Die Schwachstelle steckt im Splunk AI Toolkit und beruht auf einer unsicher voreingestellten Domain-Allowlist. Diese Liste schränkt die ausgehenden Anfragen des KI-Agenten nicht auf zuvor genehmigte externe Domains ein. Dadurch kann bereits ein Benutzer mit geringen Rechten – jemand, der weder die Rolle „admin" noch „power" besitzt – das Toolkit dazu bringen, ausgehende HTTP-Verbindungen zu einem Server aufzubauen, der von einem Angreifer kontrolliert wird. Über diesen Umweg lassen sich interne Daten an eine fremde, vom Angreifer bestimmte Gegenstelle abfließen (Data Exfiltration). Der Kern des Problems ist also keine fehlende Anmeldung, sondern eine zu großzügige Standardkonfiguration: Weil die ausgehenden Ziele nicht auf eine vertrauenswürdige Auswahl begrenzt sind, kann ein niedrig privilegierter Konto­inhaber den KI-Agenten als Kanal nutzen, um Informationen nach außen zu schleusen.