0DIN, die Bug-Bounty-Plattform von Mozilla für generative KI, hat einen Angriff vorgeführt, bei dem ein präpariertes GitHub-Repository die Kontrolle über einen Entwicklerrechner übernimmt, sobald ein KI-Coding-Tool das Projekt einrichtet. Der eigentliche Schadcode steht dabei nirgends im Repository. Genau das ist der Trick.
Ein harmlos aussehendes Setup-Skript lädt den scharfen Befehl erst zur Laufzeit aus einem DNS-Eintrag nach und führt ihn aus. Für Scanner, Code-Reviews und auch für den KI-Agenten selbst bleibt er unsichtbar, weil er im Code einfach nicht vorkommt. In der Demonstration stößt Claude Code beim Einrichten auf eine ganz gewöhnliche Fehlermeldung, startet daraufhin automatisch das Setup und öffnet so eine Reverse Shell zum Angreifer. Der greift dann auf API-Schlüssel und Zugangsdaten zu und nistet sich dauerhaft ein.
Das eigentlich Unangenehme ist die Reichweite. Ein einziger Repo-Link in einer Stellenausschreibung, einem Tutorial oder einer Slack-Nachricht reicht aus, und jeder, der ihn mit einem KI-Coding-Tool wie Codex oder Claude Code öffnet, ist dran. Der Agent macht dabei exakt das, wofür man ihn bezahlt. Er arbeitet die Aufgabe ohne lästige Rückfragen ab. Bequemlichkeit und Einfallstor sind hier ein und dieselbe Funktion.
Die Forscher fordern, dass Agenten den Inhalt von Setup-Skripten offenlegen müssen, bevor sie sie ausführen. Bis das so kommt, gilt der unbequeme alte Rat, den der ganze Komfort gerade wegautomatisiert hat. Fremde Setup-Anleitungen sind nicht vertrauenswürdiger Code, egal wie sauber das Repo aussieht.
Quellen
- 0DIN: Clone This Repo and I Own Your Machine
- The Decoder: Harmloser GitHub-Link wird zur Falle, Claude Code führt versteckten Schadcode ohne Prüfung aus
Ähnliche News
- Pentagon öffnet geheime Netzwerke für acht KI-Firmen, Anthropic bleibt draußen
- Mistral nimmt KI-Agenten an die kurze Leine
- Google verpackt Firmenwissen für KI-Agenten in normale Markdown-Dateien
Diese Meldung wurde mit Unterstützung von Claude (Anthropic) recherchiert und verfasst. Inhaltliche Fehler sind möglich. Die verlinkten Quellen ermöglichen eine eigene Prüfung. Fachbegriffe erläutert das Glossar.