Die vom Sicherheitsunternehmen Sysdig dokumentierte Attacke zeigt ein beunruhigendes Muster: Der Angreifer nutzte am 10. Mai 2026 zunächst CVE-2026-39987 zur initialen Kompromittierung einer internetgestützten Marimo-Instanz. Nach dem Eindringen extrahierte er zwei Cloud-Zugangsdaten vom kompromittierten Host und griff mittels eines Egress-Pools auf AWS Secrets Manager zu. Innerhalb von Minuten hatte er so einen SSH-Privatschlüssel erbeutet und konnte sich auf einen SSH-Bastion-Server authentifizieren.
Das Entscheidende: Das anschließende Vorgehen wurde von einem KI-Agenten gesteuert. Sysdig identifizierte mehrere Indikatoren für diese maschinelle Autonomie. Der Angreifer führte einen Datenbankdump durch, obwohl er die Schemastruktur nicht kannte — ein klassisches Zeichen von KI-gesteuerten Explorationsmechanismen. Ein weiterer Hinweis war eine chinesische Kommentar im Befehlsstrom: “看还能做什么” (“Schauen wir, was sonst noch möglich ist”), die direkt in der Befehlsabfolge auftauchte.
Die technische Raffinesse lag in der Befehlskonstruktion: Jeder Befehl war für maschinelle Verarbeitung optimiert, mit dem Trennzeichen “—” zwischen Kommandos, begrenzte Ausgabeerfassung und Unterdrückung von Fehlerausgaben zur Lärmreduktion. Das System verkettete eigenständig Befehlsergebnisse — wenn ein Cat-Befehl Datenbankpasswörter aus ~/.pgpass extrahierte, nutzte es diese unmittelbar im nächsten Befehl weiter.
Ein entscheidender Unterschied zu traditionellen, skriptgesteuerten Attacken: Während ein fest codiertes Angriffsskript bei fehlenden Dateien oder unerwartetem Schema abbrechen würde, analysierte der KI-Agent die Situation, entschied adaptiv, was als nächstes zu versuchen ist, und setzte fort. Die gesamte Angriffskette dauerte knapp eine Stunde — was zeigt, dass KI-Systeme auch für schnelle, präzise Datenraube genutzt werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat aktuell keine spezifische Warnung zu CVE-2026-39987 ausgegeben, doch Unternehmen sollten prüfen, ob sie Marimo einsetzen. Die Sicherheitslücke wurde in Version 0.23.0 geschlossen.
Die Abwehrmaßnahmen sind bekannt, aber dringend: sofortiges Update auf die neueste Marimo-Version, Audit auf öffentlich zugängliche Instanzen, vollständige Rotation aller Zugangsdaten, API-Schlüssel und SSH-Schlüssel. Besonders kritisch für deutsche Unternehmen unter DSGVO: Ein derartiges Datenleck mit Ausfall von Schutzmechanismen muss dem Bundesdatenschutzbeauftragten (BfDI) gemeldet werden — potenzielle Bußgelder bis zu 4 % des Jahresumsatzes drohen.