Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > KI-Codierungswerkzeuge sind jetzt eine Angriffsfläche für Supply-Chain-Attacken

KI-Codierungswerkzeuge sind jetzt eine Angriffsfläche für Supply-Chain-Attacken

von Patrick Spencer updated Juni 1, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Jeder Entwickler in Ihrem Team arbeitet mit einer KI zusammen. GitHub Copilot, Cursor, Claude – sie sitzen direkt in der IDE, lesen den Projektkontext und schlagen Code vor. Das ist die Produktivitätsseite. Die Sicherheitsseite zeigte sich diese Woche: Angreifer haben herausgefunden, wie sie diese Zusammenarbeit kapern können, indem sie genau die Konfigurationsdateien manipulieren, die KI-Coding-Tools nutzen, um Ihr Projekt zu verstehen.

Die TrapDoor-Attacke beginnt dort, wo die meisten Sicherheitskontrollen von Unternehmen nicht hinschauen: im Open-Source-Paket-Registry. Ein Entwickler installiert ein bösartiges Paket – oft eine täuschend echte Kopie einer legitimen Abhängigkeit – aus npm, PyPI oder Crates.io. Das Besondere an TrapDoor ist nicht der initiale Angriffsweg, sondern was das Paket nach der Installation macht. Statt direkt einen Schadcode auszuführen, verändert das bösartige Paket die CLAUDE.md-Konfigurationsdatei des Projekts – das Briefing-Dokument, das der KI mitteilt, was das Projekt macht, welche Konventionen zu beachten sind und wie sie sich verhalten soll.

Nach der Modifikation dieser Konfigurationsdatei wird das KI-Coding-Tool zum unwissentlichen Teil des Angriffs. Es liest die veränderten Anweisungen und beginnt, Anfragen an von Angreifern kontrollierte Infrastruktur umzuleiten, wodurch Anmeldedaten und sensible Umgebungsvariablen exfiltriert werden, die beim Lesen des Projektkontexts im Zugriff sind. Das KI-Modell selbst wurde nicht kompromittiert. Es wurde keine Schwachstelle in GitHub Copilot oder Claude ausgenutzt. Der Angreifer hat die Konfiguration vergiftet, der die KI vertraut – und die KI hat exakt das getan, wozu sie konfiguriert wurde. Genau deshalb ist TrapDoor ein Governance-Problem genauso wie ein Sicherheitsproblem.

5 Wichtige Erkenntnisse

1. KI-Coding-Tools können durch Manipulation von Konfigurationsdateien missbraucht werden.

Die TrapDoor-Kampagne verteilte 34 bösartige Pakete über npm, PyPI und Crates.io, die gezielt KI-Coding-Assistenten angriffen, indem sie Projektkonfigurationsdateien wie CLAUDE.md veränderten. Nach der Manipulation führten diese Dateien dazu, dass KI-Tools Anfragen an von Angreifern kontrollierte Infrastruktur umleiteten und Zugangsdaten exfiltrierten – ohne dass das KI-Modell selbst kompromittiert wurde. Die KI tat exakt das, wozu sie konfiguriert war. Aus Sicht des Sicherheitsteams geschah auf der KI-Ebene nichts Ungewöhnliches. KI-Governance muss unterhalb der Modell-Ebene ansetzen.

2. Ungeregelter KI-Lesezugriff ist die strukturelle Schwachstelle.

KI-Coding-Tools erhalten weitreichenden Lesezugriff auf den Projektkontext – Quellcode, Konfigurationsdateien, Umgebungsvariablen, README-Dokumente – und schaffen so einen Datenkanal zwischen Entwicklungsumgebung und KI-Inferenz, den die meisten Unternehmen nie explizit geregelt haben. Laut DTEX 2026 Insider Threat Report befürchten 73 % der Unternehmen, dass unautorisierte KI-Nutzung unsichtbare Datenabflusswege schafft. TrapDoor hat einen bereits bestehenden Kanal ausgenutzt.

3. KI-Supply-Chain-Angriffe folgen einem dokumentierten Eskalationsmuster.

Der CrowdStrike 2026 Global Threat Report dokumentiert eine Verdreifachung von KI-Supply-Chain-Angriffen über Drittanbieter-Modelle seit 2022 sowie einen jährlichen Anstieg KI-gestützter Angriffsaktivitäten um 89 %. TrapDoor passt genau in diesen Trend – es zielt auf das gleiche Entwickler-Ökosystem ab, das bereits von mehreren früheren Kampagnen systematisch ausgenutzt wurde. Insbesondere das npm-Ökosystem wird immer wieder als Schwachstelle in verschiedenen Kampagnen genannt.

