KI-Agenten: Neue Sicherheitslücken erschüttern die Cyberszene

Schwere Sicherheitslücken in autonomen KI-Assistenten gefährden Unternehmensdaten und Passwörter. Die jüngsten Enthüllungen zeigen fundamentale Schwächen in der Architektur dieser Systeme.

Die rasanten Entwicklungen im Bereich der Künstlichen Intelligenz bringen neue rechtliche Pflichten mit sich, die viele Unternehmen noch nicht auf dem Schirm haben. Dieser kostenlose Leitfaden zur EU-KI-Verordnung erklärt Ihnen kompakt die wichtigsten Anforderungen und Fristen für einen sicheren Betrieb. Gratis E-Book mit Umsetzungsleitfaden sichern

„PleaseFix“: Wie ein Kalendereintrag zum Einfallstor wird

Am 3. März 2026 veröffentlichte das Sicherheitsunternehmen Zenity Labs Details zu einer schwerwiegenden Schwachstellenfamilie namens „PleaseFix“. Betroffen sind sogenannte agentische KI-Browser, insbesondere Perplexity Comet. Die Lücken ermöglichen es Angreifern, den KI-Assistenten zu übernehmen, lokale Dateien auszulesen und Passwort-Manager zu kompromittieren – und das ohne jegliche Interaktion des Nutzers.

Der Angriffsweg ist tückisch einfach: Ein bösartiger Google-Kalendereintrag genügt. In unsichtbaren Leerzeichen unter den eigentlichen Termindetails verstecken Angreifer schädlichen HTML-Code und Systembefehle. Bittet der Nutzer den KI-Browser, die Einladung anzunehmen, kommt es zu einer Intent-Kollision. Das System vermischt den legitimen Nutzerbefehl mit der versteckten Schadlast.

Der kompromittierte Agent beginnt dann autonom, auf das lokale Dateisystem zuzugreifen. Er liest sensible Konfigurationsdateien und überträgt die Daten an einen Server der Angreifer. Um englischsprachige Sicherheitsbarrieren zu umgehen, nutzten die Forscher einen Hintergrund-Trick: Sie lenkten den Agenten auf eine Website, die weitere Anweisungen auf Hebräisch lieferte und den Dateizugriff als „Spiel“ tarnte.

Passwort-Manager im Visier der KI-Hacker

Die Gefahr geht weit über den Diebstahl lokaler Dateien hinaus. Die „PleaseFix“-Lücke bedroht auch nachgelagerte, vom Agenten autorisierte Workflows. Zenity Labs demonstrierte einen zweiten Exploit-Pfad, der Passwort-Manager wie 1Password ins Visier nimmt.

Ist die Passwort-Manager-Erweiterung im Browser entsperrt, kann der gekaperte KI-Agent den autorisierten Zugriff missbrauchen. Er durchsucht den Passwort-Tresor, extrahiert einzelne Zugangsdaten und kann sogar versuchen, das Master-Passwort zu ändern, um die vollständige Kontrolle zu übernehmen. Das Fatale: Diese Aktionen laufen innerhalb einer legitimen, authentifizierten Sitzung ab. Herkömmliche Endpoint-Security-Systeme, die nicht auf das Verhalten autonomer Agenten ausgelegt sind, schlagen hier nicht an.

Zenity Labs hatte die Schwachstellen bereits Ende letzten Jahres an Perplexity und 1Password verantwortungsvoll gemeldet. Perplexity behebt die Browser-Probleme durch strikte Grenzen für lokale Dateizugriffe. 1Password betonte, die Ursache für den Credential-Diebstahl liege im Ausführungsmodell des Browsers, nicht in der eigenen Sicherheitsinfrastruktur.

OpenClaw: Das unsichere Gateway im eigenen Netzwerk

Die Sorgen um die Sicherheit agentischer KI werden durch einen weiteren Fund verstärkt. Nur einen Tag zuvor, am 2. März, meldete Oasis Security eine kritische Lücke im selbst gehosteten KI-Assistenten OpenClaw. Diese ermöglichte es bösartigen Websites, lokale KI-Agenten komplett zu übernehmen – ohne schädliche Browser-Erweiterungen.

Das OpenClaw-Framework betreibt einen lokalen WebSocket-Server als Gateway für Authentifizierung und Steuerung. Dieses Gateway war standardmäßig an den Localhost gebunden, in der Annahme, lokaler Zugriff sei vertrauenswürdig. Da moderne Browser WebSocket-Verbindungen zum Localhost nicht blockieren, konnte JavaScript-Code einer schädlichen Website eine Verbindung zum Agenten-Port öffnen.

Ein folgenschwerer Konstruktionsfehler: Der Rate Limiter des Gateways nahm Loopback-Verbindungen von dieser Drosselung aus. Angreifer konnten so Brute-Force-Passwortangriffe mit hunderten Versuchen pro Sekunde starten und gängige Passwort-Listen in Sekundenschnelle durchprobieren. Nach erfolgreicher Authentifizierung erhielten sie administrative Vollkontrolle. Der Agent konnte dann private Slack-Nachrichten lesen, nach API-Schlüsseln suchen oder beliebige Shell-Befehle auf verbundenen Geräten ausführen.

Während KI-Systeme neue Einfallstore öffnen, bleiben klassische Methoden wie Phishing und CEO-Fraud weiterhin eine massive Bedrohung für die Unternehmenssicherheit. Schützen Sie Ihre Organisation mit diesem Experten-Guide, der aktuelle Hacker-Methoden entlarvt und wirksame Abwehrmaßnahmen in 4 Schritten aufzeigt. Anti-Phishing-Paket kostenlos herunterladen

Fundamentales Problem: Der Agent vertraut zu viel

Die Enthüllungen Anfang März 2026 markieren eine grundlegende Verschiebung der Angriffsfläche für Unternehmen. Michael Bargury, CTO von Zenity Labs, betont: Es handle sich um inhärente Schwachstellen in agentischen Systemen, nicht um einfache Softwarefehler.

Das Kernproblem ist ein Agent-Trust-Failure. Große Sprachmodelle verarbeiten vertrauenswürdige Nutzerbefehle und nicht vertrauenswürdige Webinhalte im selben Token-Strom. Sie können zuverlässig zwischen legitimen Anweisungen und bösartigen Payloads unterscheiden.

Anders als bei traditionellen Chatbots, bei denen Sicherheitsbemühungen auf die Filterung von Textausgaben abzielen, entstehen bei agentischer KI Risiken auf der Aktionsebene. Diese autonomen Agenten führen Code aus, nutzen APIs und modifizieren Datenbanken. Ein kompromittierter Agent wird so zur digitalen Insider-Bedrohung und erbt alle Systemrechte, die der Nutzer ihm gewährt hat.

Diese strukturelle Schwäche trifft auf einen heiklen Zeitpunkt der Unternehmenseinführung. Laut einem am 4. März zitierten Sicherheitsreport planen 83 Prozent der Organisationen, agentische KI in ihre Geschäftsprozesse zu integrieren. Doch nur 29 Prozent fühlen sich angemessen auf den sicheren Betrieb vorbereitet. Diese massive Bereitschaftslücke macht Unternehmensinfrastrukturen verwundbar. Bedrohungsakteure nutzen diese Lage bereits aus: Sie setzen eigene KI-Coding-Agenten ein, um genau nach solchen Schwachstellen in Unternehmenssystemen zu suchen und Exploit-Skripte zu entwickeln.

Ausblick: Zero-Trust für nicht-menschliche Identitäten

Die Cybersicherheitslandschaft muss sich schnell an die einzigartigen Bedrohungen durch nicht-menschliche Identitäten anpassen. Experten fordern einen Übergang zu Zero-Trust-Architekturen, die speziell für KI-Agenten designed sind. Diese müssten als hochprivilegierte Entitäten behandelt werden, die kontinuierliche Verifizierung und dynamische Autorisierung benötigen.

Die regulatorische Aufsicht dürfte sich verschärfen und von optionalen Sicherheitsfeatures zu strikten, verpflichtenden Schutzvorkehrungen führen. Künftige KI-Deployments werden wahrscheinlich robuste Computational Sandboxing und verbindliche Freigabeprozesse vor sensiblen Aktionen wie Dateiänderungen erfordern.

Da traditionelle App-Security-Modelle für Systeme mit eigenen Zielen unzureichend sind, rechnet die Branche mit einem Boom spezialisierter KI-Schwachstellenanalysen. Sicherheitsteams müssen kontinuierliche Red-Team-Übungen durchführen, die gezielt agentische Lücken testen. Letztlich wird die Sicherheit der nächsten Automatisierungsgeneration von Echtzeit-Verhaltensanalysen abhängen, die anomale Agentenaktivitäten erkennen, bevor es zu einem katastrophalen Datenabfluss kommt.