Agentjacking: Angreifer schleusen Schadcode über öffentliche Sentry-DSNs in KI-Coding-Agenten ein
ai ai-agents coding-agents developer-tools mcp claude-code security cursor copilot
trending_up Trend: ai

Agentjacking: Angreifer schleusen Schadcode über öffentliche Sentry-DSNs in KI-Coding-Agenten ein

calendar_month 13. Juni 2026

Agentjacking: Angreifer schleusen Schadcode über öffentliche Sentry-DSNs in KI-Coding-Agenten ein

Zusammenfassung

Die Cybersecurity-Forscher von Tenet Security haben einen neuen Angriffsvektor namens „Agentjacking“ offengelegt. Angreifer nutzen dabei öffentliche Sentry Data Source Names (DSNs) aus, um manipulierte Fehlerberichte (Payloads) einzuschleusen. Sobald Entwickler ihre KI-Coding-Agenten (wie Claude Code, Cursor oder Copilot) beauftragen, diese Sentry-Fehler zu analysieren und zu beheben, interpretieren die Agenten den vom Angreifer eingeschleusten Markdown-Code als legitime Diagnose- und Reparaturschritte. Da diese Coding-Agenten über Terminal-Zugriff und Entwickler-Privilegien auf den lokalen Maschinen verfügen, führen sie die bösartigen Befehle unbemerkt direkt auf dem System des Entwicklers aus.

Was ist passiert?

Tenet Security demonstrierte, dass die Architektur von Sentry DSNs von Natur aus öffentlich und schreibgeschützt („write-only“) ist. Dadurch kann jeder beliebige Angreifer gefälschte Fehlermeldungen an ein Projekt senden. Wenn Entwickler Model Context Protocol (MCP) Server oder Direktintegrationen von Sentry nutzen, um Fehlermeldungen an ihre KI-Agenten zu übergeben, filterten diese Server die Markdown-Inhalte oft nicht ausreichend. Der KI-Agent interpretiert die im Fehlerbericht eingebetteten Markdown-Anweisungen als Arbeitsauftrag (Prompt Injection) und führt unerwünschte Shell-Befehle aus. Bei Tests an über 2.388 Organisationen stellten die Forscher eine Erfolgsquote von 85 % fest. Sentry stufte das Problem als konzeptionelles Problem ein, das technisch schwer vollständig abzuwehren ist, hat jedoch einen temporären globalen Payload-Filter eingerichtet.

Warum es wichtig ist

Der Fall zeigt ein grundlegendes Sicherheitsrisiko in der zunehmenden Integration von KI-Agenten in Entwickler-Workflows auf. Coding-Agenten erhalten weitreichende Rechte, um Dateien zu schreiben und Befehle auszuführen (oft mit vollen Benutzerrechten im Terminal). Sobald sie ungeprüfte Drittanbieter-Daten (wie Sentry-Fehlerberichte, Support-Tickets oder Logfiles) verarbeiten, sind sie anfällig für indirekte Prompt-Injection-Angriffe. Entwickler müssen sich bewusst sein, dass die Übergabe von externen Fehlerberichten an einen Agenten einem Ausführen von nicht verifiziertem Code gleichkommen kann.

Beweise

Die Sicherheitslücke und das Ausmaß des Agentjacking-Angriffs wurden von mehreren Sicherheits- und Tech-Plattformen bestätigt:

  1. Der detaillierte Forschungsbericht von Tenet Security beschreibt die Funktionsweise und das Test-Setup mit der 85%igen Erfolgsquote.
  2. The Hacker News und Infosecurity Magazine berichteten über die Tragweite des Angriffs und die Reaktion von Sentry.
  3. Snyk bietet Lernressourcen zu Agent Goal Hijacking und den Risiken indirekter Prompt-Injections.

Analyse

Der Angriffsvektor verdeutlicht die Schwächen aktueller Agenten-Sicherheitssysteme:

  1. Kontext-Verschmelzung: Agenten können nicht zuverlässig zwischen System-Instruktionen, Benutzer-Prompts und den zu analysierenden Daten (dem Fehlerbericht) unterscheiden. Der Inhalt des Fehlerberichts wird als Steuerungssignal interpretiert.
  2. Überprivilegierung: Viele Agenten laufen standardmäßig mit den vollen Berechtigungen des lokalen Benutzers im Terminal, ohne Sandbox oder Isolierung.
  3. Vertrauen in MCP: Das Model Context Protocol ermöglicht den einfachen Datenfluss, verlagert die Sicherheitsverantwortung jedoch auf den Server (MCP Server), welcher oft keine ausreichende Validierung der Daten vornimmt.

Praktische Erkenntnisse

Für Entwickler und Sicherheitsverantwortliche ergeben sich folgende dringliche Empfehlungen:

  • Keine unbereinigten Fehlerberichte an KI-Agenten übergeben: Importieren Sie Sentry-Fehler oder Logs nicht ungeprüft über MCP-Server in Coding-Assistenten.
  • Sandbox-Umgebungen nutzen: Führen Sie Coding-Agenten wie Claude Code oder Cursor-Terminals in isolierten Containern (z. B. Docker) oder VMs aus, um den Zugriff auf das Host-System zu beschränken.
  • Review-Modus aktivieren: Konfigurieren Sie Agenten so, dass jeder Shell-Befehl vor der Ausführung eine manuelle Bestätigung durch den Entwickler erfordert (keine blinde Autonomie bei Befehlsausführungen).
  • Datenbereinigung auf MCP-Ebene: MCP-Integrationsentwickler müssen sicherstellen, dass Markdown-Inhalte und Steuerzeichen aus externen APIs gefiltert oder explizit als nicht-ausführbare Daten gekennzeichnet werden.

Offene Fragen

  • Wird der von Sentry implementierte temporäre Filter ausreichen, um alle Variationen von verschleierten Markdown-Injektionen zu blockieren?
  • Wie werden künftige Versionen des Model Context Protocol (MCP) standardmäßig mit nicht vertrauenswürdigen Drittanbieter-Daten umgehen?
  • Wann werden gängige Agenten-Frameworks standardmäßig sandboxed oder mit getrennten Berechtigungsebenen für Daten und Code ausgeliefert?

Quellen

  1. The Hacker News: Agentjacking Attack Tricks AI Coding Agents Into Running Malicious Code
  2. Infosecurity Magazine: Agentjacking Attacks Hijack AI
  3. Tenet Security: Coding Agents with Fake Sentry Errors
  4. Snyk: Agent Goal Hijack Lesson
  5. NIST: Strengthening AI Agent Hijacking Evaluations