Als das Forschungsteam der Universität Hongkong vor wenigen Monaten CLI-Anything vorstellte, galt das Tool als Meilenstein für die KI-gestützte Softwareentwicklung. Mit nur einem einzigen Befehl konnte das Tool jeden quelloffenen Code analysieren und eine strukturierte Befehlezeile (CLI) generieren, die von AI-Coding-Agenten wie Claude Code, GitHub Copilot CLI oder Cursor genutzt werden kann. Innerhalb weniger Wochen erreichte das Projekt über 30.000 GitHub-Sterne und wurde in der Entwicklercommunity begeistert angenommen.
Doch hinter der innovativen Technik verbirgt sich eine potenzielle Sicherheitslücke, die die Art und Weise, wie wir Software-Supply-Chains schützen, grundlegend infrage stellt. CLI-Anything erzeugt so genannte SKILL.md-Dateien – Anweisungsdokumente, die AI-Agenten erklären, wie sie mit einem Repository interagieren können. Genau diese Dateien wurden bereits 2026 von Forschern des Unternehmens Snyk untersucht und als Trägersystem für 76 bestätigte Schadcode-Fragmente identifiziert. Das Problem: Kein etabliertes Sicherheitstool ist darauf ausgelegt, solche instruktionsbasierten Angriffe zu erkennen.
Die unsichtbare dritte Schicht der Software-Supply-Chain
Traditionelle Sicherheitslösungen wie SAST (Statische Codeanalyse) oder SCA (Software Composition Analysis) analysieren ausschließlich den Quellcode und die Abhängigkeiten eines Projekts. Doch zwischen diesen beiden Ebenen existiert eine dritte, bisher weitgehend ungeschützte Schicht: die Agenten-Integrationsschicht. Hier finden sich Konfigurationsdateien, Skill-Definitionen und natürliche Sprachanweisungen, die einem AI-Agenten erklären, welche Aktionen er ausführen darf – etwa das Auslesen von Umgebungsvariablen, das Ändern von Konfigurationen oder das Senden von API-Anfragen.
Diese Anweisungen sind für menschliche Entwickler harmlos, doch für einen AI-Agenten stellen sie ausführbaren Code dar. Cisco bestätigte im April 2024 in einem Blogbeitrag die Lücke: „Unsere bisherigen Tools wurden nicht für diese Art von Angriffen entwickelt. SAST-Scanner prüfen Syntax, SCA-Tools analysieren Abhängigkeiten – doch keine Lösung versteht die semantische Ebene, auf der MCP-Toolbeschreibungen, Agenten-Prompts oder Skill-Definitionen operieren.“
Merritt Baer, CSO bei Enkrypt AI und ehemalige stellvertretende CISO bei AWS, erklärt: „SAST und SCA wurden für Quellcode und Bibliotheken konzipiert. Sie inspizieren keine Anweisungen – und genau das macht sie für diesen Angriffstyp nutzlos.“
Wie Angreifer die Integrationsschicht ausnutzen
Forschende der Griffith University, der Nanyang Technological University und weiterer Institutionen beschrieben in einer aktuellen Studie den Angriffspfad als „Supply-Chain-Poisoning“. In ihrer Publikation „Supply-Chain Poisoning Attacks Against LLM Coding Agent Skill Ecosystems“ (April 2024) demonstrierten sie, wie Schadcode mithilfe von Document-Driven Implicit Payload Execution (DDIPE) in scheinbar harmlose Dokumentationen eingeschleust wird.
Dabei wird ein Angreifer einen SKILL.md-Eintrag in ein beliebtes Open-Source-Projekt einreichen, der folgende Elemente enthält:
- Setup-Anleitungen, die harmlos wirken, aber versteckte Befehle enthalten
- Code-Beispiele, die bei Ausführung durch einen AI-Agenten unerwünschte Aktionen auslösen
- Konfigurationsvorlagen, die Standardprozesse nachahmen
Ein Entwickler, der einen AI-Agenten mit dem Repository verbindet, wird die SKILL.md-Datei standardmäßig vertrauen – schließlich handelt es sich um „nur“ Dokumentation. Der Agent jedoch interpretiert die enthaltenen Anweisungen als ausführbare Befehle und führt sie mit den Berechtigungen des Entwicklers aus. Da moderne EDR-Tools (Endpoint Detection and Response) solche Aktionen als „legitime API-Aufrufe“ einstufen, bleiben sie oft unbemerkt.
Die Studie zeigt, dass 2,5 % der getesteten Angriffe selbst vier verschiedene Sicherheitsschichten umgehen konnten. Von den vier gemeldeten Schwachstellen wurden bereits zwei durch die betroffenen Anbieter behoben.
Die dringende Notwendigkeit neuer Sicherheitsstrategien
Carter Rees, VP of AI bei Reputation, warnt vor einem strukturellen Problem: „Moderne LLMs vertrauen auf Plug-ins von Drittanbietern. Doch genau diese Abhängigkeiten schaffen eine neue Angriffsfläche, bei der kompromittierte Tools schädliche Daten in die Konversation einschleusen können – ohne dass die internen Sicherheitsmechanismen des Modells greifen.“
Die Lösung liegt nicht in der Abschaffung von AI-Agenten, sondern in der Erweiterung der Sicherheitsarchitektur. Cisco hat bereits im April 2024 einen AI-Agenten-Sicherheitsscanner für IDEs angekündigt, der explizit die Integrationsschicht überwacht. Doch Experten wie Baer fordern eine branchenweite Initiative:
- Neue Scan-Kategorien für instruktionsbasierte Angriffe in SAST- und SCA-Tools
- Automatisierte Validierung von SKILL.md- und ähnlichen Dateien vor der Integration
- Flat Access Control in LLMs, die Berechtigungen granularer steuert
- Verpflichtende Sicherheitsüberprüfung für alle Agenten-Plug-ins in öffentlichen Repositories
Die Zeit zum Handeln ist jetzt. Während die Angreifercommunity bereits über CLI-Anything als potenzielles Werkzeug diskutiert, haben Sicherheitsverantwortliche die Chance, die erste große Incident-Meldung zu verhindern. Die Integrationsschicht ist da – doch die notwendigen Schutzmechanismen fehlen noch.
Letztlich geht es nicht darum, ob, sondern wann der erste Angriff über diese Schwachstelle erfolgt. Wer heute proaktiv handelt, kann morgen noch ein System schützen – bevor es zu spät ist.
KI-Zusammenfassung
CLI-Anything aracı açık kaynaklı projeleri yapay zeka ajanlarına entegre ederken, aynı mekanizma saldırganlara nasıl arka kapı oluşturma fırsatı sunuyor? SKILL.md dosyalarındaki gizli tehditler ve alınması gereken önlemler.
