
Trump stoppt neue KI Sicherheitsregeln
29/05/2026
Warme und professionelle Ablehnungen mit echtem Respekt formulieren
29/05/2026Etwas Heimtückisches geschieht in KI-Agenten-Marktplätzen. Sicherheitsforscher haben schädliche „Skills” entdeckt , kleine Zusatzwerkzeuge, die erweitern, was KI-Agenten leisten können , die sich auf öffentlichen Plattformen verstecken. Diese betrügerischen Tools stehlen heimlich Anmeldedaten und installieren Backdoors. Man kann es sich vorstellen wie das Herunterladen einer hilfreichen App, die im Geheimen Ihre Passwörter fotografiert. Über 13 % der untersuchten Skills wiesen schwerwiegende Sicherheitsmängel auf. Die Details, wie sich diese Bedrohungen über Plattformen verbreiten, machen es wichtig, diese Situation vollständig zu verstehen.
Hacker missbrauchen KI-Agenten-Stores als Waffe

Cyberkriminelle haben ein neues Jagdrevier gefunden : die Plattformen und Marktplätze, auf denen KI-Agenten entwickelt, vertrieben und betrieben werden. Was als Entwicklerinfrastruktur begann, ist nun ein hochattraktives Ziel und verschafft Angreifern nicht nur einen Zugang zu einer einzelnen Anwendung, sondern in das gesamte Ökosystem, das sie umgibt. Forscher bei Palo Alto Networks haben demonstriert, wie auf Google Clouds Vertex AI basierende Agenten gegen ihre eigenen Umgebungen eingesetzt werden können , als Waffe, um Daten zu exfiltrieren, Hintertüren zu installieren und bösartigen Code direkt aus der Agentenlaufzeitumgebung heraus auszuführen. Die Angriffsfläche endet nicht mehr beim Modell. Sie erstreckt sich auf jede Datei, jeden Workflow, jede Tool-Integration und jeden Ausführungskontext, den der Agent berührt. Weit verbreitete KI-Agenten von Microsoft, Google und OpenAI haben sich bereits mit minimalem Benutzereingriff als anfällig für Entführungsangriffe erwiesen, was unterstreicht, dass keine Plattform immun gegen diese aufkommenden Bedrohungen ist.
Bösartige Fähigkeiten in Marktplätzen gefunden
Sicherheitsforscher haben Hunderte von bösartigen Skills in öffentlichen KI-Agenten-Marktplätzen identifiziert, was dringende Bedenken hinsichtlich der Sicherheit offener Community-Ökosysteme aufwirft, in denen die Überprüfung nach wie vor begrenzt ist.
Snyks Analyse von 3.984 Skills aus ClawHub und skills.sh ergab, dass 13,4 % , insgesamt 534 , mindestens ein kritisches Sicherheitsproblem enthielten. Davon trugen 76 bestätigte bösartige Payloads, die in Markdown-Anweisungen versteckt waren und direkt an KI-Agenten übermittelt wurden. Zum Zeitpunkt der Veröffentlichung waren noch acht bösartige Skills auf ClawHub aktiv, einem von OpenClaw betriebenen Marktplatz, der mehr als 13.000 von der Community beigesteuerte Agenten-Skills beherbergt.
Das Problem geht weit über eine einzelne Plattform hinaus. Eine von SafeDep zitierte separate Studie, die 31.132 Skills aus einem Korpus von 42.447 untersuchte, ergab, dass 26,1 % mindestens eine Schwachstelle enthielten. Eine Überprüfung von Agent-to-Agent-kompatiblen Ökosystemen Anfang 2026 identifizierte 824 bösartige oder hochriskante Skills in öffentlich zugänglichen Registrierungen. Forscher bestätigten außerdem, dass aus primären Registrierungen entfernte Skills weiterhin über sekundäre Marktplätze zirkulierten.
Bösartige Skills wurden dabei beobachtet, wie sie AWS-Anmeldedaten und Krypto-Wallet-Dateien stehlen, Malware von Angreifer-kontrollierten Servern installieren, während routinemäßiger Aufgabenausführung Hintertüren einrichten und verarbeitete Daten stillschweigend an externe Endpunkte übermitteln. Prompt-Injection erschien in 91 % der bestätigten bösartigen Samples in der Snyk-Analyse, wobei Angreifer versteckte Anweisungen nutzten, um das Verhalten des Agenten umzuleiten, während der Skill vollständig funktionsfähig erschien.
Memory-Poisoning fügte eine weitere Persistenzebene hinzu, wobei einige Skills zentrale Agenten-Speicherdateien überschrieben, um Anweisungen einzubetten, die sitzungsübergreifend überlebten. Die kompromittierte Angriffsfläche reicht über den Skill selbst hinaus , zu den offengelegten Anmeldedaten gehörten Zugriffstoken für E‑Mail, Slack, SharePoint und Kalenderdienste, die den gesamten Umfang der Umgebungen abdecken, die ein Agent erreichen kann.
Skills sind standardisierte leichtgewichtige Ordner, die SKILL.md-Dateien mit Aufgabenanweisungen und ausführbaren Skripten enthalten, ursprünglich als offener Standard von Anthropic entwickelt und anschließend von Agenten wie Claude Code und OpenAI Codex übernommen, was ihre weit verbreitete Nutzung zu einem attraktiven Ziel für Supply-Chain-Angriffe macht.
Quellenangabe
- https://www.cybersecuritydive.com/news/research-shows-ai-agents-are-highly-vulnerable-to-hijacking-attacks/757319/
- https://www.foxbusiness.com/fox-news-politics/chinese-hackers-weaponize-anthropics-ai-first-autonomous-cyberattack-targeting-global-organizations
- https://www.zerofox.com/blog/autonomous-ai-agents-the-new-élite-hackers-targeting-brand-vulnerabilities/
- https://www.securityweek.com/google-addresses-vertex-security-issues-after-researchers-weaponize-ai-agent/
- https://www.youtube.com/watch?v=0tHb6U2604g
- https://coder.com/blog/the-first-ai-orchestrated-cyberattack-just-happened-no-one-was-prepared
- https://www.reddit.com/r/artificial/comments/1pkuaaq/an_ai_agent_spent_16_hours_hacking_stanfords/
- https://www.linkedin.com/posts/dan-lahav-037a67185_ai-agents-can-autonomously-decide-to-hack-activity-7438164412617613312-x8CN
- https://www.hkcert.org/blog/hackers-new-partner-weaponized-ai-for-cyber-attacks-hkcert-exposes-six-emerging-ai-assisted-attacks
- https://www.youtube.com/watch?v=ilVWaT9WheA




