifizieren.

Eine wichtige Entwicklung ist das Aufkommen von agentenbasierter KI, d. h. von autonomen Systemen, die ohne menschliches Eingreifen Entscheidungen treffen, aus den Ergebnissen lernen, Probleme lösen und ihre Leistung iterativ verbessern können. Diese Systeme können selbstständig mehrstufige Operationen durchführen, von der Identifizierung von Zielen bis zur Anpassung der Taktik während eines Angriffs. Das macht sie besonders gefährlich. Da agentenbasierte Modelle immer zugänglicher werden, ist mit einer Zunahme automatisierter, selbstgesteuerter Cyberangriffe zu rechnen, die schneller, anpassungsfähiger und schwerer einzudämmen sind.

Palo Alto Networks‘ Unit 42 hat ein agentenbasiertes KI-Angriffs-Framework erforscht und entwickelt, das zeigt, wie diese Fähigkeiten Angriffe mit minimalen Eingaben des Angreifers ausführen können.

Unit 42 konnte demonstrieren, wie einfach diese Technologie gegen Unternehmen eingesetzt werden kann, um Angriffe mit noch nie dagewesener Geschwindigkeit und Größe auszuführen. Im Laufe der Zeit wird Unit 42 diese Fähigkeiten in seine violetten Teaming-Übungen integrieren, damit Sie die Abwehrmaßnahmen Ihres Unternehmens gegen agentenbasierte KI-Angriffe testen und verbessern können.

Das Aufkommen von agentenbasierten KI-Angriffen ist nicht nur ein theoretisches Risiko – es ist eine sich beschleunigende Realität, die den Ansatz Ihres Unternehmens zur Erkennung, Reaktion und Abwehr von Bedrohungen in Frage stellt.

Die Agentic AI-Angriffskette

Unit 42 geht davon aus, dass Angreifer Agentic AI nutzen werden, um speziell entwickelte Agenten mit Fachkenntnissen in bestimmten Angriffsphasen zu erstellen. Wenn diese KI-Agenten miteinander verkettet werden, können sie selbstständig Angriffe testen und ausführen und ihre Taktiken in Echtzeit auf der Grundlage von Rückmeldungen anpassen. In naher Zukunft ist mit dem Aufkommen einer neuen Klasse von Angreifern zu rechnen, die von agentenbasierter KI unterstützt werden. Diese Angreifer werden nicht nur bei Teilen eines Angriffs behilflich sein, sondern können ganze Kampagnen von Anfang bis Ende mit minimaler menschlicher Anleitung planen, anpassen und ausführen.

Auf der Grundlage dessen, was Unit 42 in freier Wildbahn beobachtet, wird Agentic AI die wichtigsten Taktiken in der Angriffskette neu gestalten und bei der Verteidigung helfen.

Aufklärungs-KI-Agent: Immer am Beobachten, immer am Lernen

Traditionelle Aufklärungsarbeit war oft ein einmaliger Schritt: ein paar Skripte ausführen, LinkedIn scrapen, GitHub überprüfen und vielleicht ein paar passive DNS-Arbeiten durchführen. Das war zeitaufwändig, manuell und ineffizient.

Agentische KI-Aufklärung: Aufklärungsagenten arbeiten kontinuierlich und autonom. Sie fragen sich selbst ab: „Welche Daten benötige ich, um eine Schwachstelle in dieser Organisation zu identifizieren?“ Dann sammeln sie die erforderlichen Daten aus sozialen Medien, Daten von Sicherheitsverletzungen, offengelegten APIs und Cloud-Fehlkonfigurationen. Ändert sich das Ziel, z. B. durch eine Neueinstellung, ein neues Anbieterportal oder einen durchgesickerten Schlüssel, bewertet der Agent seine Strategie neu und aktualisiert sie.

