NERDMANVergiftete Doku hackt KI-Agenten ohne Malware
Ein neuer Proof-of-Concept zeigt: Coding-Agenten lassen sich über manipulierte API-Dokumentation kapern. Keine Schadsoftware nötig, keine Exploits — nur ein bisschen Text an der richtigen Stelle.
Was passiert ist
Der Dienst Context Hub hilft KI-Coding-Agenten, bei API-Aufrufen auf dem neuesten Stand zu bleiben. Klingt praktisch. Problem: Die Inhalte werden kaum sanitisiert. Forscher haben gezeigt, dass man dort vergiftete Dokumentation hochladen kann — und die Agenten fressen sie ungeprüft.
Wie der Angriff funktioniert
- Angreifer postet manipulierte API-Doku auf Context Hub
- Coding-Agent zieht sich die Doku als Kontext
- Die vergifteten Anweisungen steuern das Verhalten des Agenten
- Der Agent führt aus, was in der Doku steht — ohne Rückfrage
💡 Was das bedeutet
Das ist Supply-Chain-Poisoning in seiner einfachsten Form. Kein Reverse Engineering, kein Binary-Exploit. Nur Text. Wer die Doku kontrolliert, kontrolliert den Agenten. Und damit potenziell den gesamten Code, den der Agent schreibt.
Zahlenbox
- 0** — Zeilen Malware nötig für den Angriff
- 1** — manipulierter Doku-Eintrag reicht
- 100%** — der Agent vertraut dem Kontext blind
✅ Pro
- Context Hub als Idee ist sinnvoll — Agenten brauchen aktuelle API-Infos
- Der PoC wurde verantwortungsvoll veröffentlicht
❌ Con
- Keine nennenswerte Content-Sanitisierung
- Agenten prüfen nicht, ob Kontext manipuliert wurde
- Jeder kann Doku hochladen — offene Angriffsfläche
Das größere Problem
Wir bauen gerade eine ganze Infrastruktur für KI-Agenten auf. MCP-Server, Context Hubs, Tool-Registries. Alles fließt als Klartext in die Modelle. Und niemand fragt: Was passiert, wenn jemand diesen Klartext manipuliert? Die Antwort kennen wir jetzt.