4. Regulierte Branchen stehen vor unmittelbarer, nicht modellierter Compliance-Gefahr.

Organisationen, die CUI, PHI oder ITAR-kontrollierte Daten verarbeiten, sind direkt Compliance-gefährdet, wenn KI-Coding-Assistenten sensible Inhalte ohne explizite Zugriffskontrollen oder Egress-Governance lesen. Das nachträgliche Protokollieren der Aktivität erfüllt nicht die Zugriffskontrollanforderungen gemäß CMMC, HIPAA oder ITAR. Das Compliance-Problem sind nicht neue regulatorische Vorgaben – es ist ein neuer Mechanismus, bestehende Vorgaben zu verletzen.

5. Pre-Model-Kontrollen begrenzen das Schadensausmaß bei erfolgreichen Supply-Chain-Angriffen.

Zero-trust-Content-Governance, die vor dem Zugriff auf sensible Daten greift, ist die architektonische Antwort, um Schäden bei erfolgreichen Supply-Chain-Angriffen einzudämmen. Zugriffskontrollen auf Datenebene wirken unabhängig davon, ob die Konfiguration des KI-Tools kompromittiert wurde. Eine veränderte CLAUDE.md-Datei kann die Anweisungen an die KI ändern – aber nicht die Zugriffsrichtlinien erweitern, die regeln, auf welche Inhalte die KI tatsächlich zugreifen darf.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es auch nachweisen?

Jetzt lesen

Das Vertrauensmodell von KI-Tools – und wie Angreifer es ausnutzen

Wenn die IDE eines Entwicklers einen KI-Coding-Assistenten integriert, erhält dieser umfassenden Lesezugriff auf den Projektkontext. Alles im Projektverzeichnis, das die KI liest, wird de facto zu Daten, die an einen externen Dienst übertragen werden. In den meisten Entwicklungsumgebungen wird dieser Kanal lediglich durch die Zustimmung des Entwicklers zu den Nutzungsbedingungen des KI-Tools geregelt. Es gibt keine explizite Zugriffspolitik, die definiert, welche Dateien die KI lesen darf. Es gibt keine Egress-Kontrolle, die regelt, welche Daten die Entwicklungsumgebung verlassen dürfen. Es gibt keine Benachrichtigung, wenn die KI eine unerwartete ausgehende Verbindung zu einem unbekannten Ziel herstellt.

92 % der Unternehmen geben an, dass generative KI die Art und Weise verändert hat, wie Mitarbeitende auf Informationen zugreifen und diese teilen – aber nur 13 % haben KI formell in ihre Geschäftsstrategie integriert, einschließlich Governance, laut DTEX 2026 Insider Threat Report. Diese Lücke – zwischen KI-Einführung und KI-Governance – ist die Angriffsfläche, auf die TrapDoor abzielt. Der Angriff hat keinen unsichtbaren Datenkanal geschaffen. Er hat einen bereits bestehenden ausgenutzt.

Ein Muster, keine Anomalie: Die Eskalation von KI-Supply-Chain-Angriffen

Sicherheitsverantwortliche, die TrapDoor als neuartigen Einzelfall einstufen, sollten umdenken. Der CrowdStrike 2026 Global Threat Report dokumentiert eine Verdreifachung von KI-Supply-Chain-Angriffen über Drittanbieter-Modelle seit 2022 sowie einen jährlichen Anstieg KI-gestützter Angriffsaktivitäten um 89 %. CrowdStrike hebt insbesondere das npm-Ökosystem als wiederkehrenden Angriffsvektor hervor – und verweist auf BeaverTail-Pakete und den ShaiHulud-Infostealer als Beleg dafür, dass Bedrohungsakteure gezielt die Entwickler-Toolchain ins Visier nehmen.

Die Kiteworks 2026 Prognose zeigt: 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen, 60 % können ein fehlverhaltendes KI-System nicht beenden und 55 % können ein KI-System nicht isolieren, wenn es sich unerwartet verhält. Im Kontext von TrapDoor beschreiben diese Zahlen genau die Kontrollen, die den Angriff eingedämmt hätten: die Möglichkeit, zu steuern, was ein KI-Coding-Tool lesen darf, die Möglichkeit, eine auffällige Sitzung zu beenden, und die Möglichkeit, ein kompromittiertes Tool zu isolieren, bevor es Daten exfiltriert.

