Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 28.06.2026 · 2 min Lesezeit

Sauberes GitHub-Repo lockt KI-Coding-Agenten in Malware-Falle

Sicherheitsforscher haben gezeigt, dass ein anscheinend sauberes GitHub-Repository KI-gestützte Coding-Agenten dazu bringen kann, unsichtbare Malware auszuführen. Der Angriff nutzt versteckte Anweisungen in Dateien, die von Agenten wie Claude Code oder Copilot interpretiert werden.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Cybersecurity Illustration eines scheinbar sauberen GitHub Repositorys, das KI Coding Agenten in eine versteckte Malware Falle mit Schadcode, Trojaner Symbol und Sicherheitswarnungen lockt.

Sicherheitsforscher haben demonstriert, dass ein scheinbar sauberes GitHub-Repository ausreicht, um KI-gestützte Coding-Agenten zur Ausführung von Malware zu verleiten. Der Angriff nutzt versteckte Anweisungen in Quelltext-Dateien, die von Agenten wie Claude Code oder GitHub Copilot interpretiert werden.

Was ist passiert?

Laut einem Bericht von BleepingComputer vom 27. Juni 2026 haben Sicherheitsforscher gezeigt, dass KI-Coding-Agenten durch sogenannte Prompt-Injection aus Repositories heraus manipuliert werden können. Der Angriff basiert auf einem GitHub-Repository, das auf den ersten Blick normalen Quellcode enthält. Eingebettet in Kommentare, Markdown-Dateien oder Konfigurationsdateien befinden sich jedoch Anweisungen, die der KI-Agent als Befehle interpretiert. Diese weisen den Agenten an, unsichtbare Malware auszuführen, Reverse-Shells aufzubauen oder Dateien vom System des Entwicklers zu exfiltrieren. Der Entwickler selbst sieht die Anweisungen nicht, da sie in Dateien versteckt sind, die der Agent automatisch liest.

Wer ist betroffen?

Betroffen sind alle Entwickler und Teams, die KI-Coding-Agenten wie Claude Code, GitHub Copilot, Cursor oder ähnliche Werkzeuge einsetzen, die automatisch Repositories klonen und Dateien lesen. Der Angriff ist besonders wirksam bei Agenten, die autonome Aufgaben ausführen, bei denen der Mensch nicht jeden Schritt bestätigt. Entwickler, die öffentliche Repositories als Referenz oder Basis für eigene Projekte nutzen, sind besonders gefährdet.

Wie kritisch ist das?

Der Angriff ermöglicht die vollständige Kompromittierung des Entwickler-Rechners. Da KI-Agenten oft mit weitreichenden Berechtigungen laufen, inklusive Terminal-Zugriff und Dateisystem-Zugriff, kann ein erfolgreicher Angriff zum Diebstahl von Quellcode, Credentials und sensiblen Daten führen. Die Schwachstelle liegt nicht in einem einzelnen Tool, sondern im grundlegenden Interaktionsmuster zwischen KI-Agenten und untrusted Input. Es ist keine massenhafte Ausnutzung bekannt, aber die Machbarkeit ist zweifelsfrei demonstriert.

Was sollten Admins jetzt tun?

  1. KI-Coding-Agenten nur in isolierten Umgebungen wie Containern oder VMs ausführen
  2. Entwickler schulen, dass Repositories nicht nur Quellcode, sondern auch Anweisungen für KI-Agenten enthalten können
  3. Autonome Ausführung von KI-Agenten beschränken und menschliche Bestätigung für kritische Aktionen erzwingen
  4. Dateien aus externen Repositories prüfen, bevor KI-Agenten Zugriff erhalten
  5. Terminal- und Netzwerkzugriff von KI-Agenten einschränken und überwachen

Einordnung für Unternehmen

Für Unternehmen, die KI-Coding-Werkzeuge in der Entwicklung einsetzen, ist dieser Angriff ein Weckruf. Die Bequemlichkeit autonomer Agenten wird zum Risiko, wenn diese unkontrolliert auf externe Inhalte zugreifen. Entwicklungsabteilungen sollten Richtlinien für den Einsatz von KI-Agenten erstellen, mindestens mit der Vorgabe, dass externe Repositories nicht direkt von Agenten verarbeitet werden. Eine isolierte Ausführungsumgebung ist die wirkungsvollste Maßnahme.

Quellen

  1. BleepingComputer: Clean GitHub Repo Tricks AI Agents
  2. AIWeekly: 0DIN Clean GitHub Repos
Verwandt

Weiter lesen

Alle Artikel →
Cybersecurity Illustration zu Amazon Q Developer, bei der manipulierte Repositories AWS Cloud Zugangsdaten auslesen und über versteckte Skripte an Angreifer exfiltrieren.
28.06.2026 ·2 min

DirtyClone: Neue Linux-Kernel-Lücke ermöglicht lokale Root-Eskalation

Sicherheitsforscher von JFrog haben einen funktionierenden Exploit für die Linux-Kernel-Lücke CVE-2026-43503 veröffentlicht. Die als DirtyClone bezeichnete Schwachstelle ermöglicht lokalen Nutzern die Eskalation auf Root-Ebene ohne Spuren in Kernel-Logs zu hinterlassen.
libssh2 Sicherheitslücke CVE 2026 58050 mit öffentlichem PoC Exploit, Heap Corruption, SSH Modul, rotem Angriffspfad und gebrochenem Schutzschild als professionelle IT News Grafik.
28.06.2026 ·3 min

libssh2: Öffentlicher PoC-Exploit für Heap-Corruption-Lücke CVE-2026-58050

Sicherheitsforscher haben einen Proof-of-Concept-Exploit für die libssh2-Schwachstelle CVE-2026-58050 veröffentlicht. Ein bösartiger SSH-Server kann damit den Heap eines verbindungsaufbauenden Clients korrumpieren. Betroffen sind alle Versionen bis einschließlich 1.11.1.
Cybersecurity Illustration zu Amazon Q Developer, bei der manipulierte Repositories AWS Cloud Zugangsdaten auslesen und über versteckte Skripte an Angreifer exfiltrieren.
28.06.2026 ·2 min

Amazon Q Developer: Manipulierte Repos konnten AWS-Cloud-Zugangsdaten abgreifen

Wiz Research hat eine Schwachstelle in Amazons KI-Coding-Assistent Q Developer offengelegt, die es Angreifern ermöglichte, über manipulierte Git-Repositories Befehle auszuführen und AWS-Zugangsdaten zu stehlen. AWS hat den Fix veröffentlicht.