Beispiel: Ein Agent wählt ein Zielunternehmen aus und durchsucht ständig dessen Stellenausschreibungen. Der Agent findet einige Stellenausschreibungen und schließt daraus, dass das Unternehmen SAP verwendet. Der Agent prüft Subdomänen, findet einen Staging-SAP-Server und gleicht ihn mit einem aktuellen CVE ab. Der Agent wechselt dann zu LinkedIn, identifiziert IT-Mitarbeiter der mittleren Ebene und markiert sie für Phishing. Der Agent passt seine Aufklärungsstrategie im laufenden Betrieb an.

KI-Agent für den Erstzugang: Personalisierte, mehrkanalige Intrusion

Traditioneller Erstzugang: Angreifer konzentrieren sich auf Taktiken wie Massenphishing, Ausfüllen von Anmeldeinformationen und Scannen von Schwachstellen. Wenn eine Methode nicht funktionierte, schlug die Kampagne oft fehl oder erforderte eine manuelle Neuausrichtung.

Agentischer KI-Erstzugang: Agentische Systeme versuchen es nicht nur einmal. Sie verwenden LLMs, um Phishing-Köder zu generieren, die in Bezug auf Ton, Sprache und Kontext auf die einzelnen Ziele zugeschnitten sind. Wenn der erste Versuch fehlschlägt, fragen sie selbst nach: „Welche alternativen Kanäle oder Nachrichten könnten besser funktionieren? Dann versuchen sie es erneut über SMS, LinkedIn oder eine gefälschte Einladung zu einer Videokonferenz. KI-gesteuerte Ausnutzungsversuche sind ebenso anpassungsfähig und passen CVEs in Echtzeit an erkannte Tech-Stacks an.

Beispiel: Ein CFO ignoriert eine erste Phishing-E-Mail. Der KI-Agent schreibt die Nachricht in einem lockeren Ton um und verweist auf eine aktuelle Pressemitteilung des Unternehmens. Er übermittelt die Nachricht über einen gefälschten Microsoft Teams-Chat und verbessert so mit jeder Wiederholung seine Chancen.

Ausführungs-KI-Agent: Intelligente Nutzlasten, die warten und lernen

Traditionelle Ausführung: Payloads wurden ausgeführt, sobald sie ausgelöst wurden. Es gab keine Kontextprüfung oder Entscheidungsfindung in Echtzeit. Außerdem bestand ein hohes Risiko, in einer Sandbox entdeckt zu werden.

Agentische KI-Ausführung: Ausführungsagenten beobachten, bevor sie handeln. Sie überprüfen ihren Standort, den Benutzer und aktive Sicherheitstools und wählen dann einen geeigneten Ausführungspfad. Wenn eine Methode fehlschlägt (z. B. ein blockiertes Skript oder eingeschränkte Berechtigungen), fragt sich der Agent: „Was ist der nächste gangbare Weg?“ Dann versucht er es erneut.

Beispiel: Eine Nutzlast landet auf dem Rechner eines Benutzers, aber die Ausführung wird unterbrochen. Der Agent prüft: „Ist der Benutzer in der Finanzabteilung? Ist EDR aktiv? Sind Geschäftszeiten?“ Anhand der Antworten entscheidet der Agent, ob er sich in einen vertrauenswürdigen Prozess einschleusen und die Ausführung verzögern soll, bis der Benutzer Outlook öffnet. So kann er sich in das normale Verhalten einfügen und eine Entdeckung vermeiden.

Persistenz-KI-Agent: Lang und leise leben

Traditionelle Persistenz: Die Persistenz beruhte früher auf ein oder zwei Techniken: geplante Aufgaben, Registrierungsschlüssel und Startordnerimplantate. Wenn die Verteidiger sie entdeckten und säuberten, war der Zugriff verloren.

Agentische KI-Persistenz: Agenten wählen dynamisch Persistenzmechanismen auf der Grundlage des Zustands des Endpunkts aus. Sie installieren redundante Verankerungen in Cloud-Plattformen, Browser-Erweiterungen und Identitäts-Tokens und überwachen sie auf Entfernung. Wenn ein solcher entdeckt wird, korrigiert sich der Agent selbst: „Fallback aktiviert. Zugriff wird wiederhergestellt.“

Beispiel: Der Agent fügt einen Ausführungsschlüssel zu einer Registrierungsstruktur für administrative Benutzer hinzu und plant gleichzeitig eine versteckte Aufgabe mit einer vertrauenswürdigen Systembinärdatei. Tage später wird der Ausführungsschlüssel bei einer Sicherheitsüberprüfung gelöscht. Der Agent erkennt die Löschung, prompt sich neu und erstellt den Registrierungsschlüssel mit verschleierten Werten neu. Die geplante Aufgabe dient als Auslöser, um die Persistenz aufrechtzuerhalten und die Erkennung zu umgehen.

