Während viele Organisationen vor allem fürchten, dass Mitarbeiter sensible Daten in ChatGPT, Claude oder andere Chatbots hochladen, liegt das größere Problem laut Push Security woanders: bei den dauerhaften, programmatischen Brücken, die entstehen, sobald ein Mitarbeiter eine KI-App per OAuth an eine Kernplattform anbindet. Wird der Drittanbieter kompromittiert, wird diese Brücke zum direkten Pfad in die eigenen Systeme.

Genau das geschah bei Vercel. Ein Mitarbeiter hatte ein eingestelltes Consumer-Produkt von Context.ai an seinen Google-Workspace-Mandanten angebunden – wahrscheinlich ein selbst gestarteter Test, der integriert, kaum genutzt und dann vergessen wurde. Als Context.ai kompromittiert wurde – angeblich infolge einer Infostealer-Infektion, weil ein Mitarbeiter nach Roblox-Cheats suchte –, konnten Angreifer über die dort gespeicherten OAuth-Tokens in nachgelagerte Kundenkonten überschwenken. Betroffen war das gut berechtigte Workspace-Konto des Vercel-Mitarbeiters mit Zugriff auf interne Dashboards, Mitarbeiterdaten, API-Schlüssel sowie NPM- und GitHub-Tokens.

Push Security unterscheidet mehrere Formen von Schatten-IT im KI-Kontext: Schatten-Apps (nicht genehmigte Anwendungen), Schatten-Mandanten (Zugriff über private Konten), Schatten-Erweiterungen (Browser-Extensions) und Schatten-Integrationen – nicht bekannte oder genehmigte OAuth-Verbindungen zwischen Apps. Im Fall Vercel handelt es sich um eine solche Schatten-Integration.

Der Missbrauch von OAuth-Verbindungen beschränkt sich nicht auf KI-Apps. 2025 starteten die Scattered Lapsus$ Hunters OAuth-gestützte Lieferketten-Angriffe gegen Salesforce- und Google-Workspace-Mandanten, nachdem sie Salesloft (konkret die Plattform Salesloft Drift) und Gainsight kompromittiert hatten. Über 1.000 Organisationen waren betroffen – darunter Google, Cloudflare, Rubrik, Elastic, Proofpoint, JFrog, Zscaler, Tenable, Palo Alto Networks, CyberArk, BeyondTrust und Qualys –, mehr als 1,5 Milliarden Datensätze wurden entwendet. Snowflake-Kunden gerieten nach einem Einbruch beim Unternehmen Anodot ins Visier, ein prominentes Opfer war Rockstar Games.

Angreifer missbrauchen aber nicht nur bestehende Verbindungen, sondern nutzen OAuth-fokussiertes Phishing als Einstieg. Eine Salesforce-Kampagne begann mit sogenanntem Device-Code-Phishing, bei dem Opfer dazu gebracht wurden, eine vom Angreifer kontrollierte App in ihrem Salesforce-Mandanten zu registrieren und damit vollen API-Zugriff für massenhaften Datenabfluss zu gewähren. Push Security beobachtet bei dieser Technik in diesem Jahr eine 37-fache Zunahme, bei mehr als einem Dutzend krimineller Phishing-as-a-Service-Kits im Umlauf.

Den Vercel-Vorfall hätte man verhindern können: In den Admin-Bereichen von Google Workspace und Microsoft 365 lassen sich OAuth-Verbindungen prüfen und einschränken, etwa indem Nutzer ohne Admin-Freigabe keine neuen Integrationen hinzufügen dürfen. Push Security empfiehlt ein Standard-Verbot für neue Integrationen, das routinemäßige Prüfen bestehender Verbindungen sowie Sichtbarkeit über OAuth-Verbindungen hinweg – auch zwischen einzelnen SaaS-Apps, wo deutlich weniger Kontrollmöglichkeiten bestehen.

Der Beitrag ist von Push Security gesponsert und verfasst und bewirbt die eigene browserbasierte Sicherheitsplattform.