Mozilla-Forscher zeigen Angriff auf KI-Coding-Agenten über scheinbar sauberes GitHub-Repository

Zusammenfassung

Ein scheinbar harmloses GitHub-Repository kann einen agentischen Coding-Assistenten dazu bringen, auf dem Rechner eines Entwicklers eine Schadlast auszuführen, ohne dass im Repository selbst bösartiger Code liegt. Das zeigen Forscher von Mozillas KI-Sicherheitsplattform Zero Day Investigative Network (0DIN) in einer Demonstration mit Claude Code. Laut 0DIN kommt der Angriff ohne Exploit-Code, ohne Warnhinweis und ohne einen verdächtigen Befehl aus, der aktiv bestätigt werden müsste. Stattdessen stützt sich die Methode auf mehrere für sich genommen unauffällige Komponenten und darauf, dass der Agent ein Problem beheben will. Gelingt der Ablauf, erhält der Angreifer eine interaktive Shell mit den Rechten des Entwicklers. Damit wären laut den Forschern unter anderem Umgebungsvariablen, API-Schlüssel und lokale Konfigurationsdateien zugänglich; zudem eröffne sich die Möglichkeit, Persistenz einzurichten. Noch handelt es sich nur um einen Konzeptnachweis, doch 0DIN warnt, dass sich solche Repositories leicht über gefälschte Stellenanzeigen, Anleitungen, Blogbeiträge oder Direktnachrichten verbreiten ließen.

Nach Angaben von 0DIN besteht die neue Angriffsmethode aus drei Bausteinen, die einzeln weder als gefährlich auffallen noch unmittelbar Verdacht auslösen. Gerade diese Kombination sei entscheidend: Im geklonten Repository befindet sich kein bösartiger Code, und der KI-Agent automatisiert die gesamte Angriffskette selbst. Dazu gehört auch ein Schritt, der einen typischen Benutzerfehler nachahmt.

Die Forscher demonstrierten das Szenario mit Claude Code. Das Werkzeug wurde damit beauftragt, ein unauffälliges GitHub-Projekt zu klonen und einzurichten. Laut 0DIN kann der Agent dabei am Ende eine Schadlast ausführen, die für Sicherheitsscanner, KI-Agenten und menschliche Prüfer unsichtbar bleibt. Als Ergebnis lässt sich auf dem Gerät des Entwicklers eine interaktive Shell platzieren.

0DIN beschreibt den Kern des Problems so: Claude Code habe sich nicht dazu entschieden, eine Shell zu öffnen, sondern einen Fehler zu beheben. Die eigentliche Reverse Shell liege drei Umleitungsschritte von allem entfernt, was Claude Code tatsächlich ausgewertet habe: einer Fehlermeldung, der es vertraute, einem Skript, das einen Wert nachlud, und einem DNS-Eintrag, den das Werkzeug nie zu Gesicht bekam. In den Worten der Forscher: „Claude Code hat sich nie dafür entschieden, eine Shell zu öffnen. Es hat sich dafür entschieden, einen Fehler zu beheben. Die Reverse Shell ist drei Umleitungsschritte von allem entfernt, was Claude Code tatsächlich bewertet hat: eine Fehlermeldung, der es vertraute, ein Skript, das einen Wert abrief, und ein DNS-Eintrag, den es nie gesehen hat.“

Wenn der Ablauf gelingt, läuft die Shell mit den Rechten des Entwicklers. „Der Angreifer verfügt nun über eine interaktive Shell, die unter dem eigenen Benutzerkonto des Entwicklers läuft“, so 0DIN. Das verschafft nach Angaben der Forscher Zugriff auf Umgebungsvariablen, API-Schlüssel und lokale Konfigurationsdateien. Außerdem entsteht die Möglichkeit, Persistenz herzustellen.

Noch ist die Methode laut 0DIN ein Konzept. Die Forscher halten es aber für einfach vorstellbar, dass Bedrohungsakteure entsprechende GitHub-Repositories über gefälschte Jobangebote, Tutorials, Blogbeiträge oder Direktnachrichten verbreiten. Der Angriff wäre damit nicht auf einen besonderen Exploit im Repository angewiesen, sondern auf die Art und Weise, wie ein KI-Agent ein Projekt einrichtet und auf Fehler reagiert.

Als Gegenmaßnahme empfiehlt 0DIN, dass KI-Agenten die vollständige Ausführungskette von Einrichtungsbefehlen offenlegen. Das soll auch Skripte und Code umfassen, die erst zur Laufzeit dynamisch nachgeladen werden. Genau diese nachgelagerten Schritte seien in dem gezeigten Szenario der Punkt, an dem die eigentliche Schadfunktion verborgen bleibt.

Mozilla-Forscher zeigen Angriff auf KI-Coding-Agenten über scheinbar sauberes GitHub-Repository

Ähnliche Artikel

Neueste Artikel