Die Schwachstelle betrifft das Semantic Kernel SDK von Microsoft – ein Entwicklungsbaukasten, mit dem KI-Agenten und Systeme aus mehreren zusammenarbeitenden Agenten gebaut, orchestriert und betrieben werden. Der Fehler steckt konkret in der Komponente SessionsPythonPlugin der .NET-Variante des SDK und erlaubt das unbefugte Schreiben von Dateien an beliebige Orte im Dateisystem (Arbitrary File Write). Ursache ist, dass der beim Herunterladen oder Hochladen von Dateien angegebene lokale Pfad nicht ausreichend eingeschränkt wird: Ein Angreifer kann darüber den Speicherort frei bestimmen und so Dateien außerhalb des vorgesehenen Bereichs ablegen oder bestehende überschreiben. Da das SDK zur Anbindung und Steuerung von KI-Agenten dient, lassen sich solche Schreibzugriffe potenziell durch manipulierte Eingaben oder Funktionsaufrufe der Agenten auslösen. Betroffen sind Anwendungen, die das genannte Plugin der .NET-Ausführung von Semantic Kernel einsetzen. Als Gegenmaßnahme lässt sich ein Filter für Funktionsaufrufe einrichten, der die übergebenen Pfade prüft und nur zuvor freigegebene Zielpfade zulässt.