Die Compliance-Gefahr, die bisher niemand modelliert hat

Für Unternehmen in regulierten Branchen schafft TrapDoor eine Compliance-Gefahr, die die meisten bisher nicht explizit betrachtet haben. Betrachten Sie die konkreten Datentypen, die gefährdet sind.

CUI in Codebasen von Verteidigungsaufträgen. Ein KI-Coding-Assistent, der an einem Verteidigungsprojekt arbeitet, kann Zugriff auf technische Spezifikationen, Designdokumente und Quellcode haben, die CUI enthalten oder darauf verweisen. Wird die KI-Konfiguration kompromittiert und beginnt sie, Daten an einen Angreifer zu exfiltrieren, ist dies eine unautorisierte Offenlegung kontrollierter Informationen – mit direkten Auswirkungen auf CMMC und DFARS.

PHI in der Entwicklung von Gesundheitstechnologien. Gesundheitsorganisationen, die Anwendungen mit Patientendaten entwickeln, haben oft PHI zu Testzwecken in der Entwicklungsumgebung. Ein KI-Coding-Assistent mit umfassendem Lesezugriff hat in dieser Umgebung Zugriff auf PHI – unabhängig davon, ob dies bei der Bereitstellung des Tools explizit bedacht wurde.

ITAR-kontrollierte technische Daten in Luft- und Raumfahrt sowie Verteidigung. Exportkontrollierte technische Daten, die in Quellcode, Designdateien oder Konfigurationsdaten erscheinen, unterliegen ITAR – unabhängig vom Speicherort. Ein KI-Tool, das diese Daten liest und exfiltriert, ermöglicht einen unautorisierten Export – ohne dass der Entwickler selbst etwas versendet hat.

Das Compliance-Problem bei TrapDoor ist nicht, dass neue regulatorische Pflichten entstehen. Es ist ein neuer Mechanismus, bestehende Pflichten zu verletzen. Am stärksten gefährdet sind Unternehmen, die KI-Coding-Tools breit einsetzen, ohne diese Implementierung an ihre bestehenden Compliance-Anforderungen anzupassen.

Was Zero-Trust-Content-Governance für KI-Tools wirklich bedeutet

Zero-trust bei KI-Tools bedeutet konkret: Authentifizierter Zugriff auf das KI-Tool führt nicht automatisch zu Zugriff auf beliebige Inhalte. Jede Datei, die die KI liest, jede Konfiguration, die sie lädt, wird vorab anhand expliziter Richtlinien geprüft. Die Frage ist nicht, ob die IDE des Entwicklers eine Verbindung zum KI-Dienst herstellen kann. Die Frage ist, ob der KI-Dienst eine bestimmte Datei, einer bestimmten Klassifizierung, im Kontext eines bestimmten Projekts lesen darf – und ob dieser Zugriff revisionssicher protokolliert wird.

Wenn eine nicht-menschliche Identität (hier die Service-Credentials des KI-Coding-Tools) kompromittiert wird, verändert eine zero-trust-Content-Architektur die Angriffsdynamik grundlegend. Eine veränderte CLAUDE.md-Datei kann die Anweisungen an die KI ändern – aber nicht die Zugriffsrichtlinien erweitern, die festlegen, auf welche Inhalte die KI tatsächlich zugreifen darf.

Der Kiteworks Secure MCP Server und das AI Data Gateway setzen dies auf Inhaltsebene um: Sensible Inhalte sind für KI-Sitzungen nur zugänglich, wenn die Rolle des Nutzers, der Zweck der Sitzung und die Klassifizierung der Inhalte alle expliziten Richtlinien erfüllen. Jeder Zugriff – menschlich oder KI – wird authentifiziert, anhand attributbasierter Zugriffskontrollen autorisiert, mit FIPS 140-3-validierter Verschlüsselung gesichert und in einem manipulationssicheren Audit-Trail protokolliert, der an SIEM gestreamt wird. Das Kiteworks Private Data Network erweitert dies auf E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare und APIs – eine Policy-Engine, ein zentrales Audit-Log.

Das Prinzip, das über TrapDoor hinaus gilt

TrapDoor ist eine spezifische Kampagne. Das zugrundeliegende Prinzip ist allgemeingültig: Jedes Tool, das sensible Inhalte liest, ist ein Content-Governance-Problem – nicht nur ein Sicherheitsproblem. Ob Filesharing-Plattform, E-Mail-Client, KI-Coding-Assistent oder Managed File Transfer-System – die Fragen bleiben gleich. Wer darf auf diese Inhalte zugreifen? Unter welchen Bedingungen? Welche Egress-Kontrollen greifen, wenn dieser Zugriff kompromittiert wird?

