Wie schnell die experimentelle Technik aus dem Ruder läuft, zeigte ein von Summer Yue geschilderter Vorfall. Die Direktorin für Sicherheit und Alignment in Metas „Superintelligenz"-Labor berichtete auf Twitter/X, ihr OpenClaw habe in diesem Jahr plötzlich begonnen, massenhaft Nachrichten in ihrem Posteingang zu löschen. Per Instant Message habe sie den Bot vergeblich zum Anhalten aufgefordert. „Nichts macht so demütig, wie deinem OpenClaw zu sagen ‚bestätige vor dem Handeln’ und dann zuzusehen, wie es im Eiltempo deinen Posteingang löscht", schrieb Yue. Vom Handy aus habe sie es nicht stoppen können und sei zu ihrem Mac mini gerannt, „als würde ich eine Bombe entschärfen".
Konkreter wird das Risiko bei falsch konfigurierten Installationen. Jamieson O’Reilly, Penetrationstester und Gründer der Sicherheitsfirma DVULN, warnte auf Twitter/X, dass eine ins Internet exponierte OpenClaw-Weboberfläche Außenstehenden den Zugriff auf die komplette Konfigurationsdatei erlaube – inklusive aller Zugangsdaten des Agenten, von API-Schlüsseln und Bot-Tokens bis zu OAuth-Secrets und Signierschlüsseln. Damit könne ein Angreifer den Betreiber gegenüber dessen Kontakten imitieren, Nachrichten in laufende Konversationen einschleusen und Daten über die bestehenden Integrationen abziehen. „Man kann den gesamten Gesprächsverlauf über jede angebundene Plattform abrufen, also Monate privater Nachrichten und Dateianhänge", so O’Reilly. Da man die Wahrnehmungsebene des Agenten kontrolliere, lasse sich auch manipulieren, was der Mensch sehe. Eine flüchtige Suche habe Hunderte solcher offen erreichbaren Server ergeben.
Ein Kernprinzip beim Absichern von KI-Agenten ist deren strikte Isolation, denn sie sind anfällig für Prompt-Injection – als natürliche Sprache getarnte Anweisungen, die das System dazu bringen, seine Schutzmechanismen zu ignorieren. Laut der Sicherheitsfirma grith.ai begann so ein Lieferketten-Angriff auf den KI-Coding-Assistenten Cline: Cline nutzte einen GitHub-Workflow, der bei bestimmten Ereignissen eine Claude-Coding-Sitzung startete und von jedem Nutzer per Issue ausgelöst werden konnte, ohne den Titel auf feindliche Inhalte zu prüfen. Ein Angreifer legte Grith zufolge ein Issue mit einem als Leistungsbericht getarnten Titel an, der die Anweisung enthielt, ein bestimmtes Paket zu installieren – und schleuste es über weitere Schwachstellen in Clines nächtlichen Release-Prozess ein, sodass es als offizielles Update veröffentlicht wurde. Im Ergebnis erhielten Tausende Systeme eine fremde OpenClaw-Instanz mit vollem Zugriff.
Die Technik senkt zugleich die Hürden für Angreifer. Amazon AWS beschrieb in diesem Jahr einen Fall, in dem ein russischsprachiger Akteur mehrere kommerzielle KI-Dienste einsetzte, um über fünf Wochen mehr als 600 FortiGate-Geräte in mindestens 55 Ländern zu kompromittieren. Laut CJ Moses von AWS diente ein Dienst als primärer Werkzeugentwickler und Angriffsplaner, ein zweiter als ergänzender Planer; in einem Fall übermittelte der Akteur die komplette interne Netztopologie eines Opfers und ließ sich einen Schritt-für-Schritt-Plan erstellen. Der Vorteil liege „in KI-gestützter Effizienz und Skalierung, nicht in tieferem technischem Können" – bei gehärteten Zielen sei der Akteur einfach zu leichteren Opfern weitergezogen.
Forscher von Orca Security warnen, dass KI-Agenten Angreifern nach einem Einbruch die laterale Bewegung erleichtern können, weil sie bereits über vertrauten Zugang und gewisse Autonomie verfügen. Roi Nisimi und Saurav Hiremath von Orca fordern eine dritte Säule der Verteidigung: die Begrenzung der „KI-Fragilität". Als Orientierung verweist der Beitrag auf das von Django-Mitentwickler Simon Willison geprägte Konzept der „tödlichen Dreieinigkeit": Hat ein System Zugang zu privaten Daten, Kontakt mit nicht vertrauenswürdigen Inhalten und eine Möglichkeit zur externen Kommunikation, ist es anfällig für Datendiebstahl.
Auf die wachsende Menge maschinell erzeugten Codes reagierte Anthropic mit der Beta-Funktion Claude Code Security, die Codebasen auf Schwachstellen prüft und gezielte Patches zur menschlichen Prüfung vorschlägt. Die Ankündigung löschte an einem Tag rund 15 Milliarden Dollar Marktwert großer Cybersicherheitsfirmen aus. Laura Ellis von Rapid7 mahnte zur Differenzierung: Die Erzählung „KI ersetzt AppSec" greife zu kurz, die Realität sei nuancierter. O’Reilly sieht die Verbreitung als unausweichlich – die Frage sei nicht, ob man die Agenten einsetze, sondern ob man die eigene Sicherheitslage schnell genug anpassen könne, um das zu überstehen.
