KI-Programmierassistenten: GhostApproval-Lücke umgeht Sicherheitsmechanismen
Veröffentlicht: 10.07.2026 um 15:23 Uhr, Redaktion boerse-global.de
Sicherheitsforscher haben gravierende Lücken in KI-Programmierassistenten und Cloud-Infrastrukturen aufgedeckt. Die am 9. Juli 2026 veröffentlichten Berichte mehrerer Cybersicherheitsfirmen zeigen: Angreifer können menschliche Kontrollmechanismen umgehen und KI-Gateways für kriminelle Aktivitäten kapern. Für deutsche Unternehmen, die zunehmend auf KI-Tools setzen, steigt damit das Risiko erheblich.
GhostApproval: Wenn KI-Assistenten blind gehorchen
Die Sicherheitsfirma Wiz entdeckte eine Schwachstelle namens GhostApproval, die zahlreiche KI-Programmierassistenten betrifft. Darunter fallen Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity und Windsurf.
Der Angriffsmechanismus ist raffiniert: Angreifer nutzen symbolische Links (Symlinks), um KI-Agenten dazu zu bringen, Dateien außerhalb ihrer abgeschotteten Arbeitsumgebungen zu schreiben. So umgehen sie den sogenannten „Human-in-the-Loop"-Prozess – die eigentlich zwingende Freigabe durch einen Menschen, bevor der KI-Assistent Änderungen am Code vornimmt. Sicherheitsexperten warnen: Ein bösartiges Repository könnte auf diesem Weg eine Remote Code Execution (RCE) auslösen, also die Ausführung von Schadcode aus der Ferne.
Die Reaktionen der Hersteller fallen unterschiedlich aus. Amazon, Google und Cursor haben bereits Updates bereitgestellt. Die Entwickler von Augment und Windsurf arbeiten an Lösungen. Anthropic hingegen bewertete die Schwere der Lücke zunächst als gering, hat inzwischen aber zusätzliche Warnhinweise für Nutzer eingeführt.
KI-Infrastruktur als Ziel: Kryptominer kapern Cloud-Systeme
Die GhostApproval-Lücke zeigt: KI-Programmierassistenten umgehen menschliche Kontrollen – ein Risiko, das Sie sofort adressieren müssen. Unser Report liefert eine konkrete Checkliste, wie Sie Ihre Entwickler-Tools absichern und SSH-Ports härten. Jetzt kostenlosen Sicherheits-Report anfordern
Ein zweiter Vorfall zeigt, wie Angreifer KI-Infrastrukturen für eigene Zwecke missbrauchen. Darktrace-Ermittler dokumentierten die Kompromittierung eines LiteLLM-KI-Gateways. Der Vorfall ereignete sich am 12. Juni 2026: Ein EC2-Server, der mit Amazon Bedrock verbunden war, wurde gekapert, um die Kryptowährung Monero zu schürfen.
Der Einbruch gelang über einen ungeschützten SSH-Port, der für das gesamte Internet offen stand. Der Angreifer lud das Mining-Tool XMRig von einer bekannten schädlichen IP-Adresse herunter und schloss den Server an einen Mining-Pool an. Darktrace betont: Das Gateway selbst hatte keine spezifische Softwarelücke – doch seine Rolle als zentraler Knotenpunkt für Zugangsdaten und Berechtigungen vergrößerte die Angriffsfläche enorm. Das kompromittierte Gateway besaß privilegierte Cloud-Berechtigungen. Hätte der Angreifer nicht rechtzeitig gestoppt werden können, wären tiefere Eingriffe in die Cloud-Infrastruktur oder Datendiebstahl möglich gewesen.
Schwachstellenmuster: Gleiche Architektur, gleiche Risiken
Die aktuellen Enthüllungen fallen mit einem Weißbuch der NCC Group vom 9. Juli 2026 zusammen. Die Forscher kartierten Sicherheitslücken in führenden KI-Programmieragenten wie Claude Code und Cursor. Ihr Befund: Die Schutzmaßnahmen variieren stark zwischen den Anbietern – und eine abgeschottete Ausführungsumgebung (Sandboxing) ist keineswegs Standard.
Ungeschützte SSH-Ports öffnen Ihre Cloud-Infrastruktur für Angreifer – wie der aktuelle LiteLLM-Vorfall zeigt. Unser Leitfaden führt Sie Schritt für Schritt durch die Härtung Ihrer KI-Gateways und verhindert Kryptominer-Befall. SSH-Härtungs-Leitfaden jetzt sichern
Weil viele KI-Agenten ähnliche Designentscheidungen teilen, weisen sie auch ähnliche Schwachstellenmuster auf. Besonders kritisch: schwache Vertrauensgrenzen und Berechtigungsmodelle, die die Aktionen der KI nicht ausreichend vom Host-System isolieren.
Das AI Now Institute berichtet zudem über eine Technik namens Friendly Fire. Dabei nutzen Angreifer Prompt-Injection über die Dokumentation selbst: Sie platzieren schädliche Anweisungen in genau den Dateien, die das KI-Tool lesen und analysieren soll. Für Unternehmen bedeutet das: Die Sicherheitslage bei automatisierten Entwicklungsprozessen wird zunehmend komplexer – und erfordert neue Schutzstrategien.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