Für Security- und Compliance-Teams, die ihre Situation bewerten, ergeben sich drei praxisnahe Fragen: Erstens, welche KI-Coding-Tools sind in Ihrer Entwicklungsumgebung im Einsatz und wurden diese Tools als Datenkanäle – nicht nur als Produktivitätswerkzeuge – formal bewertet? Zweitens, auf welche Inhalte haben diese Tools Lesezugriff und umfassen diese Inhalte Daten, die regulatorischen Vorgaben unterliegen? Drittens, wenn die Konfiguration eines KI-Coding-Tools heute kompromittiert würde, welche Kontrollen begrenzen, was die KI lesen und wohin die Daten gelangen könnten?

Erfahren Sie mehr darüber, wie Sie sensible Daten vor KI-Workflows schützen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Ein Supply-Chain-Angriff auf KI-Coding-Tools bedeutet, dass bösartiger Code oder Anweisungen in eine Komponente des Softwareentwicklungs-Ökosystems eingeschleust werden – etwa ein Open-Source-Paket –, dem das KI-Tool vertraut und auf das es angewiesen ist. Die bösartigen TrapDoor-Pakete haben Konfigurationsdateien verändert, die KI-Coding-Assistenten als maßgebliche Anweisungen behandeln. Der Kiteworks Secure MCP Server und das AI Data Gateway steuern, welche Inhalte KI-Tools lesen dürfen und wohin Daten fließen können – bevor ein Angriff erfolgreich ist, nicht erst danach.

Konfigurationsdateien wie CLAUDE.md nehmen eine privilegierte Position in der Vertrauenshierarchie von KI-Coding-Tools ein – sie gelten als maßgebliche Anweisungen für das Verhalten der KI. Wird eine Konfigurationsdatei kompromittiert, ist das funktional gleichbedeutend mit einer Manipulation der KI-Anweisungen, ohne eine technische Schwachstelle auszunutzen. Die Integrität von Konfigurationsdateien ist daher ein Governance-Kontrollpunkt, nicht nur ein Sicherheitsaspekt – und bestehende Datenklassifizierungsrahmen müssen explizit auch KI-Konfigurationsartefakte abdecken.

Verteidigungsauftragnehmer, die CUI gemäß CMMC verarbeiten, Unternehmen im Gesundheitswesen mit Zugriff auf PHI sowie Luft- und Raumfahrtunternehmen, die ITAR-kontrollierte technische Daten handhaben, sind besonders exponiert. Die Kiteworks 2026 Prognose zeigt: 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen – genau diese Kontrolle begrenzt TrapDoor-ähnliche Angriffe, wenn ein Supply-Chain-Kompromiss gelingt.

Authentifizierter Zugriff eines KI-Coding-Tools auf eine Entwicklungsumgebung bedeutet nicht automatisch Lesezugriff auf beliebige Dateien oder Datentypen. Zugriffspolitiken definieren explizit, auf welche Inhalte die KI zugreifen darf, Egress-Kontrollen regeln, welche Daten die Umgebung verlassen dürfen, und anomale ausgehende Verbindungen lösen Alarme aus, statt erfolgreiche Exfiltration zu ermöglichen. Der Secure MCP Server erzwingt dies auf Datenebene – unabhängig davon, ob die Konfiguration des KI-Tools von einem Angreifer verändert wurde.

TrapDoor entspricht einer dokumentierten Eskalation – der CrowdStrike 2026 Global Threat Report verzeichnet eine Verdreifachung von KI-Supply-Chain-Angriffen seit 2022. Das Muster: Angriff auf die Entwickler-Toolchain, wo Kontrollen traditionell schwächer sind als an den Unternehmensgrenzen. Governance auf Datenebene mit expliziten Zugriffskontrollen, Egress-Monitoring und manipulationssicheren Audit-Logs macht diese Angriffsart beherrschbar – unabhängig davon, welches Paket-Registry oder welche Konfigurationsdatei als nächster Einstiegspunkt dient.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für bezahlbaren KI-Datenschutz
  • Blogbeitrag
    Wie 77 % der Unternehmen bei KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91 % der kleinen Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blogbeitrag
    Regulierungsbehörden fragen nicht mehr, ob Sie eine KI-Policy haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks