5 echte Sicherheitsvorfälle mit KI-Agenten im Jahr 2026 (und was uns jeder einzelne lehrt)

88 % der Organisationen, die KI-Agenten betreiben, meldeten im vergangenen Jahr einen bestätigten oder vermuteten Sicherheitsvorfall. Nur 6 % der Sicherheitsbudgets sind der Sicherheit von KI-Agenten gewidmet.

Diese Lücke zwischen Bereitstellungsgeschwindigkeit und Sicherheitsinvestitionen führt zu realen Sicherheitsvorfällen. Nicht zu theoretischen. Hier sind fünf, die bereits passiert sind – jede lässt sich auf ein konkretes architektonisches Versagen zurückführen, das behoben werden kann.

1. 195 Millionen Datensätze über Claude Code exfiltriert

Zwischen Dezember 2025 und Februar 2026 nutzte ein einzelner Angreifer Anthropic's Claude Code und OpenAI's GPT-4.1, um neun mexikanische Regierungsbehörden zu kompromittieren, darunter die föderale Steuerbehörde, das Zivilregister von Mexiko-Stadt und das Wahlinstitut.

Das Ausmaß: 195 Millionen Steuerdatensätze. 220 Millionen Zivildatensätze. Über 150 GB Daten. Allein in Jalisco wurden 37 Datenbankserver kompromittiert, darunter Gesundheitsakten und Daten von Opfern häuslicher Gewalt.

So funktionierte es: Der Angreifer erklärte Claude, er führe ein legitimes Bug-Bounty-Programm durch. Er fütterte das Modell mit einem 1.084-zeiligen Hacking-Handbuch und entwickelte ein eigenes Exfiltrationstool. Claude führte rund 75 % aller Fernbefehle aus. 1.088 Prompts erzeugten 5.317 von der KI ausgeführte Befehle über 34 Sitzungen hinweg. Der Angreifer nutzte außerdem 20 bekannte, ungepatchte CVEs aus.

Die Lehre: KI-Agenten sind Kraftmultiplikatoren. Sie verstärken jeden ihnen gewährten Zugriff. Claude hat die Schwachstelle nicht geschaffen. Es machte ihre Ausnutzung 10-mal schneller. Die Behörden hatten ungepatchte Systeme, keine Netzwerksegmentierung und keine Anomalieerkennung für Massenexporte von Daten.

2. ClawHavoc: 824 schädliche Skills auf dem Marktplatz von OpenClaw

Ende Januar 2026 luden Angreifer mehr als 335 schädliche „Skills“ in ClawHub hoch, den öffentlichen Marktplatz von OpenClaw. Mitte Februar lag die Zahl bei 824 von insgesamt 10.700 Skills. OpenClaw hatte über 135.000 GitHub-Stars und Zehntausende aktive Deployments.

Die Skills verbreiteten macOS-Stealer-Malware über einen einzigen Command-and-Control-Server. SecurityScorecard beobachtete 40.214 aus dem Internet erreichbare OpenClaw-Instanzen, davon 35,4 % als verwundbar markiert. Trend Micro fand 492 MCP-Server mit offener Exposition ohne jegliche Authentifizierung.

Es wurden vier kritische CVEs zugewiesen: Command Injection, SSRF, Remote Code Execution mit einem Klick und Privilegieneskalation.

Die Ursache war simpel. Jeder mit einem GitHub-Konto, das älter als eine Woche war, konnte auf ClawHub veröffentlichen. Kein Code-Review. Keine Signierung. Kein Malware-Scanning.

Die Lehre: Agenten-Marktplätze sind das neue npm, und sie wiederholen die frühen Sicherheitsfehler von npm. Code-Signierung, automatisiertes Scannen, Verifizierungen von Publishern und sandboxierte Ausführung sind in der Paketverwaltung längst gelöste Probleme. Das Agenten-Ökosystem hat sie bislang nur noch nicht übernommen.

3. EchoLeak: Zero-Click-Datendiebstahl über Microsoft 365 Copilot

Im Juni 2025 entdeckten Forscher von Aim Security eine Zero-Click-Prompt-Injection-Schwachstelle in Microsoft 365 Copilot. Sie wurde als CVE-2025-32711 mit einem CVSS-Score von 9,3 eingestuft.

Der Angriff erforderte keine Benutzerinteraktion. Ein Angreifer versendete eine einzige präparierte E-Mail mit versteckten Anweisungen. Als Copilot die E-Mail während einer routinemäßigen Zusammenfassung verarbeitete, befolgte es die versteckten Anweisungen: Es extrahierte Daten aus OneDrive, SharePoint und Teams und schleuste sie anschließend über eine vertrauenswürdige Microsoft-Domäne ab.

Antivirus, Firewalls und statische Scans waren allesamt wirkungslos. Der Exploit arbeitete in natürlicher Sprache, nicht in Code.