KI-Agent zur Umgehung von Verteidigungsmaßnahmen – Verstecken lernen im Flug

Traditionelle Verteidigungsumgehung: Verschleiern Sie die Nutzlast. Umbenennen der Binärdatei. Injizieren Sie sie in einen gewöhnlichen Prozess. Wenn etwas entdeckt wurde, war die Umrüstung zeitaufwändig und mühsam.

Umgehung der agentenbasierten KI-Verteidigung: Agentische Malware schreibt sich selbst um. Wenn sie von EDR- oder Antiviren-Software erkannt wird, trainiert sie sich selbst auf Umgehungstechniken, kompiliert neu und setzt sie erneut ein. Sie fordert sich selbst dazu auf, alternative Ausführungspfade zu testen, den Datenverkehr anders zu kodieren oder auf Backup-C2-Protokolle auszuweichen.

Beispiel: Die DNS-Filterung markiert einen Malware-Baken. Die Malware schreibt daraufhin ihren Datenverkehr so um, dass er sich in verschlüsselte Windows-Updates einfügt, ändert ihr Verhalten und nimmt die Exfiltration wieder auf, ohne jemals zweimal dieselbe Erkennung auszulösen.

Discovery AI Agent: Stilles internes Mapping

Traditionelle Erkennung: Scans abfeuern. Auslesen von Benutzerinformationen. Verwendung von Standardtools wie SharpHound oder BloodHound – effektiv, aber störend und oft zeitlich begrenzt.

Agentische KI-Erkennung: Discovery-Agenten untersuchen passiv und selektiv. Sie überwachen den internen Datenverkehr, zählen Systeme mit nativen Befehlen auf und setzen Prioritäten für ihre Ziele. Wenn sie blockiert werden, planen sie neu. „Welche Zugangswege sind noch offen?“ Dieser Prozess wird so lange fortgesetzt, bis ein brauchbarer Weg zu den „Kronjuwelen“ gefunden ist.

Beispiel: Ein Agent identifiziert einen falsch konfigurierten Entwicklungsserver und verwendet ihn für den Zugriff auf einen Produktions-Backup-Cluster. Der Agent analysiert dann Ordnernamen, Dateigrößen und Benutzermuster, um festzustellen, welche Daten es wert sind, mitgenommen zu werden, und imitiert dabei legitime interne Benutzeraktivitäten.

Exfiltrations-KI-Agent: Intelligent, unauffällig und schnell

Traditionelle Exfiltration: Die Exfiltration war in der Regel langsam und umständlich – alles wurde komprimiert und auf einen FTP-Server hochgeladen oder über einen Dateistreaming-Dienst verschickt. Große Nutzdaten bedeuteten ein großes Entdeckungsrisiko.

Agentische KI-Exfiltration: Exfiltrationsagenten führen zuerst ihre Nachforschungen durch. Sie identifizieren wertvolle Daten, setzen Prioritäten und testen mehrere verdeckte Wege. Sie drosseln den Datenverkehr, fügen sich in genehmigte Anwendungsprotokolle ein und wechseln die Kanäle, wenn sie blockiert werden. Dank dieser Art von Automatisierung konnte Unit 42 einen kompletten Ransomware-Angriff in nur 25 Minuten simulieren, von der Kompromittierung bis zur Exfiltration. Agentische KI komprimierte einen kompletten Angriffslebenszyklus in einer einzigen Mittagspause.

