Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wenn der Agent zum besten Verbündeten des Angreifers wird

Wenn der Agent zum besten Verbündeten des Angreifers wird

von Patrick Spencer updated Mai 28, 2026 Cybersecurity-Risikomanagement
Lesezeit: 7 Minuten

Eine von CSO Online berichtete Kampagne markiert eine echte Neuerung in der Bedrohungslandschaft der Supply Chain. Angreifer platzierten gezielt bösartige Pakete in zweiter Ebene auf npm, PyPI und Cargo, getarnt als Kryptowährungs-Utilities. Die Zielgruppe waren nicht menschliche Entwickler, die Abhängigkeiten manuell installieren — sondern KI-Coding-Agents, die eigenständig Registries durchsuchen und Komponenten in Projekte integrieren, ohne dass ein Mensch jede Auswahl überprüft.

Die Kampagne entwickelte sich weiter. Frühe Payloads stahlen Zugangsdaten. Spätere Varianten installierten von Angreifern kontrollierte SSH-Schlüssel für direkten Fernzugriff, archivierten und exfiltrierten komplette Code-Repositories und lieferten schließlich kompilierte Single Executable Applications aus, um Erkennung zu umgehen. Jede Weiterentwicklung verdeutlicht: Ist der Konsument des Pakets ein KI-Agent, muss nur der Agent überzeugt werden. Der Abhängigkeitsgraph wird nicht mehr von Entwicklern gepflegt — er wird autonom von Agents verändert, und die Angreifer wissen das.

5 Wichtige Erkenntnisse

1. Die Abhängigkeitsstruktur ist jetzt die KI-Angriffsfläche.

Forscher dokumentierten Pakete wie aes-create-ipheriv, jito-proper-excutor und @validate-sdk/v2, die gezielt auf npm, PyPI und Cargo platziert wurden, um von KI-Coding-Agents gefunden und eingebunden zu werden. Das ist keine hypothetische Bedrohung — es handelt sich um eine laufende Operation, die zeigt, wie jede produktive KI heute gesteuert werden muss. Die Angriffsfläche der Supply Chain hat sich vom Perimeter zum Abhängigkeitsgraphen verschoben.

2. Der Agent erledigt die Arbeit des Angreifers.

KI-Coding-Tools durchsuchen eigenständig Paket-Registries und passen ihre eigenen Abhängigkeitsgraphen an. Kein Mensch im Prozess bedeutet keine menschliche Prüfung der installierten Pakete. 63% der Unternehmen können laut Kiteworks 2026 Prognose keine Zweckbindung für KI-Agents durchsetzen, 60% können einen fehlverhaltenden Agenten nicht schnell beenden. Eine manipulierte Abhängigkeit nutzt diese Lücken aus, ohne Widerstand und ohne eine Spur zu hinterlassen, die die meisten Unternehmen rekonstruieren könnten.

3. Payloads entwickeln sich rasant weiter.

Was mit Diebstahl von Zugangsdaten begann, eskalierte zu Angreifer-kontrollierten SSH-Schlüsseln, vollständiger Repository-Exfiltration und kompilierten Single Executable Applications, die auf Erkennungsumgehung ausgelegt sind. Jede Weiterentwicklung macht klar: Ist der Konsument ein KI-Agent, muss nur der Agent überzeugt werden — nicht der Entwickler. Die Erfolgsquote wird nicht in Prozent gemessen, sondern daran, wie viele Agents das Paket vor der Entfernung aus der Registry eingebunden haben.

4. Modellbasierte Schutzmechanismen lösen das Problem nicht.

Ein sicherheitsoptimiertes Modell lädt dennoch jede Abhängigkeit, die sein Tooling beschafft. Das bösartige Paket läuft in der Runtime des Agents, installiert SSH-Schlüssel und exfiltriert Code, ohne dass ein Prompt durch das Modell geht. Die Schwachstelle liegt unterhalb des Modells, in der Tool-Ausführung und der Datenzugriffsschicht — genau dort, wo Alignment-Training, Prompt-Filterung und Inhaltsmoderation keinen Zugriff haben.

