IDEsaster: Wenn der KI-Assistent zum Einfallstor für Hacker wird

von am Kein Kommentar

Die Integration von künstlicher Intelligenz in die Softwareentwicklung versprach eine Revolution der Produktivität, doch Sicherheitsforscher haben nun eine Schattenseite dieser Entwicklung aufgedeckt, die unter dem Namen „IDEsaster“ für Aufsehen sorgt. In einer umfassenden Analyse wurden mehr als 30 gravierende Sicherheitslücken in populären KI-gestützten Entwicklungsumgebungen (IDEs) identifiziert, die es Angreifern ermöglichen, sensible Daten zu stehlen oder sogar Schadcode auf fremden Rechnern auszuführen. Betroffen sind einige der bekanntesten Werkzeuge der Branche, darunter GitHub Copilot, Cursor, Windsurf, Zed.dev sowie Erweiterungen wie Roo Code und Cline. Die schiere Masse der entdeckten Schwachstellen, von denen 24 bereits mit offiziellen CVE-Kennungen versehen wurden, verdeutlicht ein systemisches Problem in der Art und Weise, wie moderne Coding-Assistenten konzipiert sind.

Der Sicherheitsforscher Ari Marzouk, der diese Mängel aufdeckte, zeigt sich besonders überrascht von der Universalität der Angriffsketten. Das Kernproblem liegt dabei in einer falschen Sicherheitsannahme: Die Hersteller der KI-Tools betrachten die zugrundeliegende Software der Entwicklungsumgebung oft als sicher, da deren Funktionen seit Jahren existieren und etabliert sind. Doch sobald autonome KI-Agenten hinzugefügt werden, ändert sich das Bedrohungsmodell drastisch. Funktionen, die für einen menschlichen Benutzer harmlos sind, werden zu gefährlichen Werkzeugen, wenn sie von einer manipulierten KI gesteuert werden.

Im Wesentlichen nutzen die Angriffe eine Kombination aus drei Vektoren. Zunächst wird durch eine sogenannte „Prompt Injection“ die Schutzvorrichtung des Large Language Models (LLM) umgangen, um den Kontext zu kapern. Anschließend nutzt der Angreifer die automatisch genehmigten Werkzeugaufrufe des KI-Agenten, um Aktionen ohne Interaktion des Benutzers durchzuführen. Schließlich werden legitime Funktionen der IDE missbraucht, um Sicherheitsgrenzen zu durchbrechen.

Das Besondere an „IDEsaster“ im Vergleich zu früheren Angriffsmethoden ist die Nutzung legitimer IDE-Funktionen durch die KI selbst. Ein Angreifer muss nicht mehr auf traditionelle Softwarefehler warten, sondern kann die KI dazu bringen, das System von innen heraus zu kompromittieren. Dies geschieht oft durch „Context Hijacking“, bei dem die Umgebung, in der die KI arbeitet, kompromittiert wird. Dies kann durch vom Benutzer unbewusst eingefügte URLs, Texte mit für das menschliche Auge unsichtbaren Zeichen oder durch die Manipulation von Model Context Protocol (MCP)-Servern geschehen. Selbst ein vertrauenswürdiger Server kann zur Gefahr werden, wenn er Eingaben aus einer externen, von den Angreifern kontrollierten Quelle analysiert.

Die konkreten Auswirkungen dieser Sicherheitslücken sind alarmierend. Bei Tools wie Cursor, Roo Code oder JetBrains Junie konnten Forscher demonstrieren, wie durch eine Prompt Injection sensible Dateien ausgelesen und anschließend über legitime Schreibfunktionen als JSON-Datei auf einer vom Angreifer kontrollierten Domain offengelegt wurden. Noch kritischer sind Schwachstellen in GitHub Copilot oder Zed.dev, die eine direkte Manipulation von Konfigurationsdateien ermöglichen. Hierbei wird die KI instruiert, Einstellungsdateien des Arbeitsbereichs so zu verändern, dass Pfade zu ausführbaren Dateien auf schadhaften Code umgeleitet werden. Da viele KI-Agenten so konfiguriert sind, dass sie das Schreiben von Dateien im Arbeitsbereich automatisch genehmigen, kann dies zur Ausführung von beliebigem Code führen, ohne dass der Entwickler auch nur eine Taste drücken muss. Es genügt unter Umständen das bloße Öffnen eines manipulierten Projekts.

