Vanunu erläuterte, dass clientseitige Risiken über zwanzig Jahre hinweg durch Fortschritte wie OS-Härtung, Sandboxes, Endpoint Detection and Response (EDR) und Browser-Isolation deutlich gesenkt wurden. Der Wechsel zu Software-as-a-Service- und Cloud-Plattformen habe Endpunkte zudem in Thin Clients verwandelt und die Angriffsfläche drastisch verkleinert. Genau diese “Endpoint-Festung” werde durch KI-Coding-Assistenten zunichtegemacht, weil sie Zugriff auf lokale Dateisysteme und Konfigurationen verlangten.

Entwickler statten die Assistenten häufig mit den höchsten Rechten aus und gewähren ihnen breiten Zugang im Netzwerk – die Agenten graben sich damit gleichsam einen Tunnel durch die Festungsmauern. Da sie automatisiert und hochprivilegiert arbeiten, könnten Sicherheitstechnologien ihr Handeln kaum überwachen oder als bösartig einstufen. “In diesem Moment sind alle Sicherheitsprodukte blind. Völlig blind”, sagte Vanunu gegenüber Dark Reading; sie könnten nicht wirklich verstehen oder kontrollieren, was die agentische KI tue.

Verschärfend kommt laut Vanunu hinzu, dass die KI-Werkzeuge Konfigurationsdateien als aktive Ausführungsanweisungen behandeln. Während Entwickler bei .exe-Dateien vorsichtig seien, gingen sie mit .json-, .env- oder .toml-Dateien deutlich sorgloser um. Weil diese Dateien kaum menschlicher Kontrolle unterliegen, könnten Angreifer eine harmlos wirkende Textzeile in den Metadaten platzieren, die einen Agenten etwa zur Ausführung eines schädlichen Befehls bringt. “Angreifer müssen im Grunde keine Malware mehr schreiben”, so Vanunu, “sie können einfach Konfigurationsdateien nutzen.”

Das Forschungsteam entdeckte sechs Schwachstellen in mehreren verbreiteten KI-Coding-Tools, die von den Herstellern bereits offengelegt und gepatcht wurden. CVE-2025-59536, eine hochgradig kritische Lücke in Claude Code, erlaubt es, das Werkzeug zur Ausführung von Schadcode in einem Projekt zu verleiten, bevor der Nutzer den Vertrauensdialog beim Start bestätigt. Angreifer können damit die Claude Code Hooks – automatisch ausgeführte, nutzerdefinierte Shell-Befehle – missbrauchen und EDR-Produkte umgehen. Möglich sei zudem eine Umgehung der Zustimmung beim Model Context Protocol (MCP): Da Claude Code Konfigurationen automatisch einliest, können bösartige MCP-Server Befehle ausführen, noch bevor der Vertrauensdialog erscheint.

In OpenAIs Codex CLI fand das Team mit CVE-2025-61260 (CVSS-Wert ausstehend) eine Lücke zur Code-Injektion: Über eine .env-Projektdatei lässt sich die CLI auf eine bösartige lokale .toml-Konfiguration umleiten, die wiederum von Angreifern kontrollierte MCP-Server anbindet und Befehle ohne menschliche Freigabe ausführt. CVE-2025-54136 wiederum ist eine hochkritische Schwachstelle zur Remote-Code-Ausführung in der KI-Plattform Cursor. Bei der Freigabe eines MCP-Server-Befehls bindet Cursor die Autorisierung an den Namen des Plug-ins statt an den Inhaltshash – das ermöglicht einen “Swap-Angriff”, bei dem ein harmloser Befehl genehmigt und das Plug-in anschließend mit einer schädlichen Nutzlast aktualisiert wird.

Schließlich beschrieb die Session eine Lücke in Googles Gemini CLI, der keine CVE zugewiesen wurde: Angreifer können schädliche Befehle als legitime Skripte in Dokumentationsdateien tarnen und in einer GEMINI.md-Datei einbetten, die das Werkzeug ohne Nutzerfreigabe stillschweigend ausführt.

Alle vier Unternehmen behoben die Fehler. Zur Eindämmung empfiehlt Vanunu, zunächst die gesamte eingesetzte KI-Technik zu erfassen – insbesondere “Schatten-KI” – und sämtliche Konfigurations- und Projekt-Metadaten auf verdächtige Inhalte zu prüfen. Zweitens sollten Organisationen ihre Coding-Tools isolieren und KI-automatisierte Shell-Aufgaben zunächst in Sandboxes ausführen. Drittens rät er zu einer “Configuration = Code”-Richtlinie, die Entwickler-Workstations als Zero-Trust-Umgebung behandelt, in der Text nicht ohne Verifizierung ausgeführt werden darf. “Das ist der neue Perimeter”, so Vanunu, “und wir müssen Sicherheit neu entwerfen.”