5. Die Lösung ist Governance auf Datenebene.

Authentifizieren Sie jeden Agenten. Autorisieren Sie jede Datenanfrage anhand attributbasierter Zugriffskontrollen. Verschlüsseln Sie mit FIPS 140-3. Protokollieren Sie jede Aktion in einem manipulationssicheren Audit-Trail. Der Agent kann nichts exfiltrieren, wofür er keine Berechtigung hatte — unabhängig davon, welche manipulierte Abhängigkeit installiert wurde. Selbst wenn das Modell kompromittiert ist, setzt die Datenschicht die Richtlinien durch.

Sie Vertrauen Darauf, Dass Ihr Unternehmen Sicher Ist. Aber Können Sie Es Nachweisen?

Jetzt lesen

Agentische KI-Adoption Überholt Agentische KI-Governance

Jedes Unternehmen in der Kiteworks 2026 Prognose hat agentische KI auf der Roadmap — ohne Ausnahme. Die Einführung ist universell. Governance ist es nicht. 63% der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen, 60% können einen fehlverhaltenden Agenten nicht schnell beenden und 55% können KI-Systeme nicht vom restlichen Netzwerk isolieren. Im öffentlichen Sektor ist es noch schlechter: 90% fehlt die Zweckbindung, 76% fehlt ein Kill Switch, 33% haben keinerlei dedizierte KI-Kontrollen.

Die gleichen Daten zeigen, wo es zuerst scheitert. 27% der Unternehmen planen KI-gesteuerte Managed File Transfer-Automatisierung, aber nur 46% haben entsprechende Sicherheitsmaßnahmen implementiert. KI wird auf Kanäle aufgesetzt, die bereits unzureichend geschützt sind. Kommt eine manipulierte Abhängigkeit hinzu, wird der Agent zu einem perfekt autorisierten Exfiltrationstool mit gültigen Zugangsdaten und einem legitimen Audit-Event.

Warum Modellbasierte Schutzmechanismen Hier Nicht Helfen

Ein perfekt ausgerichtetes Modell kann trotzdem auf einer Tool-Schicht laufen, die gerade aes-create-ipheriv installiert hat, weil der Agent eine kryptografische Utility benötigt hat. Das Modell sieht nie, wie ein SSH-Schlüssel installiert wird. Das Modell weiß nicht, dass ein Repository archiviert und exfiltriert wird. Wenn das Modell gefragt wird, was passiert ist, ist der Schaden längst dort entstanden, wo das Modell keinen Einblick hatte.

Die Agents of Chaos-Studie — eine Zusammenarbeit von 38 Autoren aus Northeastern, Harvard, MIT, Stanford, CMU und weiteren Institutionen — dokumentierte drei strukturelle Defizite, die die Paket-Platzierungskampagne nun ausnutzt: kein Stakeholder-Modell (Agents können legitime Operatoren nicht von Angreifern unterscheiden), kein Selbstmodell (Agents führen irreversible Aktionen aus, ohne ihre Kompetenzgrenzen zu erkennen) und keine private Überlegungsoberfläche (Agents leaken sensible Informationen über falsche Kanäle). Jedes dieser Defizite ist relevant, wenn der Agent der Einstiegspunkt ist.

Der Abhängigkeitsgraph Ist Die Neue Phishing-E-Mail

Jahrelang war Phishing der bevorzugte Angriffsweg ins Unternehmen — einen Menschen zum Klicken, Öffnen oder Eingeben von Zugangsdaten bewegen. Der Mensch im Prozess wurde zur Kontrollfläche: Awareness-Training, E-Mail-Filter, MFA, bedingter Zugriff. Der KI-Coding-Agent entfernt den Menschen aus dem Prozess. Entscheidet der Agent, was installiert wird, wird das Abhängigkeits-Repository zum Posteingang — ein konstanter Strom von Inputs, die der Agent ohne Awareness-Training, ohne MFA und ohne bedingten Zugriff bewertet.

Es gibt ein zweites, verstärkendes Risiko. KI-Coding-Agents installieren nicht nur Pakete — sie generieren Code, der von diesen Paketen abhängt. Wird ein Agent einem bösartigen Paket ausgesetzt, kann dieses Paket in Vorschlägen an andere Entwickler auftauchen und so den Kompromiss auf Teams ausweiten, die nie direkt mit der Registry interagiert haben. Die Grenze zwischen „der Agent hat etwas Schädliches installiert“ und „der Agent hat einem Menschen etwas Schädliches empfohlen, der es dann installiert hat“ ist dünner, als die meisten Sicherheitsprogramme es abdecken.

