Die Angriffstechnik SymJack nutzt eine tückische Kombination aus drei Elementen: Kontrolle über das Repository eines Coding-Agenten, präparierte bösartige MCP-Server (Model Context Protocol) und das Vertrauen von Entwicklern in die Automatisierung. Der Name ist Programm – die Methode kapern Symlinks im Entwicklungsprozess.
So funktioniert der Angriff: Ein Angreifer kontrolliert das Repository und die darin enthaltene Projektanweisungsdatei. Eine scheinbar harmlose Anweisung wie „Kopiere diese Dokumentationsdatei in diesen Ordner” versteckt in Wahrheit einen manipulierten Symlink. Der Coding-Agent führt die cp-Anweisung aus und installiert dabei unbemerkt den bösartigen MCP-Server in die Konfiguration. Der Entwickler sieht auf dem Bildschirm nichts Verdächtiges – nur eine normale Datei-Operation. Beim nächsten Neustart aktiviert sich der versteckte Server und der Angreifer-Code läuft mit vollem Benutzerrecht, komplett unsandboxed.
Die Auswirkungen sind dramatisch: Der Angreifer kann SSH-Schlüssel und Cloud-Token entwenden oder sogar produktive Systeme sabotieren. In CI/CD-Pipelines wird das Szenario noch bedrohlicher – ein einzelner böswilliger Pull Request kann alle Geheimnisse der Pipeline exfiltrieren, bevor ein Mensch den Code überhaupt gesichtet hat. Eine Supply-Chain-Attack, bei der die KI die Lieferkette ist.
Adversa AI hat die Sicherheitslücke bei fünf großen Coding-Assistenten getestet: Claude Code (Anthropic), Gemini CLI und Antigravity CLI (Google), Cursor Agent CLI, Grok Build CLI (xAI) und GitHub Copilot CLI – und sie bei allen gefunden. Die Reaktionen waren gemischt: Anthropic lehnte zunächst ab, hardete Claude Code dann aber stillschweigend nach. Google lehnte den Bericht ab, da Benutzerbestätigung als beabsichtigtes Verhalten gilt. Cursor sagte, man kenne das Problem bereits. xAI und GitHub antworteten nicht.
Das eigentliche Problem liegt nicht in den Coding-Agenten selbst – sie führen einfach Befehle aus. Das Problem ist menschlich: Entwickler vertrauen der Automatisierung zunehmend, weil KI-Tools die Entwicklungsgeschwindigkeit erhöhen sollen. Diese Vertrauenskulisse ist genau das, das SymJack ausnutzt.
Eine einfache Gegenmaßnahme zeigt Anthropic: Das gehärtete Claude Code löst Symlinks jetzt vor der Benutzerabfrage auf und zeigt den realen Zielort an. Andere Agenten könnten dies schnell nachahmen. Dennoch bleibt die zentrale Herausforderung: Wie lässt sich berechtigtes Vertrauen in Automatisierung mit kritischer Aufmerksamkeit vereinbaren?