Ein Beispiel: Der Agent identifiziert sensible Dokumente mit geistigem Eigentum, komprimiert und verschlüsselt sie und beginnt dann, sie in kleinen Stücken über einen Slack-Bot zu exfiltrieren. Wenn der Kanal mitten in der Übertragung blockiert wird, passt sich der Agent selbst an, schaltet auf die Einbettung der Daten in ausgehende OneDrive-Synchronisationen um und nimmt den Vorgang wieder auf – und beendet die Mission, ohne Alarme auszulösen.

Agentenbasierte KI-Angriffe erfordern eine KI-gestützte Verteidigung.

Das Tempo, mit dem sich KI weiterentwickelt, ist so hoch, dass sich die Möglichkeiten von Sicherheitsanbietern und Angreifern täglich ändern. Agentische KI ist in der Lage, Angriffe in größerem Umfang und mit höherer Geschwindigkeit neu zu konzipieren und auszuführen. Diese Agenten sind ausdauernd, anpassungsfähig und beängstigend effizient. Sie werden nicht müde, machen keine Tippfehler und hören nicht auf, bis sie erfolgreich sind. Unit 42 sieht bereits Anzeichen für diesen Wandel, darunter experimentelle Malware-Samples, freihändige Affiliate-Kits und aktive Forschung an autonomen Red-Teaming-Tools. Die Botschaft ist klar: Die Bedrohungen von morgen werden nicht auf menschliche Operatoren warten. Sie werden auf eigene Faust operieren.

Unit 42 hat im Rahmen seiner offensiven Sicherheitsforschung ein Beispiel für ein agentenbasiertes KI-Angriffssystem entwickelt. Die Forscher gehen davon aus, dass Bedrohungsakteure in Zukunft Angriffe auf diese Weise durchführen werden, sofern sie diese Technologie nicht bereits testen. Durch die Einbeziehung dieser Methoden in unsere violetten Teaming-Übungen können wir die Sicherheitskontrollen Ihres Unternehmens effektiver testen. Angesichts der Geschwindigkeit von KI-Agentenangriffen kann Palo Alto Networks mehr Simulationen in kürzerer Zeit durchführen, was letztendlich Ihre Sicherheitslage verbessert.

Beim Umgang mit KI-gestützten Cyber-Bedrohungen ist es wichtig zu erkennen, dass KI derzeit als Verstärker für herkömmliche Angriffstechniken dient, anstatt diese grundlegend zu verändern. Auch wenn die Häufigkeit und Leichtigkeit der Ausführung bestimmter Angriffe zunehmen mag, bleiben die Strategien für eine effektive Erkennung und Reaktion wirksam. Sie brauchen Sicherheitslösungen, die KI nutzen und sich genauso schnell weiterentwickeln können wie die Bedrohungen.

Following the introduction of AI technologies, one of the most alarming shifts we have seen is the dramatic drop in mean time to exfiltrate data following initial access. In 2021, the average MTTE was nine days. According to the Unit 42 2025 Global Incident Response Report, MTTE dropped to two days by 2024. In one out of every five cases, the time from compromise to exfiltration was less than one hour.

Unit 42 simulated a ransomware attack (from initial compromise to data exfiltration) in just 25 minutes using AI at every stage of the attack chain. This represents a 100x increase in speed, powered entirely by AI.

Recent threat activity observed by Unit 42 highlights how adversaries leverage AI in attacks.

• Deepfake-enabled social engineering has been observed in campaigns by groups such as Muddled Libra (also known as Scattered Spider), which have used AI-generated audio and video to impersonate employees during help desk scams.
• North Korean IT workers are using real-time deepfake technology to infiltrate organizations through remote work positions, posing significant security, legal, and compliance risks.
• Attackers are leveraging generative AI to conduct ransomware negotiations, breaking down language barriers and negotiating higher ransom payments more effectively.
• AI-powered productivity assistants are being used to identify sensitive credentials in victim environments.

A significant development is the emergence of agentic AI, which refers to autonomous systems that can make decisions, learn from outcomes, solve problems, and improve their performance iteratively without human intervention. These systems can independently execute multistep operations, from identifying targets to adapting tactics mid-attack. This makes them especially dangerous. As agentic models become more accessible, expect a surge in automated, self-directed cyberattacks that are faster, more adaptive, and more difficult to contain.