Die Containment-Lücke, Die Die Meisten Vorstände Nicht Kennen

54% der Vorstände sind nicht in die KI-Governance eingebunden, und diese Unternehmen liegen laut Kiteworks 2026 Prognose bei allen KI-Reifegradmetriken 26 bis 28 Punkte zurück. Vorstandseinbindung ist der stärkste Indikator für KI-Governance-Reife — stärker als Branche, Region oder Größe. Die Lücke zeigt sich besonders schmerzhaft bei Containment-Kontrollen. Unternehmen investieren darin, zu beobachten, was KI tut — Mensch-im-Prozess, kontinuierliches Monitoring. Sie investieren nicht darin, sie zu stoppen.

Die manipulierte Paket-Kampagne zeigt die Kosten dieses Ungleichgewichts. Ein Unternehmen, das seine Agents perfekt überwachen, aber nicht beenden kann, dokumentiert seinen eigenen Datenschutzverstoß. Die Vorstandfrage für das nächste Quartal ist nicht „nutzen wir KI sicher?“ — sondern „können wir einen kompromittierten Agenten in unter fünf Minuten stoppen und dies später gegenüber Aufsichtsbehörden belegen?“

Wie Governance Auf Datenebene Tatsächlich Aussieht

Kontrollen dürfen nicht dort leben, wo das Modell lebt — sie müssen dort leben, wo die Daten sind. Greift ein KI-Agent auf sensible Daten zu, sollte er auf kryptografische Identitätsprüfung, attributbasierte Zugriffskontrolle, FIPS 140-3-Verschlüsselung und manipulationssichere Audit-Protokollierung bei jeder Interaktion treffen. Ein durch eine manipulierte Abhängigkeit kompromittierter Agent kann keine Daten abrufen, für die er keine Berechtigung hat, kann nicht über seinen Zweck hinaus exfiltrieren und kann nicht agieren, ohne eine Beweisspur zu hinterlassen.

Der Kiteworks Secure MCP Server und das AI Data Gateway setzen dieses Muster um: Jede Agentenanfrage wird authentifiziert, gemäß ABAC-Richtlinie autorisiert, mit FIPS 140-3 verschlüsselt und in Echtzeit an SIEM protokolliert. Das Kiteworks Private Data Network erweitert diese Governance auf E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare und APIs — eine Policy Engine, ein konsolidiertes Audit-Log. 33% der Unternehmen fehlt ein Audit-Trail in Beweisqualität, 61% betreiben fragmentierte Datenbewegungs-Infrastruktur. Wenn die nächste manipulierte Paket-Kampagne Ihre Agents angreift, fragen Aufsichtsbehörden nicht „wie kam das Paket herein“, sondern „was hat der Agent nach der Kompromittierung getan und können Sie das nachweisen?“

Was Sicherheitsverantwortliche Dieses Quartal Tun Müssen

Erstens: Erfassen Sie jeden KI-Agenten, der mit Code oder Daten arbeitet. Sie können nur steuern, was Sie inventarisiert haben. 100% der Unternehmen haben agentische KI auf der Roadmap — das Inventarproblem wird nur größer.

Zweitens: Behandeln Sie Agent-Runtimes wie privilegierte Infrastruktur. Die gleichen Zugriffskontrollen, Allowlisting und Monitoring wie für Admin-Konten müssen für KI-Agents gelten. Legen Sie fest, welche Agents welche Tools ausführen dürfen. Erzwingen Sie Allowlists für Abhängigkeiten. Verlangen Sie Code-Signing-Verifikation für Pakete, die ein Agent installiert.

Drittens: Implementieren Sie Governance auf Datenebene unabhängig vom Modell. Egal welches Modell Ihre Agents nutzen, der Datenzugriff muss durch ABAC, FIPS 140-3-Verschlüsselung und Audit-Logging abgesichert werden. 63% der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen — schließen Sie diese Lücke, bevor die nächste Supply-Chain-Kampagne sie testet.

