Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 24.06.2026 · 4 min Lesezeit

Fake AI Agent Skill passiert alle Security-Scanner und erreicht 26.000 Agents

Die Sicherheitsfirma AIR hat einen gefälschten KI-Agenten-Skill entwickelt, der alle gängigen Sicherheitsscanner täuschte und über einen populären Skill-Marketplace sowie Instagram-Werbung auf rund 26.000 Agents verteilt wurde. Der Skill sammelte E-Mail-Adressen der Nutzer, aber der Proof-of-Concept zeigt, wie leicht bösartige Skills in KI-Agenten-Ökosysteme eingeschleust werden können.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Fake AI Agent Skill umgeht Security Scanner und erreicht 26.000 Agents in moderner Cybersecurity News Grafik

Die Sicherheitsfirma AIR hat einen gefälschten KI-Agenten-Skill entwickelt, der alle gängigen Sicherheitsscanner täuschte und über einen populären Skill-Marketplace sowie Instagram-Werbung auf rund 26.000 Agents verteilt wurde. Der Proof-of-Concept zeigt eine alarmierende Sicherheitslücke in den Ökosystemen moderner KI-Agenten-Plattformen auf.

Meldung und Einordnung

Die Sicherheitsfirma AIR (AI Incident Response) hat einen Experiment durchgeführt, der die Verwundbarkeit von KI-Agenten-Ökosystemen demonstriert. Die Forscher entwickelten einen gefälschten KI-Agenten-Skill, der sich als nützliches Tool tarnte, aber in Wirklichkeit dazu entwickelt wurde, Sicherheitskontrollen zu umgehen. Der Skill wurde über einen populären Skill-Marketplace veröffentlicht und zusätzlich über Instagram-Werbung beworben.

Das Ergebnis: Der Skill passierte alle Sicherheitsscanner, die AIR dagegen testete, und erreichte schätzungsweise 26.000 Agents, darunter auch solche auf Unternehmenskonten. Der Payload war bewusst harmlos gehalten: Er sammelte lediglich die E-Mail-Adresse des Nutzers und führte keine weiteren schädlichen Aktionen aus. Der Punkt des Experiments war zu zeigen, dass ein bösartiger Skill mit echtem Schadcode genauso leicht hätte verteilt werden können.

Technische Details für Admins

Der Fake-Skill nutzte mehrere Techniken, um Sicherheitsscanner zu umgehen. Die genaün Details wurden von AIR nicht vollständig offengelegt, um Nachahmer nicht zu ermutigen. Bekannt ist, dass der Skill dynamischen Code enthielt, der erst zur Laufzeit geladen wurde, und dass er sich als legitimes Tool tarnte, das in der Kategorie der Produktivitäts-Assistenten eingeordnet war.

EigenschaftWert
Erreichte AgentsCa. 26.000
VerteilungswegSkill-Marketplace + Instagram-Werbung
Gesammelte DatenE-Mail-Adressen (Proof-of-Concept)
Betroffene PlattformenVerschiedene KI-Agenten-Plattformen
Entdeckt vonAIR (AI Incident Response)
StatusSkill inzwischen entfernt

Risiko für KMU und Betrieb

KI-Agenten werden zunehmend in Unternehmen eingesetzt, um Aufgaben zu automatisieren, Daten zu verarbeiten und Workflows zu steuern. Viele dieser Agenten können über Marktplätze mit zusätzlichen Skills oder Plugins erweitert werden. Das Modell erinnert stark an die App-Ökosysteme von Smartphones, die in der Vergangenheit immer wieder Ziel von Supply-Chain-Angriffen waren.

Für kleine und mittlere Unternehmen ist das Risiko besonders hoch, weil sie oft nicht über die Ressourcen verfügen, um jeden installierten Skill oder jedes Plugin auf dem KI-Agenten zu prüfen. Ein bösartiger Skill könnte Zugriff auf interne Dokumente, Kundendaten, E-Mails oder sogar Finanzsysteme erhalten, wenn der Agent entsprechende Berechtigungen hat.

Was Admins jetzt prüfen sollten

  1. Installierte Skills inventarisieren: Prüfen Sie alle aktüll installierten KI-Agenten-Skills und Plugins in Ihrem Unternehmen. Entfernen Sie nicht benötigte oder unbekannte Erweiterungen.
  2. Berechtigungen prüfen: Jeder Skill sollte nur die minimal notwendigen Berechtigungen haben. Ein Produktivitäts-Assistent braucht keinen Zugriff auf das Finanzsystem.
  3. Marketplace-Richtlinien prüfen: Welche Sicherheitskontrollen führt der von Ihnen genutzte Skill-Marketplace durch? Vertrauen Sie nicht blind auf automatisierte Scans.
  4. Agenten-Überwachung einrichten: Überwachen Sie, welche Aktionen Ihre KI-Agenten ausführen. Ungewöhnliche Datenzugriffe oder Kommunikationsmuster können auf kompromittierte Skills hindeuten.
  5. Test-Umgebung nutzen: Installieren Sie neue Skills zunächst in einer isolierten Testumgebung, bevor Sie sie im Produktivbetrieb freigeben.
  6. Richtlinien für Skill-Installationen: Definieren Sie klare Richtlinien, wer im Unternehmen neue KI-Agenten-Skills installieren darf. Nicht jeder Mitarbeiter sollte diese Berechtigung haben.
  7. Regelmäßige Audits: Führen Sie regelmäßige Sicherheitsaudits aller installierten KI-Agenten-Erweiterungen durch, ähnlich wie bei Browser-Erweiterungen oder WordPress-Plugins.

Betriebscheck nach der Meldung

  1. Welche KI-Agenten-Plattformen werden im Unternehmen eingesetzt?
  2. Sind alle installierten Skills und Plugins dokumentiert und autorisiert?
  3. Gibt es einen Prozess zur Freigabe neuer Skills vor der Installation?
  4. Werden die Berechtigungen der einzelnen Skills regelmäßig überprüft?
  5. Gibt es eine Möglichkeit, verdächtige Aktivitäten von KI-Agenten zu erkennen?
  6. Sind die Mitarbeiter über die Risiken von Drittanbieter-Skills informiert?

Admin-Einschätzung

Der AIR-Experiment ist ein wichtiger Weckruf für die gesamte KI-Agenten-Branche. Die Tatsache, dass ein gefälschter Skill alle Sicherheitsscanner passieren konnte, zeigt, dass die aktuellen Sicherheitsmechanismen in KI-Agenten-Ökosystemen nicht ausreichen. Das Problem erinnert an die frühen Tage der App-Stores, als Malware-Apps regelmäßig die Sicherheitskontrollen umgehen konnten.

Für Unternehmen bedeutet das: Vertrauen Sie nicht blind auf die Sicherheitsversprechen der Plattformbetreiber. Eigene Kontrollen, Berechtigungsmanagement und regelmäßige Audits sind derzeit der einzige Weg, um sich vor bösartigen Skills zu schützen. Die 26.000 erreichten Agents zeigen, dass das Problem keine theoretische Bedrohung ist, sondern bereits Realität.

Passende Anleitungen auf S-EDV

  1. Linux-Server absichern: UFW-Firewall und Fail2ban – Grundlegende Absicherung für Server, die KI-Agenten hosten.
  2. Docker und Docker Compose auf Linux installieren (Ubuntu/Debian): die Self-Hosting-Grundlage – Basis für das Betreiben eigener KI-Agenten in Containern.

Quellen

  1. The Hacker News: Fake AI Agent Skill Passed Security Scans and Reportedly Reached 26,000 Agents
  2. BleepingComputer: Fake AI agent skill bypasses security scans, reaches 26,000 agents
  3. SecurityWeek: Fake AI Agent Skill Bypasses Security Scans, Reaches 26,000 Agents
Verwandt

Weiter lesen

Alle Artikel →
Squidbleed Sicherheitslücke im Squid Proxy zeigt unverschlüsselte HTTP Requests und sensible Verbindungsdaten im Klartext. IT News Grafik zu einem 29 Jahre alten Proxy Bug mit Risiko für Datenschutz und Netzwerksicherheit.
24.06.2026 ·4 min

Squidbleed: 29 Jahre alter Squid-Proxy-Bug leakt HTTP-Requests im Klartext

Der Squid-Proxy hat eine kritische Sicherheitslücke, die unter dem Namen Squidbleed bekannt wurde. Ein Heap-Overread in der FTP-Parsing-Logik aus dem Jahr 1997 kann fremde HTTP-Requests inklusive Credentials und Session-Tokens an andere Nutzer des gleichen Proxys preisgeben. Die Lücke ist in der Standardkonfiguration ausnutzbar. Ein Update auf Squid 6.15 oder 5.10 schließt die Lücke.
US Präsident Donald Trump treibt den Ausbau der Quantencomputer Forschung in den Vereinigten Staaten voran. Symbolische Darstellung eines modernen Quantencomputers mit leuchtenden Qubits, digitalen Netzwerken und futuristischer Hochleistungsrechenzentrum
24.06.2026 ·7 min

Trump ordnet schnelleren Ausbau von Quantencomputern in den USA an

US-Präsident Trump hat am 23. Juni 2026 eine Executive Order unterzeichnet, die den Ausbau von Quantencomputing-Kapazitäten in den USA massiv beschleunigen soll. NIST, das Energieministerium und das Pentagon sind eingebunden. Kritiker warnen vor den Auswirkungen auf die Post-Quantum-Kryptographie und die sogenannte Q-Day-Diskussion — die Befürchtung, dass leistungsstarke Quantencomputer heutige Verschlüsselungsstandards brechen könnten.
Cisco ISE Sicherheitslücke mit Warnsymbol, Adminrechten und Netzwerkzugriff in moderner Cybersecurity News Grafik
24.06.2026 ·4 min

Cisco ISE: Kritische Sicherheitslücke trotz erforderlicher Adminrechte

Cisco hat ein kritisches Sicherheitsupdate für die Identity Services Engine (ISE) veröffentlicht. Die als CVE-2024-20272 dokumentierte Schwachstelle erlaubt authentifizierten Angreifern mit Adminrechten die Ausführung von beliebigem Code auf dem betroffenen System. Betroffene Versionen und Patch-Informationen im Überblick.