KI-Assistenten wie Cursor, Codex oder Claude Code können durch manipulierte Fehlerberichte in Tracking-Tools heimlich übernommen werden, was das US-amerikanische Sicherheitsunternehmen Tenet Security als Agentjacking bezeichnet. Der fundamentale Trick der Angreifer:innen besteht laut dem Unternehmen darin, dass die KI-Agenten beim Einlesen externer Datenstrukturen nicht verlässlich zwischen einem passiven Textinhalt und einer ausführbaren Handlungsanweisung unterscheiden können. Diese Schwäche betrifft nicht nur einzelne Modelle, sondern stellt ein grundlegendes architektonisches Problem der aktuellen Generation von künstlicher Intelligenz dar.Anzeige
Angriff leicht gemacht: Standardverfahren als Einfallstor
Programmierer:innen nutzen in ihren modernen Entwicklungsumgebungen häufig das sogenannte Model Context Protocol, um ihre smarten Agenten direkt auf Fehlerdatenbanken zugreifen zu lassen. Ein Angreifer sendet dabei über einen öffentlich zugänglichen Endpunkt, einen sogenannten Data Source Name, einen speziell präparierten Absturzbericht an den Dienst des US-Unternehmens Sentry.
Top-Artikel
Dieser gefälschte Fehlerbericht enthält versteckte Anweisungen im Format Markdown. Weil die künstliche Intelligenz schlichtweg nicht zwischen zu analysierenden Textdaten und auszuführenden Systembefehlen unterscheiden kann, verarbeitet der Agent den fremden Code. Die Tarnung als scheinbar legitime Lösungsempfehlung dient dabei als notwendiger Auslöser, um die unmittelbare Ausführung der Befehle durch den Assistenten zu erzwingen.Anzeige






