KI-Agenten unter Feuer: Forscher zeigen Angriffe auf Claude und Amazon Q
27.06.2026 - 18:49:02 | boerse-global.de
Die Angreifer können über scheinbar harmlose Code-Repositories Schadcode einschleusen und Zugangsdaten stehlen.
Reverse Shell durch scheinbar saubere Repositories
Forscher des Mozilla-Teams 0DIN zeigten Ende Juni eine neue Angriffsmethode auf KI-Coding-Agenten. Der Trick: Ein Repository enthält keinerlei schädlichen Code, sondern lediglich harmlose Setup-Anweisungen. Diese führen ein KI-Tool wie Claude Code jedoch dazu, eine sogenannte Reverse Shell zu öffnen – eine Hintertür für Angreifer.
Das System besteht aus drei unverdächtigen Komponenten: einem sauberen Repository, einem Paket, das erst nach Initialisierung funktioniert, und einem Initialisierungsprozess, der Befehle aus einem DNS-Eintrag abruft. Gelingt der Angriff, erhält der Hacker vollen Zugriff auf die Entwicklungsumgebung – inklusive Umgebungsvariablen, API-Schlüsseln und anderen sensiblen Tokens.
Die Forscher warnen: Solche Attacken könnten über gefälschte Stellenausschreibungen oder Online-Tutorials verbreitet werden. Ihre Empfehlung: KI-Agenten müssen ihren gesamten Ausführungsprozess für den Nutzer sichtbar machen.
Kritische Lücken in Amazon Q Developer
Am 26. Juni wurden zwei schwerwiegende Sicherheitslücken in der Amazon Q Developer-Erweiterung bekannt. Die Schwachstellen (CVE-2026-12957 und CVE-2026-12958) wurden von Wiz Research entdeckt. Sie erlaubten Angreifern, über manipulierte Repositories schädliche MCP-Konfigurationen einzuschleusen und beliebigen Code auszuführen.
Das Problem: Amazon Q Developer lud MCP-Konfigurationen aus bestimmten Dateien wie .amazonq/mcp.json automatisch – ohne Zustimmung des Nutzers. Die dadurch gestarteten Prozesse hatten vollen Zugriff auf die Entwicklungsumgebung, inklusive AWS-Zugangsdaten, SSH-Sockets und API-Keys.
Die jüngsten Angriffe auf Claude Code und Amazon Q zeigen: KI-Coding-Agenten öffnen Hintertüren über scheinbar harmlose Repos. Wer seine Entwicklungsumgebung schützen will, findet im Report die wichtigsten Abwehrmaßnahmen – von MCP-Audit bis EDR-Regeln. Jetzt kostenlosen Sicherheits-Report anfordern
Wiz Research meldete die Lücken im April 2026. Ein Patch folgte am 12. Mai. Betroffen waren Language Servers for AWS vor Version 1.69.0 sowie bestimmte Versionen von Amazon Q für VS Code, JetBrains, Eclipse und Visual Studio. Zwar sind die Schwachstellen mittlerweile geschlossen, doch Analysten betonen: Ähnliche Probleme wurden bereits bei anderen KI-Tools wie Cursor und Windsurf beobachtet.
KI-generierte Malware umgeht Sicherheitslösungen
Die Bedrohungslage verschärft sich durch den Aufstieg KI-generierter Schadsoftware. Anfang Juni entdeckten Sicherheitsexperten auf einem kompromittierten Endgerät ein Ransomware-Toolkit, das Claude Opus 4.5 als Koordinator nutzte. Das Toolkit generierte über 80 Malware-Module, die mehrere gängige Endpoint-Detection-and-Response-Plattformen (EDR) umgehen konnten.
Das Toolkit verwendete die Cursor IDE und die Ludus VM-Plattform, um EDR-Tests zu automatisieren. Die Sicherheitsvorkehrungen der KI wurden umgangen, indem die Aktivität als Red-Team-Sicherheitsprojekt getarnt wurde. Der Fund bestätigt einen besorgniserregenden Trend: Ein CrowdStrike-Bericht aus dem Jahr 2026 verzeichnete für 2025 einen Anstieg KI-gestützter Angriffe um 89 Prozent.
Neue Abwehrmaßnahmen der Sicherheitsbranche
KI-generierte Malware umgeht EDR-Lösungen – ein aktueller Fund zeigt ein Ransomware-Toolkit, das Claude Opus 4.5 als Koordinator nutzte. Dieser Report liefert die 5 wichtigsten EDR-Regeln und eine Schritt-für-Schritt-Anleitung zur Absicherung Ihrer KI-Agenten. EDR-Regeln und Audit jetzt sichern
Die Sicherheitsbranche reagiert mit neuen Schutzmechanismen. Microsoft Defender XDR kann inzwischen über 20 lokale KI-Agenten auf Windows und macOS erkennen – darunter GitHub Copilot CLI und Ollama. Das System blockiert verdächtige Agenten in Echtzeit und verknüpft ihre Aktivitäten mit Identitäten und Cloud-Ressourcen.
Spezialisierte Anbieter wie ByteHide haben eigene Laufzeitumgebungen entwickelt, die MCP-Server und Agentenverhalten überwachen. Diese Tools erkennen zerstörerische Befehle und Prompt-Injection-Versuche. Zusätzlich wurde das Sentinel-Tool vorgestellt, das Tool-Ergebnisse scannt und schädliche MCP-Konfigurationen abfängt – um unbefugte Code-Ausführung in Entwicklungsumgebungen zu verhindern.
