KI-Tests als Sicherheitsrisiko: Wie Schadcode über Skill-Dateien eindringt

Die Integration von KI-Agenten in die Softwareentwicklung hat die Effizienz revolutioniert – doch sie bringt auch unerwartete Sicherheitsrisiken mit sich. Wie aktuelle Forschungen zeigen, nutzen Angreifer eine scheinbar harmlose Schwachstelle in KI-Skills aus: Testdateien, die bei der Installation automatisch mitkopiert werden und mit erweiterten Berechtigungen ausgeführt werden können.

Die unsichtbare Bedrohung in der Skill-Installation

Wenn Entwickler einen KI-Skill über Plattformen wie ClawHub oder skills.sh installieren, wird das gesamte Skill-Verzeichnis in das Projekt kopiert. Standardmäßig enthalten diese Verzeichnisse nicht nur die eigentlichen Skill-Dateien, sondern auch Testdateien – etwa .test.ts- oder conftest.py-Dateien. Diese werden von gängigen Testframeworks wie Jest, Vitest oder pytest automatisch entdeckt und ausgeführt, selbst wenn sie sich in versteckten Ordnern wie .agents/skills/ befinden.

Der Sicherheitsforscher Jeevan Jutla von Gecko Security demonstrierte in einem Proof-of-Concept, wie ein Angreifer diese Lücke ausnutzen kann. Durch das Einbinden einer manipulierten Testdatei, die in der beforeAll-Phase sensible Daten wie Umgebungsvariablen, SSH-Schlüssel oder Cloud-Zugangsdaten ausliest und an einen externen Server sendet, gelingt die Kompromittierung des Systems – ohne dass der KI-Agent selbst involviert ist. Selbst wenn Skill-Scanner wie der von Anthropic, Cisco oder VirusTotal die Skill-Definitionen auf prompt-basierte Angriffe oder versteckte Shell-Kommandos prüfen, bleiben diese Testdateien unentdeckt.

Drei Audits, eine fatale Lücke

Die Problematik wird durch gleich drei unabhängige Sicherheitsanalysen untermauert, die jeweils unterschiedliche Aspekte der Bedrohung beleuchten:

• Die SkillScan-Studie (veröffentlicht am 15. Januar 2026) untersuchte 31.132 Anthropic Skills aus zwei großen Marktplätzen. Hier zeigte sich, dass 26,1 % der Skills mindestens eine Schwachstelle aufwiesen – darunter Datenexfiltration (13,3 %) und Privilegieneskalation (11,8 %). Besonders riskant: Skills, die ausführbare Skripte enthielten, waren 2,12-mal häufiger anfällig als reine Anweisungs-Skills.

• Snyks ToxicSkills-Report (veröffentlicht am 5. Februar 2026) analysierte 3.984 Skills auf ClawHub und skills.sh. Dabei wurden 13,4 % mit kritischen Sicherheitslücken identifiziert, darunter 76 bestätigte Malware-Payloads – acht davon waren zum Zeitpunkt der Veröffentlichung noch öffentlich zugänglich.

• Ciscos AI Agent Security Scanner (veröffentlicht am 21. April 2026) integriert zwar einen Skill-Scanner direkt in Entwicklungsumgebungen wie VS Code oder Cursor, konzentriert sich jedoch auf die Agenten-Interaktionsebene. Testdateien bleiben weiterhin unberücksichtigt, obwohl sie mit lokalen Berechtigungen ausgeführt werden.

Die Gemeinsamkeit dieser Audits: Sie alle prüfen die Ausführungsoberfläche der KI-Agenten, nicht jedoch den Entwicklungs-Workflow des Teams. Während die Scanner prompt-basierte Angriffe oder versteckte Befehle in Skill-Dateien erkennen, ignorieren sie die automatisch ausgeführten Testdateien – ein struktureller Blindfleck.

So funktioniert der Angriff im Detail

Der Ablauf eines solchen Angriffs ist präzise und folgt einem klaren Muster:

1. Installation des Skills: Beim Ausführen von npx skills add owner/repo-name wird das gesamte Skill-Verzeichnis in das Projekt kopiert – einschließlich versteckter Ordner wie .agents/skills/ oder .claude/.

1. Automatische Testausführung: Frameworks wie Jest, Vitest oder pytest durchsuchen rekursiv nach Testdateien – selbst in versteckten Ordnern. Die Konfiguration dot: true in Jest und Vitest aktiviert diese Suche standardmäßig.

1. Ausführung des Payloads: Eine manipulierte Testdatei (z. B. tests/reviewer.test.ts oder conftest.py) nutzt die beforeAll-Phase, um sensible Daten auszulesen. Diese Phase wird vor allen eigentlichen Tests ausgeführt – das System ist bereits kompromittiert, bevor die Fehlererkennung greift.

1. Datenexfiltration: Die gestohlenen Informationen (Umgebungsvariablen, SSH-Schlüssel, AWS-Credentials) werden an einen externen Server gesendet. In CI-Umgebungen sind diese Daten besonders wertvoll, da sie oft Produktionszugänge enthalten.

Die Lücke betrifft nicht nur TypeScript, sondern auch Python-Projekte. Hier können conftest.py-Dateien in jedem Verzeichnis des .agents/-Ordners ausgeführt werden. Eine einfache Lösung besteht darin, .agents in der pyproject.toml unter testpaths auszuschließen.

Was Entwickler jetzt tun müssen

Die Entdeckung unterstreicht eine zentrale Erkenntnis: Sicherheit endet nicht an der Agenten-Oberfläche. Entwicklerteams müssen ihre Testkonfigurationen anpassen, um diese neue Angriffsfläche zu schließen. Empfohlene Maßnahmen:

• Testausschluss anpassen: Fügen Sie .agents, .claude und .cursor in den Ausschlusslisten der Testframeworks hinzu – sowohl in Jest/Vitest (testPathIgnorePatterns) als auch in pytest (testpaths).
• Manifeste Validierung: Prüfen Sie Skill-Manifeste auf versteckte Testdateien und unerwartete Skripte.
• CI/CD-Sicherheit: Nutzen Sie Tools wie Ciscos AI Agent Security Scanner oder Snyk, kombiniert mit manuellen Reviews, um Malware frühzeitig zu erkennen.
• Umgebungsisolierung: Beschränken Sie die Berechtigungen von Testprozessen, um den Schaden im Falle einer Kompromittierung zu minimieren.

Die KI-Revolution in der Softwareentwicklung ist unvermeidbar – doch ihre Sicherheitsrisiken müssen aktiv angegangen werden. Die aktuelle Lücke zeigt, dass Angreifer längst neue Wege gefunden haben, um in Systeme einzudringen. Jetzt ist die Zeit, um die Testlandschaft zu härten und die Entwicklungs-Toolchains gegen unsichtbare Bedrohungen zu wappnen.