Auf den Punkt: AI-Agent-Skills erfordern kontinuierliche Runtime-Überwachung, nicht nur statische Analysen beim Deployment, da Sicherheitsrichtlinien nach der Genehmigung geändert werden können.
Ein manipuliertes AI-Agent-Skill namens „brand-landingpage" passierte mehrere Sicherheitsscanner und wurde über ein Instagram-Ad an über 26.000 Nutzer verteilt. Das Experiment der Sicherheitsfirma AIR zeigt, dass statische Code-Analysen zur Genehmigungszeit AI-Skills nicht hinreichend überprüfen können.
AIR bewies mit einem gezielten Test, dass ein schädliches Skill-Paket Sicherheitsprüfungen mehrerer Anbieter passierte. Das Skill „brand-landingpage” wurde als Landing-Page-Werkzeug mit Googles Stitch-Design-Tool dargestellt und sollte nicht-technische Unternehmensnutzer (Marketer, Verkäufer, Designer) ansprechen. AIR reichte das Skill in ein beliebtes Open-Source-Agent-Repository mit etwa 36.000 GitHub-Sternen und 156 Skills ein. Das Skript wurde nach wenigen Tagen akzeptiert und später über Instagram-Werbung verbreitet.
Die Malware-Methode funktionierte nicht durch verdächtigen Code in eingereichten Dateien, sondern durch eine betrügerische Domain: Das Skill instruierte Agenten, das Stitch SDK von stitch-design.ai zu installieren – eine von AIR kontrollierte Seite statt Googles Original stitch.withgoogle.com. Die gefälschte Domain leitete zunächst zur echten Google-Seite weiter, was statische Codeanalysen nicht erkennen konnten. AIR testete das Skill gegen Scanner von Cisco, Nvidia und skills.sh – alle klassifizierten brand-landingpage als sicher. Nach der Verbreitung änderte AIR die Inhalte hinter der gefälschten Dokumentation, um ein Skript bereitzustellen, das E-Mail-Adressen sammelte. Nach Aussage von AIR wäre das gleiche Verfahren zur Kompromittierung von Agent-Systemen einsetzbar gewesen. Einige der betroffenen Agenten waren mit Unternehmenskonten verknüpft.
Die Sicherheitsforscherin Devashri Datta betont, dass CISOs AI-Skills als Teil der Enterprise-Supply-Chain betrachten müssen, nicht als einfache Text-Prompts: „Sie sind ausführbare Befehlspakete, die steuern, wie ein Agent mit Unternehmenssystemen interagiert und Daten routet – sie benötigen die gleiche Kontrolle wie Third-Party-Open-Source-Pakete oder SaaS-Integrationen.” Keith Prabhu, CEO von Confidis, ergänzt: „Punkt-in-Zeit-Scans reichen nicht aus; Unternehmen benötigen kontinuierliche Validierung und strikte Runtime-Kontrollen.” Dies setzt zunächst ein unternehmensweites Inventar aller AI-Skills voraus, das Sicherheitsteams Transparenz über externe Verbindungen und Datenzugriffe bietet.
Quelle: www.csoonline.com · Erschienen 24. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.