Agentjacking: Neue Angriffsmethode kann KI-Programmieragenten kapern und sensible Daten stehlen
Was wirklich drin steht
Sicherheitsforscher der Firma Tenet Security haben eine neue Angriffsklasse namens 'Agentjacking' aufgedeckt, die KI-gestützte Programmierassistenten wie Claude Code, Cursor und Codex manipulieren kann. Der Angriff nutzt eine Schwachstelle im weit verbreiteten Fehlerüberwachungstool Sentry aus. Dabei injizieren Angreifer schädliche Befehle in Sentry-Fehlermeldungen, die für die KI-Agenten nicht von echten Fehlerbehebungsanweisungen zu unterscheiden sind. Die KI-Assistenten lesen diese gefälschten Anweisungen und führen sie automatisch aus - eine Form der indirekten Prompt-Injection. Der Schlüssel zum Angriff ist der sogenannte Sentry DSN (Data Source Name), ein öffentlich zugänglicher Zugangscode, der in Webseiten eingebettet ist. Die Forscher erzielten eine Erfolgsrate von 85 Prozent bei den populärsten KI-Programmieragenten und fanden mindestens 2.388 Organisationen mit ausnutzbaren DSNs. Erfolgreiche Angriffe können Umgebungsvariablen, Git-Zugangsdaten, private Repository-URLs und Entwickleridentitäten offenlegen. Tenet meldete die Schwachstelle am 3. Juni an Sentry, das Unternehmen bestätigte das Problem, lehnte aber eine grundlegende Behebung ab und nannte es 'technisch nicht verteidigbar'. Stattdessen wurde nur ein Filter für eine bestimmte Zeichenkette hinzugefügt.
Unsere Einordnung
Diese Nachricht verdient eine gelbe Bewertung, weil sie ein reales Sicherheitsrisiko bei KI-Agenten aufzeigt, das aber nicht die breite Bevölkerung direkt betrifft. Die berechtigte Sorge: KI-Programmieragenten, die zunehmend autonom Code schreiben und auf Entwicklertools zugreifen, können durch relativ einfache Manipulationen dazu gebracht werden, schädliche Befehle auszuführen. Die Erfolgsrate von 85 Prozent ist beunruhigend hoch. Allerdings ist der Angriffsvektor sehr spezifisch - er betrifft Entwickler, die KI-Agenten in Kombination mit Sentry nutzen. Für die breite Öffentlichkeit ist die Nachricht vor allem als Warnsignal relevant: Je autonomer KI-Systeme werden, desto größer wird die Angriffsfläche. Die Tatsache, dass Sentry keine grundlegende Behebung plant, zeigt, dass die Sicherheitsinfrastruktur mit der rasanten Verbreitung von KI-Agenten nicht Schritt hält. Positiv ist, dass Sicherheitsforscher diese Schwachstellen aktiv suchen und öffentlich machen.
Relevanz für Deutschland
Für Deutschland ist diese Nachricht aus mehreren Gründen relevant. Erstens nutzen immer mehr deutsche Unternehmen und Entwicklerteams KI-Programmierassistenten - laut einer Bitkom-Umfrage setzen bereits über 40 Prozent der deutschen Softwareentwickler solche Tools ein. Zweitens zeigt der Fall, dass das Thema KI-Sicherheit über den EU AI Act hinausgeht: Selbst wenn KI-Systeme regelkonform entwickelt werden, können sie durch externe Manipulation kompromittiert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit 2025 vor Prompt-Injection-Angriffen als einer der größten Bedrohungen im KI-Bereich. Drittens ist die Frage der Haftung bei solchen Angriffen in Deutschland noch ungeklärt: Wenn ein KI-Agent durch Agentjacking Unternehmensdaten preisgibt, wer haftet - der Anbieter des KI-Tools, der Entwickler oder Sentry?
Faktencheck
Die Agentjacking-Schwachstelle wurde von Tenet Security entdeckt und am 3. Juni 2026 an Sentry gemeldet. Die Ergebnisse wurden in der Woche vom 16.-20. Juni 2026 öffentlich publiziert und von mehreren unabhängigen IT-Sicherheitsmedien bestätigt, darunter Infosecurity Magazine, The Hacker News und Cybersecurity News. Die 85-Prozent-Erfolgsrate und die Zahl von 2.388 betroffenen Organisationen stammen aus dem Tenet-Security-Forschungsbericht. Sentrys Reaktion ('technisch nicht verteidigbar') wurde von Tenet dokumentiert und von Sentry nicht bestritten.
Quelle
- • https://www.infosecurity-magazine.com/news/agentjacking-attacks-hijack-ai/
- • https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors/
- • https://thehackernews.com/2026/06/agentjacking-attack-tricks-ai-coding.html
- • https://cybersecuritynews.com/agentjacking-attack-hijacks-ai-coding-agent/