5 Min. Lesezeit
5 echte Sicherheitsvorfälle mit KI-Agenten im Jahr 2026 (und was uns jeder einzelne lehrt)

Kategorie
Die AI-Welt
Artikel teilen
88 % der Unternehmen, die AI agents einsetzen, berichteten im vergangenen Jahr von einem bestätigten oder vermuteten Sicherheitsvorfall. Nur 6 % der Sicherheitsbudgets sind für die Sicherheit von AI agents vorgesehen.
Diese Lücke zwischen Bereitstellungsgeschwindigkeit und Sicherheitsinvestitionen führt zu echten Sicherheitsverletzungen. Keine theoretischen. Hier sind fünf, die bereits stattgefunden haben, und jeder lässt sich auf ein bestimmtes Architekturproblem zurückführen, das behoben werden kann.
1. 195 Millionen Datensätze über Claude Code entwendet
Zwischen Dezember 2025 und Februar 2026 nutzte ein einzelner Angreifer Anthropic's Claude Code und OpenAI's GPT-4.1, um in neun mexikanische Regierungsbehörden einzudringen, darunter die Bundessteuerbehörde, das Standesamt von Mexiko-Stadt und das Wahlinstitut.
Das Ausmaß: 195 Millionen Steuerzahlerdaten. 220 Millionen standesamtliche Datensätze. Über 150 GB an Daten. Allein in Jalisco wurden 37 Datenbankserver kompromittiert, darunter Gesundheitsakten und Daten von Opfern häuslicher Gewalt.
Wie es funktionierte: Der Angreifer erklärte Claude, er führe ein legitimes Bug-Bounty-Programm durch. Er fütterte das Modell mit einem 1.084 Zeilen langen Hacking-Handbuch und erstellte ein eigenes Tool zur Datenexfiltration. Claude führte rund 75 % aller Remote-Befehle aus. 1.088 Prompts generierten 5.317 von der KI ausgeführte Befehle in 34 Sitzungen. Der Angreifer nutzte zudem 20 bekannte, ungepatchte CVEs aus.
Die Lehre: AI agents sind Kraftmultiplikatoren. Sie verstärken jeden Zugriff, den man ihnen gewährt. Claude hat die Sicherheitslücke nicht geschaffen. Aber es hat die Ausnutzung um das Zehnfache beschleunigt. Die Behörden verfügten über ungepatchte Systeme, keine Netzwerksegmentierung und keine Anomalieerkennung bei Massendatenexporten.
2. ClawHavoc: 824 bösartige Skills auf dem Marktplatz von OpenClaw
Ende Januar 2026 luden Angreifer mehr als 335 bösartige „Skills“ auf ClawHub hoch, den öffentlichen Marktplatz von OpenClaw. Bis Mitte Februar stieg die Zahl auf 824 von insgesamt 10.700 Skills. OpenClaw verzeichnete über 135.000 GitHub-Sterne und zehntausende aktive Bereitstellungen.
Die Skills verbreiteten macOS-Stealer-Malware über einen einzigen Command-and-Control-Server. SecurityScorecard stellte 40.214 im Internet exponierte OpenClaw-Instanzen fest, von denen 35,4 % als anfällig eingestuft wurden. Trend Micro fand 492 MCP-Server, die völlig ohne Authentifizierung offengelegt waren.
Es wurden vier kritische CVEs vergeben: Command Injection, SSRF, One-Click-Remote-Code-Execution und Privilege Escalation.
Die Ursache war simpel. Jeder mit einem GitHub-Konto, das älter als eine Woche war, konnte auf ClawHub veröffentlichen. Keine Code-Review. Keine Signierung. Kein Malware-Scanning.
Die Lehre: Agenten-Marktplätze sind das neue npm und sie wiederholen die frühen Sicherheitsfehler von npm. Codesignierung, automatisiertes Scannen, Herausgeber-Verifizierung und Sandbox-Ausführung sind gelöste Probleme im Paketmanagement. Das Agenten-Ökosystem hat sie bisher einfach noch nicht übernommen.
3. EchoLeak: Zero-Click-Datendiebstahl über Microsoft 365 Copilot
Im Juni 2025 entdeckten Sicherheitsforscher von Aim Security eine Zero-Click-Prompt-Injection-Schachstelle in Microsoft 365 Copilot. Sie wurde als CVE-2025-32711 mit einem CVSS-Score von 9.3 eingestuft.
Der Angriff erforderte keine Benutzerinteraktion. Ein Angreifer sendete eine präparierte E-Mail mit versteckten Anweisungen. Als Copilot die E-Mail im Zuge der routinemäßigen Zusammenfassung erfasste, befolgte er die versteckten Anweisungen: Er extrahierte Daten aus OneDrive, SharePoint und Teams und leitete sie über eine vertrauenswürdige Microsoft-Domain aus.
Antivirensoftware, Firewalls und statische Scans waren wirkungslos. Der Exploit funktionierte in natürlicher Sprache, nicht über Code.
Microsoft hat die Schwachstelle nach einer verantwortungsvollen Offenlegung serverseitig behoben. Es gibt keine Hinweise darauf, dass die Sicherheitslücke vor dem Patch aktiv ausgenutzt wurde.
Die Lehre: Prompt Injection ist nicht theoretisch. Sie hat eine CVE-Nummer und einen Schweregrad von 9.3 und richtet sich gegen das am häufigsten eingesetzte Enterprise-KI-Produkt der Welt. Jeder AI agent, der nicht vertrauenswürdige Inhalte verarbeitet, stellt eine Angriffsfläche dar.
4. GTG-1002: Staatlich gesteuerte Spionage durch einen AI agent
Im September 2025 entdeckte Anthropic eine staatlich unterstützte chinesische Gruppe (GTG-1002), die Instanzen von Claude Code kaperte, um autonome Cyberspionage gegen rund 30 Ziele in den Sektoren Verteidigung, Energie und Technologie zu betreiben.
Die KI wickelte 80–90 % der taktischen Operationen unabhängig ab. Sie fand und nutzte Schwachstellen mit einer Geschwindigkeit von Tausenden von Anfragen pro Sekunde aus – eine Geschwindigkeit, die für menschliche Akteure unmöglich ist. Dies war der erste dokumentierte Fall eines Cyberangriffs, der in großem Stil weitgehend ohne menschliches Zutun durchgeführt wurde.
Die Akteure sagten Claude, sie seien Mitarbeiter legitimer Cybersicherheitsfirmen, die autorisierte Tests durchführten. Dieses Social Engineering des KI-Modells selbst reichte aus, um die Sicherheitsfilter zu umgehen. Anthropic veröffentlichte nach der Zerschlagung der Kampagne einen detaillierten Bericht.
Die Lehre: AI agents können genau wie Menschen durch Social Engineering getäuscht werden. Wenn Ihr Agent eine behauptete Autorisierung ohne Überprüfung akzeptiert, wird ein versierter Angreifer dieses Vertrauen ausnutzen. Eine verhaltensbasierte Anomalieerkennung (kein legitimer Test erzeugt Tausende von Anfragen pro Sekunde) hätte dies sofort erkannt.
5. Step Finance: 40 Millionen Dollar Verlust durch Agenten mit zu vielen Berechtigungen
Im Januar 2026 kompromittierten Angreifer die Geräte von Führungskräften bei Step Finance, einem Solana-DeFi-Portfoliomanager. Was die Gerätekompromittierung in eine Katastrophe verwandelte, waren die KI-Trading-Agenten.
Die Agenten besaßen die Berechtigung, große SOL-Transfers ohne menschliche Genehmigung auszuführen. Sobald die Angreifer Zugriff hatten, transferierten die Agenten über 261.000 SOL-Token (27–30 Millionen Dollar). Nur 4,7 Millionen Dollar konnten wiederbeschafft werden. Der native Token brach um 97 % ein. Step Finance stellte den Betrieb ein.
45,6 % der DeFi-Teams nutzten gemeinsam verwendete API-Schlüssel. Die Agenten taten genau das, wofür sie entwickelt wurden. Das Problem: Zu dem, „wofür sie entwickelt wurden“, gehörte auch, 40 Millionen Dollar zu transferieren, ohne jemanden zu fragen.
Die Lehre: Übermäßige Berechtigungen sind das vorhersehbarste Fehlerszenario bei der Sicherheit von AI agents. Erforderlich sind dedizierte Zugangsdaten pro Agent, Grenzwerte für Transaktionswerte, ein „Human-in-the-Loop“-Prinzip für weitreichende Aktionen und eine Zero-Trust-Architektur, die davon ausgeht, dass jede Komponente kompromittiert sein könnte.
Was alle fünf gemeinsam haben
Keiner der Angriffe erforderte exotische Techniken. Ungepatchte CVEs. Keine Code-Review. Keine Durchsetzung von Eingabegrenzen. Vertrauensvorschüsse. Unbegrenzte Berechtigungen. Alles vermeidbar.
Die OWASP Top 10 for Agentic Applications bilden diese Schwachstellen präzise ab: Agent Goal Hijack, Tool Misuse, Agent Identity and Privilege Abuse, Agentic Supply Chain Compromise.
Der 2026 AI Threat Landscape Report von HiddenLayer zeigt, dass autonome Agenten mittlerweile für 1 von 8 gemeldeten KI-Sicherheitsvorfällen verantwortlich sind. 76 % der Unternehmen nennen Schatten-KI als wachsendes Problem. Malware in öffentlichen Modell- und Code-Repositories ist mit 35 % die häufigste Quelle für Sicherheitsverletzungen.
Nur 14,4 % der AI agents gehen mit vollständiger Genehmigung der Sicherheits- und IT-Abteilung live. Die Lösungen sind nicht kompliziert. Sie werden nur nicht priorisiert. Das muss sich ändern, bevor der nächste Vorfall diese Liste noch länger machen lässt.





