Die jüngsten Vorfälle lassen sich nicht auf einzelne Zero-Day-Exploits zurückführen, sondern auf wiederkehrende Schwächen des Ökosystems. Bei Trivy nutzten Angreifer eine falsch konfigurierte GitHub Action und das Unvermögen des Entwicklerteams, sich nach dem Vorfall zu erholen, um an Zugangsdaten für das Ausspielen von Schadcode zu gelangen. Bei Axios führte die Kompromittierung des Kontos des leitenden Maintainers dazu, dass Trojaner mit Hintertüren in Entwicklungsumgebungen landeten. Auch der KICS-Analyzer von Checkmarx und die LiteLLM-Bibliothek wurden getroffen.
Anthropic räumte das Leck ein und versandte Urheberrechtshinweise an knapp 100 Spiegelungen auf GitHub. Andere Kopien blieben bestehen, darunter eine, bei der ein Nutzer den Code mithilfe von KI-Agenten nach Python und Rust übersetzte und umstrukturierte. Checkmarx bestätigte den Einbruch in sein KICS-Werkzeug über GitHub Actions und forderte Entwickler auf, Geheimnisse zu widerrufen und zu rotieren sowie ihre GitHub-Actions-Pipelines auf verdächtige Hinweise zu prüfen.
Jun Zhou, Full-Stack-Entwickler bei Straiker, verweist auf den Widerspruch im Anthropic-Fall: Claude Code habe in seiner Laufzeitumgebung über 25 Bash-Sicherheitsprüfungen besessen – „durchaus anspruchsvolle Sicherheitstechnik" –, dennoch sei eine 59,8 MB große Source-Map veröffentlicht worden, weil eine einfache Inhaltskontrolle gefehlt habe. Entwickler-Arbeitsplätze seien „reich an Zugangsdaten, mit hohem Vertrauen und geringer Sichtbarkeit", und KI-Coding-Agenten verstärkten diese Gefährdung zusätzlich.
Rami McCarthy, leitender Sicherheitsforscher bei Wiz, sieht das eigentliche Problem in den Folgewirkungen. Die globale Software-Infrastruktur stütze sich stark auf die freiwillige Arbeit von Open-Source-Maintainern, was eine sehr ungleichmäßige Sicherheitslage schaffe. Greife ein Angreifer das schwächste Glied einer Kette transitiver Abhängigkeiten an, sei der nachgelagerte Schaden enorm. Nach der Kompromittierung von Trivy hätten Angreifer rasch weitere Zugangsdaten gesammelt, sich seitlich durch Dienste bewegt und Schadcode verbreitet. Axios allein habe mehr als 70.000 direkte Abhängigkeiten – der „Explosionsradius" sei entsprechend groß.
McCarthy fordert, die Lieferkette wie kritische Infrastruktur zu behandeln, mit Schutzmechanismen auf jeder Ebene: stärkere Absicherung von Maintainern und Veröffentlichungsprozessen, CI/CD-Umgebungen, die Abhängigkeiten als nicht vertrauenswürdig behandeln, und eine ökosystemweite Erkennung auffälligen Paketverhaltens.
Tim Mackey, Leiter der Risikostrategie für Software-Lieferketten bei Black Duck, kritisiert die verbreitete Annahme, Schwachstellen ließen sich beseitigen, indem man jede Komponente auf die neueste Version aktualisiert. Studien zeigten, dass ältere Versionen oft die bessere Mischung aus eingespielten Patches und weniger bekannten Schwachstellen böten – im Schnitt sei häufig die drittneueste Version die sicherste. Laut Black Ducks OSSRA-Bericht gaben 2025 fast zwei Drittel der Organisationen (65 %) an, in den vergangenen zwölf Monaten Opfer eines Lieferketten-Angriffs geworden zu sein.
Jesus Ramon, Mitglied eines KI-Red-Teams bei Straiker, warnt vor den besonderen Risiken bei KI-Werkzeugen. Durch das Anthropic-Leck wurde die vollständige Architektur von Claude Code öffentlich – Kontext-Pipeline, Sandbox-Grenzen und Berechtigungsprüfungen –, was Angreifern eine Vorlage liefere, um Schadlasten zu bauen, die die Verdichtung des Kontexts überdauern. Ein Coding-Agent habe Zugriff auf das gesamte Dateisystem, die Shell, das Netzwerk und MCP-Server, sodass der gesamte Entwickler-Arbeitsplatz betroffen sei. Eine vergiftete Anweisung könne die Kontextverdichtung überleben und später als scheinbar legitime Vorgabe wieder auftauchen – bis hinein in Pull-Requests und Produktivcode.
