Zum Inhalt springen

Symlink-Schwachstelle in KI-Coding-Agenten ermöglicht Dateienzugriff außerhalb der Sandbox

Auf den Punkt: Coding-Agenten validieren Symlinks nicht ausreichend, was Angreifern Zugriff auf sensible Dateien außerhalb ihrer vorgesehenen Isolation ermöglicht.

In KI-gestützten Coding-Agenten existiert eine Schwachstelle, die es Angreifern erlaubt, über manipulierte Repositories mit Schadcode auf Dateien außerhalb der Sandbox-Grenzen zuzugreifen. Die Lücke entsteht durch unsachgemäße Behandlung von Symbolic Links.

Coding-Agenten, die automatisiert Code-Repositories analysieren und verarbeiten, sind anfällig für einen Symlink-basierten Bypass der Sandbox-Isolation. Angreifer können hierzu ein Repository mit präparierten Symbolic Links einspeisen, die auf sensible Systemdateien außerhalb des isolierten Verarbeitungsbereichs zeigen.

Für CISOs ist diese Schwachstelle kritisch, da sie den Containment-Gedanken unterläuft: Code-Agenten sollen vertrauen können, dass sie in einer abgesotteten Umgebung arbeiten. Wird diese Grenze durch einfache Symlink-Manipulation durchbrochen, können vertrauliche Daten wie Konfigurationsdateien, Secrets oder interne Systemdateien kompromittiert werden — insbesondere wenn der Agent mit erhöhten Berechtigungen läuft.

Der Angriff funktioniert, weil viele Implementierungen nur den sichtbaren Dateiinhalt validieren, nicht jedoch das Ziel von Links überprüfen. Ein Angreifer platziert ein Symlink mit harmlosem Namen im Repository, das intern auf beispielsweise /etc/passwd oder Umgebungsvariablen mit API-Schlüsseln verweist. Der Agent folgt dem Link und gibt damit Zugriff auf Dateien frei, die ihm nicht gehören.

Organisationen sollten Coding-Agenten sofort einer Risikobewertung unterziehen, Symlink-Behandlung in den Sandbox-Mechanismen überprüfen und Updates von Herstellern einspielen, sobald diese verfügbar sind. Zusätzlich wird empfohlen, die Ausführung solcher Agenten auf Systemen mit minimalen Dateizugriffen und restriktiven Berechtigungsmodellen zu beschränken.


Quelle: www.heise.de · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: