Auf den Punkt: Externe Inhaltsverweise, die Standard-Scanner nicht validieren, ermöglichten es Forschern, über gefälschte KI-Erweiterungen und Instagram-Werbung Zugriff auf über 26.000 autonome Agenten zu erhalten.
Forscher der Firma AIR haben demonstriert, wie KI-Erweiterungen über eine manipulierte Instagram-Kampagne in großem Stil geentert werden können, indem sie Sicherheits-Scanner durch externe Inhaltsverweise umgingen. Das Experiment offenbarte eine kritische Schwachstelle bei der Validierung von KI-Tools auf dem Agents-Marktplatz.
Niv Hoffman und Or Nevo von AIR entwickelten eine bösartige Erweiterung namens „brand-landingpage”, die sich als legitimes Werkzeug für Googles Design-Tool Stitch ausgab. Sie reichten das Paket auf dem GitHub-basierten Marktplatz Agents ein, wo es von den Betreibern akzeptiert wurde und anschließend die Sicherheits-Scanner von Cisco, Nvidia und Skils.sh passierte. Damit erfolgte der erste Schritt des Supply-Chain-Angriffs.
Die Ursache für das Versagen liegt in einer grundlegenden Limitation der Scanner: Sie prüfen nur die lokal im Paket enthaltenen Dateien, nicht aber extern verlinkte Inhalte. Die Forscher nutzten diese Lücke, indem sie sauberen Code mit einem Verweis auf eine von ihnen kontrollierten Domain hinterlegten. Diese Domain leitete anfangs auf die echte Google-Dokumentation weiter, um die Scanner-Analyse zu bestehen. Nach der Freigabe ersetzten sie die Zielseite durch Anweisungen, die KI-Agenten dazu befahlen, ein Skript auszuführen, das E-Mail-Adressen der Benutzer exfiltrierte.
Zur Skalierung des Angriffs nutzte das Team Instagram-Werbeanzeigen, um gezielt Nicht-Techniker wie Marketing-Fachleute, Designer und Vertriebsmitarbeiter anzusprechen. Diese Zielgruppen setzen zunehmend vorkonfigurierte Workflows auf KI-Plattformen von OpenAI oder Anthropic ein, verfügen jedoch oft nicht über tiefe technische Kenntnisse zur Risikobewertung. Das Experiment erlangte auf diese Weise Zugriff auf mehr als 26.000 KI-Agenten.
In einem echten Angriffsszenario könnten Kriminelle diese Methode zur Datenexfiltration oder zum Zugriff auf interne Firmennetzwerke missbrauchen, da KI-Agenten typischerweise mit den vollständigen Zugriffsrechten des Nutzers operieren. Darren Guccione von Keeper Security fasste die Implikation zusammen: Sicherheitsteams behandeln Reputationssignale als Vertrauensersatz, doch diese Strategie scheitert, wenn die tatsächliche Schadenslast außerhalb des überprüften Pakets liegt.
Quelle: www.it-daily.net · Erschienen 28. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.