Palo Alto Networks‘ Unit 42 has been researching and developing an agentic AI attack framework that demonstrates how these capabilities can execute attacks with minimal input from the attacker.

Unit 42 has been able to demonstrate just how easily this technology could be turned against enterprises to execute attacks with unprecedented speed and scale. Over time, Unit 42 will integrate these capabilities into its purple teaming exercises so that you can test and improve your organization’s defenses against agentic AI attacks.

The emergence of Agentic AI is not just a theoretical risk—it’s an accelerating reality that will challenge your organization’s approach to threat detection, response, and mitigation.

The Agentic AI Attack Chain

Unit 42 believes that attackers will leverage Agentic AI to create purpose-built agents with expertise in specific attack stages. When these AI agents are chained together, they can autonomously test and execute attacks, adjusting their tactics in real time based on feedback. You can expect to see the rise of a new class of adversaries powered by Agentic AI in the near future. These attackers won’t merely assist with parts of an attack; they can plan, adapt, and execute full campaigns from start to finish with minimal human direction.

Through the lens of what Unit 42 is seeing in the wild, Agentic AI will reshape key tactics in the attack chain and help defend against them.

Reconnaissance AI Agent: Always Watching, Always Learning

Traditional reconnaissance was often a one-and-done step: run some scripts, scrape LinkedIn, check GitHub, and maybe do some passive DNS work. It was time-consuming, manual, and inefficient.

Agentic AI Recon: Recon agents operate persistently and autonomously. They self-prompt: „What data do I need to identify a weak point in this organization?“ Then, they collect the necessary data from social media, breach data, exposed APIs, and cloud misconfigurations. If the target changes—for example, if there is a new hire, a new vendor portal, or a leaked key—the agent reevaluates and updates its strategy.

Example: An agent selects a target organization and constantly scans its job postings. The agent finds some job listings and infers that the company uses SAP. The agent checks subdomains, finds a staging SAP server, and matches it to a recent CVE. The agent then shifts to LinkedIn, identifies mid-level IT staff, and flags them for phishing. The agent adapts its reconnaissance strategy on the fly.

Initial Access AI Agent: Personalized, Multi-Channel Intrusion

Traditional Initial Access: Attackers focus on tactics like mass phishing, credential stuffing, and vulnerability scanning. If one method didn’t work, the campaign often failed or required manual retargeting.

Agentic AI Initial Access: Agentic systems don’t just try once. They use LLMs to generate phishing lures tailored to individual targets in terms of tone, language, and context. If the first attempt fails, they self-prompt: „What alternative channels or messaging might work better?“ Then, they try again via SMS, LinkedIn, or a fake video conferencing invitation. AI-driven exploitation attempts are equally adaptive, matching CVEs to detected tech stacks in real time.

Example: A CFO ignores an initial phishing email. The AI agent rewrites the message with a more casual tone and references a recent company press release. It delivers the message via a spoofed Microsoft Teams chat, thus improving its odds with every iteration.

Execution AI Agent: Smart Payloads That Wait and Learn

Traditional execution: Payloads used to execute as soon as they were triggered. There was no context check or real-time decision-making. There was also a high risk of being detected in a sandbox.

Agentic AI Execution: Execution agents observe before acting. They check their location, the user, and active security tools, then select an appropriate execution path. If one method fails (e.g., a blocked script or restricted privileges), the agent asks itself: „What’s the next viable path?“ Then, it tries again.

Example: A payload lands on a user’s machine but pauses execution. The agent checks: „Is the user in finance? Is EDR active? Are business hours?” Based on the responses, the agent decides whether to inject itself into a trusted process and delay execution until the user opens Outlook. This allows it to blend into normal behavior and avoid detection.

Persistence AI Agent: Living Long and Quietly

Traditional persistence: Persistence used to rely on one or two techniques: scheduled tasks, registry keys, and startup folder implants. If defenders spotted and cleaned them, access was lost.

