Vor einem Jahr hätte niemand gedacht, dass Angreifer mit simplen Tricks die Sicherheitskontrollen beliebter KI-Coding-Assistenten umgehen könnten. Doch seit März 2025 zeigt sich ein alarmierendes Muster: Sechs Forschungsteams entdeckten innerhalb von neun Monaten schwere Sicherheitslücken in Tools wie GitHub Copilot, Anthropic Claude Code, OpenAI Codex und Google Vertex AI. Allen gemeinsam war ein Ziel: die gestohlenen Zugangsberechtigungen der Tools – nicht die KI-Modelle selbst.
Ein kritischer Fehler in OpenAI Codex: Wie eine scheinbar harmlose Branch-Bezeichnung zu Datenpannen führte
Die Sicherheitslücke in OpenAI Codex wurde von Forschern von BeyondTrust aufgedeckt. Ein simples, aber präzise konstruiertes Branch-Namen-Muster ermöglichte es Angreifern, das eingebettete GitHub-OAuth-Token im Klartext abzugreifen. Der Fehler lag in der unsicheren Weiterverarbeitung des Branch-Namens während des Klonvorgangs. Durch die Kombination eines Semikolons und einer Backtick-Subshell konnte der Branch-Name zu einer Datenexfiltrations-Payload umfunktioniert werden.
Die Täuschung ging noch weiter: Durch das Anhängen von 94 Unicode-Ideographischen Leerzeichen (U+3000) hinter dem Wort "main" sah der Branch in der Codex-Oberfläche identisch aus wie die Standard-Branch. Doch für die Shell war es weiterhin ein gültiger Befehl, der heimlich Tokens an externe Server übermittelte. OpenAI stufte die Schwachstelle als kritisch ein und veröffentlichte innerhalb weniger Wochen eine vollständige Korrektur.
Anthropic Claude Code: Zwei CVEs und ein kritischer Sandbox-Bypass
Die Sicherheitsforscher von SentinelOne entdeckten gleich zwei kritische Schwachstellen in Anthropic Claude Code. Die erste, CVE-2026-25723, betraf die unzureichende Validierung von Befehlsverkettungen. Durch die Kombination von sed und echo in Pipes konnte ein Angreifer die Dateisystem-Sandbox umgehen und beliebige Befehle ausführen. Die zweite, CVE-2026-33068, nutzte eine fehlerhafte Auswertung der Berechtigungen aus .claude/settings.json. Ein manipuliertes Repository setzte die permissions.defaultMode auf bypassPermissions, wodurch die vertrauenswürdige Arbeitsbereichsabfrage übersprungen wurde.
Ein besonders besorgniserregender Fund kam von Adversa: Claude Code ignorierte ab einer Anzahl von 50 Unterbefehlen seine eigenen Sicherheitsregeln. Die Entwickler hatten aus Performancegründen die Validierung nach dem 50. Befehl abgebrochen. Anthropic reagierte umgehend und veröffentlichte Patches für beide Schwachstellen innerhalb weniger Wochen.
„Die größte Schwachstelle in unternehmensweiten KI-Systemen ist die fehlende granulare Zugriffskontrolle“, erklärt Carter Rees, VP für KI und Machine Learning bei Reputation. „Die KI-Tools behandeln alle Berechtigungen auf einer einzigen Ebene – und das trotz komplexer Benutzerrollen.“
GitHub Copilot: Von harmlosen PR-Beschreibungen bis zu Root-Zugriff
Der Sicherheitsforscher Johann Rehberger zeigte auf der Black Hat USA 2025, wie eine manipulierte Pull-Request-Beschreibung in GitHub Copilot zu einer Remote-Code-Ausführung führen konnte. Durch versteckte Anweisungen in der Beschreibung aktivierte Copilot den Auto-Approve-Modus in .vscode/settings.json und deaktivierte damit alle Bestätigungsabfragen. Das Ergebnis: Ein Angreifer konnte beliebige Shell-Befehle auf dem System ausführen – unabhängig vom Betriebssystem.
Nur wenige Monate später entdeckte Orca Security eine weitere Schwachstelle in Copilot, diesmal innerhalb von GitHub Codespaces. Durch eine manipulierte GitHub-Issue konnte Copilot dazu gebracht werden, einen bösartigen Pull-Request mit einem symbolischen Link auf /workspaces/.codespaces/shared/user-secrets-envs.json auszuchecken. Ein weiterer Exploit nutzte eine JSON-Schema-URL, um den privilegierten GITHUB_TOKEN zu exfiltrieren – und das ohne jede Benutzerinteraktion.
Mike Riemer, CTO bei Ivanti, warnt vor der Geschwindigkeit, mit der Angreifer nun Patches reverse-engineern: „Bedrohungsakteure benötigen heute weniger als 72 Stunden, um Sicherheitsupdates zu analysieren. Unternehmen, die nicht innerhalb dieses Zeitfensters patchen, sind praktisch schutzlos.“
Google Vertex AI: Standardberechtigungen als Einfallstor für Angreifer
Forscher von Unit 42 entdeckten, dass die standardmäßige Service-Identität in Google Vertex AI übermäßig weitreichende Berechtigungen besaß. Die gestohlenen P4SA-Zugangsdaten ermöglichten nicht nur den Zugriff auf alle Cloud-Storage-Buckets im Projekt, sondern auch auf interne Google-Repositories, die für die Vertex-AI-Reasoning-Engine genutzt werden. Ofir Shaty von Unit 42 bezeichnete die kompromittierte Identität als „Doppelagent“, der sowohl auf Nutzerdaten als auch auf Googles eigene Infrastruktur zugreifen konnte.
Die unterschätzte Schwachstelle: Credentials statt KI-Modelle
Merritt Baer, Chief Security Officer bei Enkrypt AI und ehemalige stellvertretende CISO bei AWS, bringt das Kernproblem auf den Punkt: „Unternehmen glauben oft, sie hätten die KI-Tools ihrer Anbieter ‚genehmigt‘. Doch tatsächlich haben sie nur die Oberfläche freigegeben – nicht das darunterliegende System mit all seinen Berechtigungen.“
Die jüngsten Vorfälle zeigen: Die größte Gefahr geht nicht von den KI-Modellen selbst aus, sondern von den unzureichend geschützten Zugangsberechtigungen, die diese Tools mit sich bringen. Während die KI-Anbieter ihre Systeme schnell patchen, bleibt die Herausforderung für Unternehmen, die Berechtigungsmodelle ihrer Tools zu verstehen und zu überwachen. Die Zeit für halbherzige Sicherheitsmaßnahmen ist vorbei – die nächste Welle von Exploits kommt schneller, als viele denken.
Die Frage ist nicht mehr, ob eine KI-gestützte Entwicklungsumgebung angegriffen wird, sondern wann – und ob die eigenen Sicherheitsvorkehrungen diesem Angriff standhalten.
KI-Zusammenfassung
GitHub tokenlarından Gmail'e kadar tüm hassas verilerinizi hedef alan AI kod asistanı güvenlik açıkları hakkında bilmeniz gerekenler. Hangi hizmetler risk altında ve nasıl korunabilirsiniz?
