Auf den Punkt: KI-Coding-Agenten können durch manipulierte Symlinks dazu gebracht werden, unbemerkt schadhaften Server-Code zu registrieren, der bei Neustart mit Benutzerrechten ausgeführt wird und Geheimnisse sowie CI-Infrastruktur gefährdet.
Forscher von Adversa AI haben eine neue Angriffsmethode dokumentiert, mit der Angreifer über manipulierte Symlinks in KI-Coding-Agenten schadhaften Code in Entwickler-Workstations und CI-Pipelines einschleusen. Das Verfahren nutzt die Vertrauensmechanismen autonomer Agenten aus und bleibt für Entwickler vollständig unsichtbar.
Die Angriffsmethode SymJack setzt an der Schnittstelle zwischen automatisierter Softwareentwicklung und KI-gestützten Programmiertools an. Forscher von Adversa AI zeigen, wie Angreifer über manipulierte symbolische Links (Symlinks) im Repository eines Coding-Agenten schadhaften Code in die kontinuierliche Integrationspipeline (CI-Pipeline) einschleusen können. Schadhafter Inhalt in Repositories macht nach Schätzungen zwischen 20 und 40 Prozent der Lieferketten-Angriffe aus.
Für einen erfolgreichen SymJack-Angriff benötigen Angreifer drei Komponenten: Kontrolle über das Repository des Coding-Agenten, einen vorbereiteten bösartigen Server basierend auf dem Model Context Protocol (MCP) und einen Entwickler, der aktiv KI-Programmierwerkzeuge nutzt. Die Angriffskette startet mit einer manipulierten Projekt-Instruktionsdatei im Repository. Ein Symlink wird so umbenannt, dass er harmlos aussieht, und über einen cp-Befehl wird die Schadlast direkt in die Konfigurationseinstellungen des KI-Agenten injiziert. Die Registrierung des bösartigen MCP-Servers erfolgt dadurch automatisch.
Aus Sicht des Entwicklers am Bildschirm erscheint nur eine legitime Anfrage zum Kopieren einer Dokumentationsdatei. Es gibt keine visuellen Hinweise auf das Konfigurationsverzeichnis, die Registrierung einer MCP-Datei oder vorhandene ausführbare Inhalte. Das Problem liegt nicht in Programmierfehlern der KI-Systeme, sondern in ihrer grundsätzlichen Eigenschaft, erteilte Arbeitsanweisungen ohne tiefere logische Überprüfung auszuführen.
Nach dem nächsten Neustart des KI-Agenten oder Systems startet der manipulierte MCP-Server im Hintergrund. Der schadhafte Code wird im Kontext des lokalen Benutzers ausgeführt, vollständig außerhalb von Sandbox-Umgebungen. Angreifer können dadurch SSH-Schlüssel, Cloud-Token und Browser-Sitzungen entwenden oder Unternehmenswerte zerstören, bevor der Entwickler den Vorfall bemerkt.
Die Schadwirkung vergrößert sich erheblich, wenn der Angriff auf die automatisierte Build-Infrastruktur abzielt. CI-Runner enthalten standardmäßig weitreichende Geheimnisse, API-Schlüssel und Zugangsdaten, die dann kompromittiert werden können. Für den Angreifer sind keine weiteren Benutzerinteraktionen erforderlich, um Schadcode durch die Produktionspipeline zu verbreiten.
Quelle: www.it-daily.net · Erschienen 10. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.