Seit KI-Coding-Assistenten wie Claude Code, Cursor oder GitHub Codex in Entwicklerteams Einzug gehalten haben, eröffnen sich neue Angriffsvektoren. Eine aktuelle Studie von Tenet Security zeigt: Ein einziger manipulierter Sentry-Fehlerbericht genügt, um KI-Agenten mit den Privilegien des Entwicklers auszuführen – ohne dass klassische Sicherheitslösungen wie EDR, WAF oder Firewalls dies erkennen. In kontrollierten Tests gelang der Angriff bei 85 % der getesteten Systeme.
Warum Sentry-Fehler zu einem gefährlichen Einfallstor werden
Die Schwachstelle, von Tenet Security als Agentjacking bezeichnet, nutzt eine zentrale Eigenschaft von Sentry: Fehlerberichte werden über öffentliche DSN-Credentials (Data Source Name) übermittelt, die keine Authentifizierung erfordern. Ein Angreifer kann daher validierte API-Aufrufe an Sentry senden, die von KI-Agenten als vertrauenswürdige Fehlerinformationen interpretiert werden. Die Folge: Der Agent führt den enthaltenen Schadcode mit den Rechten des Entwicklers aus – ohne dass Alarmsysteme dies bemerken.
Tenet Security testete 100+ Systeme und entdeckte dabei 2.388 Unternehmen mit öffentlich exponierten Sentry-Credentials. In einem der getesteten Umgebungen lag sogar ein aktiver AWS-Zugriffsschlüssel sowie private Repository-URLs offen. Die Forscher betonen, dass kein Credential-Diebstahl oder Perimeter-Bruch nötig war – jede Aktion im Angriffsablauf war autorisiert.
Systemische Schwäche: Wenn Monitoring und Agenten nicht synchronisiert sind
Die größte Herausforderung liegt darin, dass herkömmliche Sicherheitswerkzeuge wie SOC-Teams oder EDR-Lösungen nicht zwischen einem Entwickler, der npm install ausführt, und einem KI-Agenten, der denselben Befehl auf Basis eines gefälschten Fehlerberichts startet, unterscheiden können. Diese Unterscheidung existierte schlicht nicht, bis KI-Assistenten in Produktionsumgebungen eingesetzt wurden.
Laut einer Umfrage von Okta und Apprize360 wenden nur 34 % der Unternehmen dieselben Sicherheitskontrollen auf KI-Agenten an wie auf menschliche Nutzer. Gleichzeitig berichteten 58 % der Führungskräfte von AI-bezogenen Zwischenfällen oder Beinahe-Vorfällen im Vorjahr. Die Diskrepanz zwischen Vertrauen und tatsächlicher Absicherung könnte kaum größer sein.
Laufende Autorisierung: Der neue Standard für KI-Agenten
Elia Zaitsev, CTO von CrowdStrike, warnt vor der Gefahr statischer Sicherheitsrichtlinien: „KI-Agenten haben Identitäten, Zugriff auf Systeme und führen Handlungen aus – genau wie hochprivilegierte Nutzer. Doch niemand hat bisher die Laufzeitsicherheit dieser Agenten betrachtet.“
CrowdStrike reagierte auf die wachsende Bedrohung mit der Einführung von Continuous Identity for AI Agents, das statische Richtlinien durch Echtzeit-Autorisierung ersetzt. Die Lösung überwacht jede Aktion eines Agenten und unterbindet unautorisierte Vorgänge. Zaitsev betont: „Die Branche hat Runtime-Sicherheit bei Endpunkten, Virtualisierung und Cloud bereits gemeistert. Jetzt müssen wir dasselbe für KI-Agenten tun – bevor es zu spät ist.“
Sofortmaßnahmen für betroffene Unternehmen
Experten raten Unternehmen dringend, folgende Schritte zu ergreifen:
- Sentry-Credentials prüfen: Alle öffentlich exponierten DSN-Schlüssel müssen sofort überprüft und eingeschränkt werden. Sentry selbst weist darauf hin, dass die Deaktivierung von DSNs keine Lösung ist, da diese für Frontend-Fehlerberichte zwingend öffentlich sein müssen.
- Agenten-Berechtigungen einschränken: KI-Assistenten sollten nur minimale Rechte erhalten und keine Shell-Befehle mit hohen Privilegien ausführen dürfen.
- Runtime-Überwachung einführen: Lösungen wie CrowdStrikes Continuous Identity oder ähnliche Tools müssen implementiert werden, um Agenten-Aktionen in Echtzeit zu autorisieren.
- Schulungen für Entwicklerteams: Mitarbeiter müssen über die Risiken von Agentjacking aufgeklärt werden, insbesondere im Umgang mit Tools wie Datadog, PagerDuty oder Jira.
Die Gefahr ist real, aber nicht unabwendbar. Unternehmen, die jetzt handeln, können verhindern, dass ihre KI-Agenten zu Einfallstoren für Angreifer werden – bevor die nächste Schwachstelle entdeckt wird.
KI-Zusammenfassung
Yapay zeka destekli kodlama ajanlarınızı hedef alan Sentry hatası nasıl çalışıyor? Kurumlar, agentjacking saldırılarına karşı nasıl korunmalı? Tüm detaylar burada.