Viertens: Entwickeln und testen Sie einen Kill Switch. 60% der Unternehmen können einen fehlverhaltenden Agenten nicht schnell beenden. Bauen Sie diese Fähigkeit auf, dokumentieren und testen Sie sie unter realistischen Bedingungen und benennen Sie klare Verantwortlichkeiten für die Auslösung. Das ist Voraussetzung für jedes System, das regulierte Daten verarbeitet.

Fünftens: Testen Sie Ihre KI-Agents mit Red-Teaming wie Ihr Netzwerk. Die Agents of Chaos-Forscher dokumentierten mindestens 10 schwerwiegende Sicherheitsverstöße in 11 Fallstudien, die allein durch Konversation ohne spezielle Tools erreicht wurden. Führen Sie adversarielle Übungen gegen Ihre eigenen Agents durch. Finden Sie die Schwachstellen, bevor es andere tun.

Erfahren Sie mehr über den Schutz sensibler Daten vor KI-basierten Angriffen und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Wenn Ihre KI-Coding-Agents eigenständig Abhängigkeiten von npm, PyPI oder Cargo abrufen, sind Sie direkt betroffen. Die Kampagne zielt gezielt auf Agents ab, weil sie Pakete ohne menschliche Prüfung installieren. 60% der Unternehmen können laut Kiteworks 2026 Prognose einen fehlverhaltenden KI-Agenten nicht schnell beenden — das heißt, wenn eine manipulierte Abhängigkeit aktiviert wird, ist das Containment der erste Schwachpunkt. Setzen Sie sofort Allowlists für Abhängigkeiten und Zugriffskontrollen auf Datenebene durch.

Modellbasierte Schutzmechanismen greifen oberhalb der Tool-Ausführungsschicht, wo dieser Angriff ansetzt. Das bösartige Paket läuft in der Runtime des Agents, ohne einen Prompt durch das Modell zu schleusen. Governance auf Datenebene — ABAC, FIPS 140-3-Verschlüsselung, manipulationssichere Audit-Trails — übersteht Tool-Layer-Kompromittierung, weil sie unterhalb des Modells ansetzt. 33% der Unternehmen fehlt ein Audit-Trail in Beweisqualität — genau diese Lücke nutzt diese Angriffsklasse aus.

Prüfer erwarten authentifizierte Agentenidentität, ABAC-Richtliniendurchsetzung, FIPS 140-3-Verschlüsselung und manipulationssichere Audit-Logs für jede Agent-Daten-Interaktion. 33% der Unternehmen fehlt laut Kiteworks 2026 Prognose ein Audit-Trail in Beweisqualität. Ohne einheitliche Logs für alle Kanäle, die ein Agent nutzt, sind Prüfungsfeststellungen nahezu unvermeidlich.

Managed File Transfer ist hier der am stärksten exponierte Kanal. 27% der Unternehmen planen KI-gesteuerte Managed File Transfer-Automatisierung, aber nur 46% verfügen laut Kiteworks 2026 Prognose über ausreichende Managed File Transfer-Sicherheit. Schließen Sie zuerst die Governance-Lücke bei Managed File Transfer — zweckgebundener Agentenzugriff, ABAC und manipulationssichere Logs — bevor Sie Agents weiter in die Lieferantendatenebene integrieren.

Ja. Die CMMC-AC-, AU- und IR-Familien umfassen KI-Agenten-Aktivitäten. 63% der Unternehmen können laut Kiteworks 2026 Prognose keine Zweckbindung für KI-Agents durchsetzen. Ein Kompromiss, der CUI über einen unzureichend gesteuerten Agenten exfiltriert, ist ein False Claims Act-Risiko, wenn KI-Governance zwar zertifiziert, aber nicht durchgesetzt wurde. Setzen Sie vor der Prüfung Governance auf Datenebene mit ABAC und manipulationssicheren Audit-Trails um.

Weitere Ressourcen

  • Blog Post
    Zero‑Trust-Strategien für bezahlbaren KI-Datenschutz
  • Blog Post
    Wie 77% der Unternehmen beim KI-Datenschutz versagen
  • eBook
    KI-Governance-Gap: Warum 91% der kleinen Unternehmen 2025 Russisches Roulette mit Datensicherheit spielen
  • Blog Post
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blog Post
    Regulierungsbehörden fragen nicht mehr, ob Sie eine KI-Policy haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks