In aller Stille: Programmier-KI lädt Angreifer auf den PC des Opfers ein

Sicherheitsforscher von Mozillas Zero Day Investigative Network (0DIN) haben eine neue Angriffsmethode vorgestellt, mit der KI-gestützte Programmierassistenten wie Claude Code dazu gebracht werden können, Kriminelle auf den Rechner des Opfers einzuladen.
Ki, Künstliche Intelligenz, Technologie, Roboter, Geld, Sci-Fi, Automatisierung, Dollar, Fintech, Futurismus, Digitale Währung, Finanztechnologie, Dollarscheine, KI-Finanzen, Roboter-Geld, Zukunft der Finanzen, Roboterökonomie

Agent öffnet Reverse Shell

Das KI-Tool öffnet dabei unbemerkt eine Reverse Shell auf dem Rechner eines Entwicklers - verbindet sich also mit dem System des Angreifers, damit dieser Zugang erhält. Das dabei eingesetzte GitHub-Repository enthält keinerlei offensichtlich schädlichen Code und wirkt selbst bei einer manuellen Prüfung völlig unauffällig.

Die Demonstration des Problems basierte auf einer indirekten Prompt-Injection. Dabei werden die schädlichen Anweisungen nicht direkt an die KI übergeben, sondern in externe Inhalte eingebettet, die der Assistent im Verlauf seiner Arbeit verarbeitet.


Der von den Forschern entwickelte Testangriff nutzt ein scheinbar gewöhnliches Softwareprojekt namens "Axiom". Die Installationsroutine fordert Nutzer auf, zugehörige Pakete zu installieren und anschließend einen Initialisierungsbefehl auszuführen. Das eigentliche Programm ist so konstruiert, dass es zunächst mit einer harmlos wirkenden Fehlermeldung abbricht und zur Ausführung dieses Initialisierungsschritts auffordert. Das ist nicht besonders auffällig, da viele legitimen Anwendungen ganz ähnlich agieren.

Genau hier greift dann der Angriff. Der KI-Assistent versucht automatisch, den Fehler zu beheben, und führt den empfohlenen Befehl aus. Dieser startet ein Skript, das über einen DNS-Eintrag weitere Befehle von einem vom Angreifer kontrollierten Server abruft und ausführt. Der eigentliche Schadcode befindet sich damit nicht im Repository selbst, sondern wird erst zur Laufzeit nachgeladen. Weder statische Codeanalysen noch menschliche Prüfer oder die KI erkennen dadurch den gefährlichen Inhalt.

Geht mit vielen KIs

Nach erfolgreicher Ausführung erhält der Angreifer eine interaktive Shell mit den Rechten des Entwicklers. Dadurch können sensible Informationen wie API-Schlüssel, Cloud-Zugangsdaten, GitHub-Tokens oder Inhalte von Konfigurationsdateien ausgelesen werden. Zudem lassen sich dauerhafte Hintertüren einrichten oder weitere Schadsoftware installieren.

Die Forscher warnen, dass die Methode nicht auf Claude Code beschränkt ist. Auch andere agentische Coding-Tools, die eigenständig Installations- und Einrichtungsprozesse ausführen, könnten betroffen sein. Das grundlegende Problem liege in der Architektur dieser Systeme: Sie besitzen weitreichenden Zugriff auf lokale Ressourcen und verarbeiten gleichzeitig Inhalte aus potenziell unsicheren Quellen wie Code-Repositories, Dokumentationen oder Fehlermeldungen.

Zusammenfassung
  • Sicherheitsforscher warnen vor KI-Tools als Einfallstor für Angreifer
  • KI-Assistenten öffnen durch manipulierte Projektdaten eine Reverse Shell
  • Schädliche Befehle laden Angreifer unbemerkt auf lokale PC-Systeme ein
  • Betroffene Entwickler riskieren Diebstahl sensibler Zugangsdaten massiv
  • Das Risiko besteht durch den Zugriff der KI auf unsichere Code-Quellen

Siehe auch:


Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!