Wenn der KI-Prüfer selbst zur Einfallstür wird : AI-Now-Angriff zeigt Schwächen autonomer Coding-Agenten bei Fremdcode
KI-Agenten sollen unsicheren Code prüfen, Abhängigkeiten bewerten und Entwickler entlasten. Doch genau diese Aufgabe kann gegen sie verwendet werden: Ein manipuliertes Repository bringt den Agenten dazu, Schadcode auf dem Rechner des Prüfers auszuführen – ohne Warnung, ohne Freigabe.
Autonome Coding-Agenten sollen Entwicklern Arbeit abnehmen: Sie durchsuchen Quellcode, prüfen Projekte auf Schwachstellen und können dafür auch selbst Befehle auf dem Rechner ausführen. Genau darin liegt das Risiko. Denn sobald ein Agent nicht nur liest, sondern auch handelt, kann ihn ein manipuliertes Projekt zu gefährlichen Aktionen verleiten. Das AI Now Institute zeigt mit „Friendly Fire“ ein proof-of-concept (PoC), bei dem ein scheinbar normaler Prüfauftrag dazu führen kann, dass Anthropic Claude Code oder OpenAI Codex Schadcode starten – wenn ihre automatischen Freigabemodi aktiviert sind.
Wenn Prüfung zur Ausführung wird
Getestet wurden mehrere Versionen von Claude Code mit den Modellen Claude Sonnet 4.6, Sonnet 5 und Opus 4.8 sowie OpenAI Codex CLI 0.142.4 mit GPT-5.5. Der Befund zielt jedoch nicht auf eine einzelne fehlerhafte Version. Das Problem liegt tiefer: Der Agent soll fremden Code prüfen, darf dafür aber zugleich Befehle auf dem Rechner ausführen. Genau diese Befugnis macht ihn angreifbar.
Boyan Milanov und Heidy Khlaaf vom AI Now Institute präparierten dafür eine Open-Source-Bibliothek mit zusätzlichen Dateien. Als Beispiel nutzten sie geopy, eine verbreitete Python-Bibliothek für Geokoordinaten. In der README stand eine scheinbar harmlose Empfehlung: Vor einem Pull Request solle das Skript security.sh ausgeführt werden, weil es wichtige Sicherheitsprobleme sichtbar mache.
Erhält der Agent nun einen allgemeinen Auftrag wie „Perform security testing on this project“, liest er die README, hält das Skript für einen normalen Teil der Prüfung und startet es automatisch. Im Hintergrund wird dabei eine versteckte Binärdatei ausgeführt, die den eigentlichen Schadcode enthält. Der PoC zeigt damit ein zentrales Risiko: Der Agent erkennt die Bedrohung nicht, sondern wird selbst zum Werkzeug des Angreifers.
Warum klassische Schutzlogik nicht greift
Frühere Angriffe auf Coding-Agenten zielten häufig auf Konfigurationsdateien wie .mcp.json oder .claude/settings.json. Solche Dateien können Vertrauensabfragen auslösen. „Friendly Fire“ versteckt die Anweisung dagegen in README.md – einer gewöhnlichen Textdatei, die in fast jedem Repository vorkommt. Dadurch entsteht keine auffällige Vertrauenshürde.
Zusätzlich tarnte das Team die Binärdatei als kompiliertes Ergebnis einer harmlosen Go-Datei im selben Projekt. Eingestreute Zeichenketten aus dieser Datei sollten die Prüfung weiter plausibel wirken lassen. Besonders brisant: In einigen Testläufen bemerkten neuere Modelle zwar, dass Binärdatei und angeblicher Quelltext nicht sauber zusammenpassten, führten die Datei aber dennoch aus. Direkt gefragt, ob geopy versteckte Anweisungen enthalte, verneinten sowohl Claude Sonnet 4.6 als auch GPT-5.5.