Agentic AI Persistence: Agents dynamically select persistence mechanisms based on endpoint posture. They install redundant footholds in cloud platforms, browser extensions, and identity tokens and monitor them for removal. If one is discovered, the agent self-corrects: „Fallback activated. Re-establishing access.“

Example: The agent adds a run key to an administrative user registry hive and schedules a hidden task using a trusted system binary simultaneously. Days later, the run key is deleted during a security scan. The agent detects the deletion, re-prompts itself, and recreates the registry key with obfuscated values. The scheduled task serves as a trigger to maintain persistence and evade detection.

Defense Evasion AI Agent — Learning to Hide on the Fly

Traditional Defense Evasion: Obfuscate the payload. Rename the binary. Inject it into a common process. If something was detected, retooling took time and effort.

Agentic AI Defense Evasion: Agentic malware is self-rewriting. When flagged by EDR or antivirus software, it retrains itself on evasion techniques, recompiles, and redeploys. It prompts itself to test alternative execution paths, encode traffic differently, or switch to backup C2 protocols.

Example: DNS filtering flags a malware beacon. The malware then rewrites its traffic to blend in with encrypted Windows updates, changes its behavior, and resumes exfiltration without ever triggering the same detection twice.

Discovery AI Agent: Silent Internal Mapping

Traditional discovery: Fire off scans. Dump user info. Use standard tools like SharpHound or BloodHound — effective, but noisy and often time-limited.

Agentic AI Discovery: Discovery agents probe passively and selectively. They monitor internal traffic, enumerate systems using native commands, and prioritize targets. If blocked, they replan. „What access paths are still open?“ This process continues until a viable route to the „crown jewels“ is mapped.

Example: An agent identifies a misconfigured development server and uses it to access a production backup cluster. The agent then analyzes folder names, file sizes, and user patterns to determine which data is worth taking, all while mimicking legitimate internal user activity.

Exfiltration AI Agent: Smart, Stealthy, and Fast

Traditional exfiltration: Exfiltration was usually slow and clumsy — compress everything and upload it to an FTP server, or send it out via a file streaming service. Big payloads meant big detection risks.

Agentic AI Exfil: Exfiltration agents do their research first. They identify valuable data, prioritize it, and test multiple covert paths. They throttle traffic, blend into sanctioned application protocols, and rotate channels if blocked. This kind of automation allowed Unit 42 to simulate a complete ransomware attack in just 25 minutes, from compromise to exfiltration. Agentic AI compressed a full attack lifecycle into a single lunch break.

For example: The agent identifies sensitive intellectual property documents, compresses and encrypts them, and then begins exfiltrating them in small chunks via a Slack bot. If the channel is blocked mid-transfer, the agent self-prompts, switches to embedding data in outbound OneDrive syncs, and resumes — completing the mission without triggering alerts.

Agentic AI attacks call for AI-enabled defenses.

The pace at which AI is advancing is so rapid that what security vendors and attackers can do with it is changing by the day. Agentic AI has the power to reimagine and execute attacks on a larger scale and at greater speeds. These agents are persistent, adaptive, and frighteningly efficient. They don’t get tired, they don’t make typos, and they won’t stop until they succeed. Unit 42 is already seeing signs of this shift, including experimental malware samples, hands-off affiliate kits, and active research into autonomous red teaming tools. The message is clear: Tomorrow’s threats won’t wait for human operators. They’ll operate on their own.

Unit 42 has developed an example of an Agentic AI attack framework as part of its offensive security research. The researchers expect threat actors to carry out attacks this way in the future, if they’re not already testing this technology. Incorporating these methodologies into our purple teaming exercises enables us to test your organization’s security controls more effectively. Given the speed of Agentic AI attacks, Palo Alto Networks can conduct more simulations in less time, ultimately strengthening your security posture.

When dealing with AI-enhanced cyber threats, it’s important to recognize that AI currently serves as an amplifier for traditional attack techniques rather than fundamentally altering them. Although the frequency and ease of executing certain attacks may increase, the strategies for effective detection and response remain effective. You need security solutions that leverage AI and can evolve as quickly as threats.