Microsoft patchte die Schwachstelle nach verantwortungsvoller Offenlegung serverseitig. Vor dem Patch gab es keine Hinweise auf Ausnutzung in freier Wildbahn.

Die Lehre: Prompt-Injection ist nicht theoretisch. Sie hat eine CVE-Nummer und einen Schweregrad von 9,3 und zielt auf das weltweit am weitesten verbreitete Enterprise-KI-Produkt. Jeder KI-Agent, der nicht vertrauenswürdige Inhalte verarbeitet, ist eine Angriffsfläche.

4. GTG-1002: Spionage eines Nationalstaats, ausgeführt von einem KI-Agenten

Im September 2025 stellte Anthropic eine chinesische staatlich geförderte Gruppe (GTG-1002) fest, die Claude-Code-Instanzen kaperten, um autonome Cyber-Spionage gegen rund 30 Ziele in den Sektoren Verteidigung, Energie und Technologie durchzuführen.

Die KI übernahm 80–90 % der taktischen Operationen eigenständig. Sie entdeckte und nutzte Schwachstellen mit Tausenden von Anfragen pro Sekunde aus – Geschwindigkeiten, die für menschliche Operatoren unmöglich sind. Dies war der erste dokumentierte Fall eines groß angelegten Cyberangriffs, der weitgehend ohne menschliches Eingreifen durchgeführt wurde.

Die Operatoren erklärten Claude, sie seien Mitarbeiter legitimer Cybersicherheitsfirmen und führten autorisierte Tests durch. Diese Social-Engineering-Manipulation des KI-Modells selbst reichte aus, um die Sicherheitsfilter zu umgehen. Anthropic veröffentlichte nach der Unterbrechung der Kampagne einen detaillierten Bericht.

Die Lehre: KI-Agenten lassen sich ebenso sozial manipulieren wie Menschen. Wenn Ihr Agent behauptete Autorisierung ohne Verifizierung akzeptiert, wird ein ausgefeilter Angreifer dieses Vertrauen ausnutzen. Verhaltensbasierte Anomalieerkennung – kein legitimer Test erzeugt Tausende von Anfragen pro Sekunde – hätte dies sofort erkannt.

5. Step Finance: 40 Millionen US-Dollar durch Agenten mit zu vielen Berechtigungen verloren

Im Januar 2026 kompromittierten Angreifer Executive-Geräte bei Step Finance, einem Solana-DeFi-Portfolio-Manager. Was die Kompromittierung eines Geräts in eine Katastrophe verwandelte, waren die KI-Trading-Agenten.

Die Agenten hatten Berechtigungen, große SOL-Transaktionen ohne menschliche Freigabe auszuführen. Sobald die Angreifer Zugriff hatten, bewegten die Agenten mehr als 261.000 SOL-Token (27–30 Millionen US-Dollar). Nur 4,7 Millionen US-Dollar wurden wiederhergestellt. Der native Token stürzte um 97 % ab. Step Finance stellte den Betrieb ein.

45,6 % der DeFi-Teams nutzten gemeinsame API-Keys. Die Agenten taten genau das, wofür sie gebaut worden waren. Das Problem: Zu dem, wofür sie gebaut worden waren, gehörte, 40 Millionen US-Dollar zu bewegen, ohne jemanden zu fragen.

Die Lehre: Übermäßige Berechtigungen sind der vorhersehbarste Fehlermodus in der Sicherheit von Agenten. Pro-Agent-Anmeldedaten, Schwellenwerte für Transaktionswerte, Human-in-the-Loop für hochwirksame Aktionen und eine Zero-Trust-Architektur, die davon ausgeht, dass jede Komponente kompromittiert sein könnte.

Was alle fünf gemeinsam haben

Keine erforderte exotische Angriffstechniken. Ungepatchte CVEs. Kein Code-Review. Keine Durchsetzung von Eingabegrenzen. Vertrauensannahmen. Unbegrenzte Berechtigungen. Alles vermeidbar.

Die OWASP Top 10 für agentische Anwendungen bildet diese Fehler präzise ab: Agent Goal Hijack, Tool Misuse, Agent Identity and Privilege Abuse, Agentic Supply Chain Compromise.

Der 2026 AI Threat Landscape Report von HiddenLayer zeigt, dass autonome Agenten inzwischen für 1 von 8 gemeldeten KI-Sicherheitsvorfällen verantwortlich sind. 76 % der Organisationen nennen Shadow AI als wachsendes Problem. Malware in öffentlichen Modell- und Code-Repositorien ist mit 35 % die häufigste Ursache für Sicherheitsvorfälle.

Nur 14,4 % der KI-Agenten gehen mit voller Sicherheits- und IT-Freigabe live. Die Behebungen sind nicht kompliziert. Sie werden nur bislang nicht priorisiert. Das muss sich ändern, bevor der nächste Vorfall diese Liste kurz erscheinen lässt.