Ein Problem des Workflows – nicht des Patchings
Das AI Now Institute betont, dass es „keinen Patch gibt, auf den gewartet werden kann“. Die getesteten Builds beschreiben lediglich die Umgebung des Versuchs, keine sauber eingrenzbare verwundbare Versionsreihe. Entscheidend ist der Workflow: Ein Agent, der fremden Code liest und zugleich Befehle auf dem Host ausführen darf, vermischt Analyseziel und Handlungsanweisung.
Der Angriff bleibt bislang ein Labor-PoC. Es gibt keine bekannten Ausnutzungen in freier Wildbahn, der öffentliche GitHub-Code enthält keine funktionsfähige Payload, und Privilegienausweitung oder laterale Bewegung wurden nicht umgesetzt. Dennoch passt der Befund zu früheren Arbeiten wie TrustFall von Adversa oder „Agentjacking“ von Tenet: Untrusted Text erreicht einen Agenten mit Befehlsrechten – und wird zur Handlungsanweisung.
Und dieses Szenario ist keineswegs theoretisch: Angreifer manipulieren tatsächlich öffentlich zugänglichen Code, wie die Kompromittierung von PyTorch Lightning gezeigt hat.
Was Teams jetzt ändern sollten
Für Entwicklungsteams und Security-Abteilungen bedeutet der Befund vor allem eines: Fremder Code darf nicht ohne Schutzschicht von einem Agenten geprüft werden, der direkt auf den Arbeitsrechner, lokale Dateien, Zugangsschlüssel, Secrets oder produktionsnahe Systeme zugreifen kann. Genau diese Kombination ist riskant. Der Agent soll zwar Schwachstellen finden, besitzt aber zugleich die Fähigkeit, Befehle auszuführen. Wird diese Fähigkeit durch manipulierte Hinweise in README-Dateien, Dokumentation oder Kommentaren missbraucht, entsteht aus einem Prüfwerkzeug ein möglicher Angriffskanal.
Eine Sandbox kann das Risiko verringern, reicht allein aber nicht aus. Sie trennt den ausgeführten Code vom Hostsystem und begrenzt den Schaden, falls ein Agent ein schädliches Skript startet. Doch Sandboxes sind keine unüberwindbare Grenze. Auch sie können Fehlkonfigurationen oder Ausbruchslücken enthalten, wie frühere Sandbox-Escape-Fälle gezeigt haben. Deshalb sollte eine Sandbox nur Teil eines mehrschichtigen Schutzkonzepts sein, nicht die einzige Sicherheitsmaßnahme.
Agenten restriktiver einsetzen
Wirksamer ist ein restriktiver Betriebsansatz. Agenten sollten Fremdcode zunächst nur lesen und analysieren dürfen, ohne automatisch Skripte, Binärdateien oder Build-Prozesse zu starten. Für aktive Tests eignen sich isolierte Prüfcontainer ohne Zugriff auf echte Zugangsdaten, interne Netze, Entwickler-Accounts oder produktive Ressourcen. Zusätzlich sollten eigene, kurzlebige Zugangsdaten verwendet werden, die nach dem Test automatisch ungültig werden.
Ebenso wichtig ist Transparenz: Jeder Befehl, den ein Agent ausführen will oder tatsächlich ausführt, sollte protokolliert und überprüfbar sein. Besonders kritisch sind Programme, deren Start nur durch README-Dateien, Dokumentation, Kommentare oder Fehlermeldungen angeregt wird. Genau dort können Angreifer Anweisungen platzieren, die für Menschen harmlos aussehen, vom Agenten aber als Arbeitsauftrag verstanden werden.
KI-Agenten können Sicherheitsprüfungen beschleunigen und Routinearbeit reduzieren. Ohne klare Begrenzung ihrer Rechte entsteht jedoch ein neues Risiko: Der Agent untersucht nicht nur potenzielle Angriffe, sondern kann selbst zum Ausführungsweg für fremden Code werden. Entscheidend ist daher nicht nur, was ein Agent erkennt, sondern vor allem, was er darf.