Diese Enthüllungen fallen in eine Zeit, in der auch andere Schwachstellen in der KI-Infrastruktur bekannt werden. So wurde beispielsweise eine Lücke in der OpenAI Codex CLI entdeckt, die Befehlen von MCP-Servern blind vertraute, sowie Probleme in Google Antigravity, die eine indirekte Prompt Injection über vergiftete Webquellen ermöglichten. Eine neue Klasse von Schwachstellen, bezeichnet als „PromptPwnd“, zielt zudem spezifisch auf KI-Agenten in CI/CD-Pipelines wie GitHub Actions ab. Diese Häufung von Vorfällen zeigt deutlich, wie KI-Tools die Angriffsfläche von Entwicklerrechnern vergrößern. Das Grundproblem bleibt oft die Unfähigkeit der Sprachmodelle, sicher zwischen den legitimen Anweisungen des Benutzers und potenziell bösartigen Inhalten aus externen Quellen zu unterscheiden.

Angesichts dieser Bedrohungslage raten Experten dringend dazu, KI-IDEs und -Agenten ausschließlich in vertrauenswürdigen Projekten einzusetzen und Quellen, wie etwa URLs, manuell auf versteckte Anweisungen zu prüfen. Entwickler von KI-Tools sind gefordert, das Prinzip der geringsten Privilegien anzuwenden und Sandboxing-Technologien konsequent zu nutzen. Ari Marzouk plädiert für ein neues Paradigma namens „Secure for AI“. Dieser Ansatz fordert, dass Software nicht nur nach klassischen Standards sicher sein muss, sondern bereits im Designprozess berücksichtigen sollte, wie KI-Komponenten zukünftig missbraucht werden könnten. Denn solange Repositories, die KI für Code-Vorschläge oder Triage nutzen, anfällig für die Übernahme durch Hacker bleiben, ist nicht nur der einzelne Entwickler, sondern die gesamte Lieferkette der Softwareentwicklung gefährdet.

Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.

8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

IDEsaster: Wenn der KI-Assistent zum Einfallstor für Hacker wird hinzugefügt von am
Alle Beiträge von Redaktion →

verwandte Themen:

Viren-Scanner als Einfallstor für Hacker?
In den vergangenen Wochen häuften sich Meldungen, dass Viren-Scanner fehlerhaft sind und infizierte Dateien nicht richtig erkennen. So z.B. die Meldung vom 19.06.2007 von heise.de, dass der Viren-Scanner von F-Secure Probleme habe fehlerhafte Archive sauber zu filtern. Noch bedrohlicher sind jedoch Sicherheitslücken im Programm-Code des Viren-Scanners, da hierüber Schadcode direkt in das System eingeschleust werden kann. Mit dieser Problematik müssen sich auch IT-Sicherheit...

„Man in the Prompt“-Angriffe: Wenn der Hacker sich im KI-Tool versteckt
Bei„Man in the Prompt“-Angriffen nutzen Cyberkriminelle Browsererweiterungen von KI-Tools wie ChatGPT oder Gemini, um Daten zu stehlen oder versteckte Eingabeaufforderungen einzuschleusen....

Radware: UDP wird durch Corona zum wichtigsten Einfallstor für Hacker
Angriffe über UDP sind nach den Sicherheitsspezialisten deutlich schwieriger zu erkennen und zu verteidigen, weil bei diesem Protokoll eine zuverlässige Unterscheidung zwischen vertrauenswürdigem und bösartigem Verkehr nicht einfach ist. Stark befördert wird der Trend zu UDP durch die Entwicklungen während der Corona-Krise. Die massive Einführung von Heimarbeit hat zu einer erheblichen Zunahme des UDP-Verkehrs geführt, […]...

Umfrage von ESET zeigt: IT-Experten sehen in Social Media Einfallstor für Hacker
Unternehmen und Mitarbeiter kennen die Sicherheitsrisiken von Social-Media-Angeboten nicht und schützen sich nicht...

Hacker nehmen Diplomaten ins Visier
Die russische Hackergruppe Star Blizzard hat offenbar eine neue Spear-Phishing-Kampagne gestartet, um WhatsApp-Accounts von hochrangigen Diplomaten und politisch aktiven Personen zu kompromittieren....