KI-Entwicklerassistenten: Neue Angriffe kapern autonome Agenten

Kritische Sicherheitslücken verwandeln KI-Hilfen in Spionagewerkzeuge. In den letzten 72 Stunden aufgedeckte Angriffsmethoden wie „ClawJacked“ und „RoguePilot“ zeigen: Die theoretische Gefahr der KI-Manipulation ist praktische Realität geworden. Angreifer kapern dabei Entwickler-Tools über scheinbar harmlose Aktivitäten.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind, zeigt die aktuelle Bedrohungslage durch KI-Manipulationen besonders deutlich. Dieser kostenlose Leitfaden hilft Ihnen dabei, Ihre IT-Sicherheit mit einfachen Maßnahmen proaktiv zu stärken. IT-Sicherheit ohne Budget-Explosion stärken

Systematisches Risiko für Entwickler-Umgebungen

Die Angriffe zielen auf das Vertrauensverhältnis zwischen Programmierern und ihren KI-Assistenten. Durch bösartige Anweisungen in Webseiten oder öffentlichen Code-Repositories können Angreifer die KI-Agenten dazu bringen, Befehle auszuführen, sensible Daten wie API-Schlüssel auszuleaken oder sogar ganze Entwicklungsumgebungen zu übernehmen – alles ohne direktes Zutun des Entwicklers. Diese neue Klasse von KI-vermittelten Supply-Chain-Angriffen markiert eine gefährliche Eskalation.

„ClawJacked“: Vollkontrolle per Klick

Besonders alarmierend ist die als CVE-2026-25253 geführte Schwachstelle in der Open-Source-Plattform OpenClaw. Mit einem hohen Schweregrad von 8,8 bewertet, ermöglicht sie jeder besuchten Webseite die vollständige Kontrolle über den lokal laufenden KI-Agenten.

Der Angriff ist tückisch einfach: Ein Entwickler mit aktivem OpenClaw klickt auf einen präparierten Link – schon erlangt der Angreifer Operator-Zugriff. Damit lassen sich beliebiger Code ausführen, das lokale Dateisystem auslesen und sämtliche zugänglichen Zugangsdaten abgreifen. Obwohl ein Patch vorliegt, zeigt das Muster ein systemisches Risiko für viele lokal laufende KI-Agenten.

„RoguePilot“: GitHub-Issues als Trojaner

Parallel dokumentierten Orca-Security-Forscher den Angriff „RoguePilot“. Er zielt auf GitHub Copilot in der Cloud-Umgebung Codespaces ab. Die Methode: Versteckte bösartige Prompts in GitHub-Issue-Beschreibungen.

Öffnet ein Entwickler das Issue im Codespace, verarbeitet der Copilot-Agent automatisch auch die versteckten Anweisungen. Diese können den Assistenten dazu bringen, hochsensible Credentials – insbesondere das privilegierte GITHUB_TOKEN – an server der Angreifer zu senden. Die Anweisungen sind für Menschen unsichtbar, etwa in HTML-Kommentaren versteckt. Microsoft hat die spezifische Lücke mittlerweile geschlossen.

Theorie wird zur aktiven Bedrohung

Sicherheitsanalysten von Unit 42 bestätigten am 3. März 2026: Indirekte Prompt-Injection-Angriffe (IDPI) werden aktiv als Waffe eingesetzt. Da KI-Agenten zunehmend in webfähige Systeme integriert werden, dient das Web selbst als Verteilmechanismus für bösartige Prompts.

Die technologische Entwicklung überholt oft die rechtlichen Rahmenbedingungen, doch seit August 2024 regelt der EU AI Act klare Pflichten für den Einsatz von KI-Systemen. Sichern Sie sich diesen kostenlosen Umsetzungsleitfaden, um Kennzeichnungspflichten und Risikoklassen rechtssicher zu dokumentieren. Gratis E-Book zur KI-Verordnung herunterladen

Die Gefahr wächst mit der Autonomie der Modelle, die Webinhalte ohne menschliche Aufsicht parsen. Ein einziger präparierter Webauftritt kann so zahlreiche KI-Systeme infizieren und die Wirkung massiv skalieren. Die Folgen reichen vom Credential-Leak bis zur Kompromittierung kritischer Entscheidungsprozesse.

Paradigmenwechsel für die Software-Sicherheit

Diese autonomen Hijacking-Techniken verändern die Bedrohungslage grundlegend. Das Kernproblem: Large Language Models (LLMs) können nicht zuverlässig zwischen zu verarbeitenden Daten und darin versteckten bösartigen Anweisungen unterscheiden. Angreifer nutzen genau die Features aus, die die Assistenten hilfreich und proaktiv machen sollen.

Im Gegensatz zu traditionellen Angriffen, die das Herunterladen von Malware oder Phishing erfordern, genügen hier passive Aktionen wie das Betrachten eines Dokuments. Das untergräbt das Vertrauen in die Tools und vergrößert die Angriffsfläche auf jede externe Datenquelle. Die Branche muss nun nicht nur Code und Infrastruktur, sondern den KI-Denkprozess selbst absichern.

Ausblick: Der Wettlauf um KI-Sicherheit

Auch wenn die konkreten Lücken „ClawJacked“ und „RoguePilot“ gepatcht sind, bleibt die Technik der Prompt-Injection eine enorme Herausforderung. Experten erweten, dass Angreifer weiter innovieren werden, um das Verhalten autonomerer KI-Agenten zu manipulieren.

Die unmittelbare Zukunft wird wahrscheinlich eine rasche Entwicklung neuer Sicherheitslösungen bringen – etwa KI-spezifische Firewalls, kontinuierliches Monitoring des Agenten-Verhaltens und Methoden zur Bereinigung von LLM-Eingabedaten. Entwickler und Unternehmen sind aufgefordert, extreme Vorsicht walten zu lassen und ihre KI-Copilots als mächtige Werkzeuge zu behandeln, die im Fall einer Kompromittierung ein erhebliches Risiko darstellen.