Die Forschung zeigt ein grundlegendes Sicherheitsproblem bei modernen KI-Agenten auf, die mit produktiven Systemen interagieren. Aonan Guan gelang es, nachzuweisen, dass alle drei untersuchten KI-Tools anfällig für denselben Angriffsvektor sind — eine bemerkenswerte Entdeckung, da sie zeigt, dass das Problem nicht produktspezifisch, sondern konzeptionell ist.
Bei Clauds Code Security Review, das für automatisierte Sicherheitsüberprüfungen entwickelt wurde, genügt ein manipulierter Pull-Request-Titel, um die KI dazu zu bringen, willkürliche Befehle auszuführen und Zugangsdaten offenzulegen. Googles Gemini CLI Action lässt sich durch speziell formatierte Issue-Kommentare umgehen, wobei Forscher es schafften, einen vollständigen API-Schlüssel zu extrahieren. GitHubs Copilot Agent konnte durch versteckte HTML-Kommentare ausgetrickst werden, um Sicherheitssysteme zu umgehen und auf Secrets zuzugreifen.
Das größte Problem liegt in der Architektur dieser Systeme: KI-Agenten erhalten mächtige Ausführungsrechte (Shell-Befehle, Git-Push, API-Aufrufe) und Zugriff auf sensitive Anmeldedaten im selben Laufzeit-Umfeld, das auch mit unzuverlässigen Eingaben umgehen muss. Selbst mehrschichtige Sicherheitsmaßnahmen auf Modell-, Prompt- und Infrastruktur-Ebene können diesen Angriffsvektor nicht vollständig blockieren, weil die Prompt-Injection nicht unbedingt ein Fehler ist — sie ist kontextuelle Information, die der Agent verarbeiten soll.
Guan betont, dass dieses Muster weit über GitHub hinausgeht: Slack-Bots, Jira-Agenten, E-Mail-Automatisierungen und Deployment-Tools sind gleichermaßen gefährdet. Alle Systeme, die unkontrollierte Eingaben mit Zugriff auf Werkzeuge und Secrets verarbeiten, sind anfällig.
Die Reaktionen der Hersteller fielen unterschiedlich aus: Anthropic stufte die Schwachstelle als kritisch ein und zahlte 100 Dollar Bug Bounty. Google zahlte 1.337 Dollar. GitHub gab nur 500 Dollar aus und bezeichnete das Problem als architektonische Einschränkung — eine Einstufung, die Sicherheitsexperten als problematisch bewerten, da sie die Notwendigkeit grundlegender Redesigns signalisiert.
Für deutsche Entwickler und Unternehmen ist dies ein Weckruf: KI-gestützte Development-Tools müssen mit größter Vorsicht in produktiven Umgebungen eingesetzt werden, besonders wenn sie automatisiert Sicherheitsüberprüfungen durchführen oder auf privilegierte Systeme zugreifen können. Bis zu angemessenen Architektur-Verbesserungen sollten solche Agents nur unter strikter Kontrolle und mit minimalen Zugriffsrechten betrieben werden.