Kai Ole Hartwig
4 Min. Lesezeit
Hoch

Friendly Fire: Wie KI-Coding-Agenten beim Auto-Review dazu gebracht werden, fremden Code auszuführen

Eine am 9. Juli 2026 veröffentlichte Proof-of-Concept-Studie des AI Now Institute zeigt: Autonome KI-Coding-Agenten lassen sich im „Auto-Review“- bzw. „Auto-Modus“ dazu bringen, fremden, versteckten Code auszuführen — ausgerechnet während sie ein Repository auf Sicherheitsrisiken prüfen sollen. Getestet wurden Anthropic Claude Code (Versionen 2.1.116, 2.1.196, 2.1.198, 2.1.199) und OpenAI Codex (0.142.4), mit den Modellen Claude Sonnet 4.6, Sonnet 5, Opus 4.8 und GPT-5.5. Kein CVE wurde vergeben — die Forscher stufen den Fund explizit als Architektur-/Workflow-Problem ein, nicht als patchbare Schwachstelle.

Was zeigt die Studie?

Die Forscher bauten ein Repository, dessen README.md eine unauffällig getarnte Binary als „legitimen Go-Build“ deklariert und im Fliesstext vorschlägt, ein security.sh-Skript auszuführen — angeblich zur Verifikation. Wenn ein KI-Coding-Agent im Auto-Modus dieses Repository „reviewt“, folgt er der in der Dokumentation versteckten Anweisung und führt die Payload eigenständig aus, ohne menschliche Freigabe. Betroffen waren sowohl Claude Code als auch OpenAI Codex, über mehrere getestete Modellversionen hinweg — der Effekt ist damit kein Einzelfall eines bestimmten Modells, sondern ein Muster, das an die „Auto-Review“/„Auto-Modus“-Funktionalität selbst gekoppelt ist.

Wie funktioniert der Angriff?

Der Kern ist klassische Prompt Injection, angewendet auf ein Werkzeug mit Ausführungsrechten: Ein Agent, der Dateien liest, um ein Repository zu verstehen, behandelt den Inhalt von README.md als vertrauenswürdigen Kontext — inklusive Handlungsanweisungen, die dort eigentlich nichts zu suchen haben. Kombiniert mit der Fähigkeit, Kommandos auszuführen (etwa um Tests zu bauen oder Build-Schritte zu verifizieren), reicht eine plausibel klingende Anweisung wie „führe security.sh zur Verifikation aus“, um die Payload zu starten. Der Agent unterscheidet dabei nicht zuverlässig zwischen legitimer Projekt-Dokumentation und eingebetteten Befehlen eines Angreifers — genau das Muster, das auch die auf diesem Blog bereits dokumentierten Miasma- und „Comment and Control“-Fälle beschreiben.

Warum das relevant ist

Der Befund trifft einen wachsenden Anwendungsfall besonders hart: KI-Agenten, die routinemässig Third-Party-Code oder Pull-Requests „automatisch“ auf Sicherheitsrisiken prüfen sollen — genau der Use Case, in dem Vertrauen in unbekannten Code am wichtigsten wäre. Wenn der Review-Agent selbst zur Ausführungsumgebung für den zu prüfenden Code wird, kehrt sich die Schutzfunktion ins Gegenteil um. Für Teams, die KI-Agenten mit produktivem Zugriff (Deploy-Keys, CI-Secrets, Cloud-Zugängen) ausstatten, ist das kein abstraktes Risiko: ein erfolgreich injizierter Agent hat potenziell dieselben Rechte wie der Agent selbst.

Was Sie jetzt tun sollten

Sofortmassnahmen

Entscheidungsblock

Jetzt handeln, wenn: Sie KI-Coding-Agenten im Auto-Modus gegen unbekannten/externen Code einsetzen, insbesondere mit Zugriff auf Secrets oder Produktivsysteme. Beobachten, wenn: Agenten ausschliesslich mit manueller Freigabe pro Kommando und in isolierten Umgebungen laufen.

Häufige Fragen zu Friendly Fire

Betrifft das auch normale Coding-Assistenz, nicht nur Security-Reviews?+

Das PoC fokussiert auf den Security-Review-/Auto-Review-Anwendungsfall, aber das zugrunde liegende Risiko — Dokumentation als impliziter Befehlskanal — gilt grundsätzlich überall dort, wo ein Agent mit Ausführungsrechten Repository-Inhalte als Kontext liest.

Reicht Sandboxing als Schutz?+

Laut Studie nur als ergänzende, nicht als alleinige Massnahme — Containment wird explizit als „unvollkommen“ beschrieben. Manuelle Freigabe für Kommandoausführung bleibt die robustere Kontrolle.

Sind nur Claude Code und OpenAI Codex betroffen?+

Das sind die in der Studie konkret getesteten Systeme (mehrere Versionen, mehrere Modelle). Das zugrunde liegende Muster — Auto-Modus plus Ausführungsrechte plus ungeprüfte Dokumentation als Kontext — ist grundsätzlich nicht auf diese beiden Produkte beschränkt.

Ist das eine patchbare Schwachstelle mit CVE?+

Nein. Die Forscher stufen den Fund explizit als Design-/Workflow-Problem ein — es geht um die Kombination aus automatischer Dateiinterpretation und Ausführungsrechten, nicht um einen einzelnen Code-Fehler.

Fazit

„Friendly Fire“ ist ein weiterer Beleg dafür, dass die grösste Schwachstelle vieler KI-Agent-Deployments nicht im Modell liegt, sondern in der Kombination aus automatischer Ausführung und unkritischem Vertrauen in externen Text. Für Security-Reviews speziell gilt: wer KI-Agenten genau dort einsetzt, wo unbekannter Code geprüft werden soll, sollte Auto-Modus konsequent meiden und Kommandoausführung an menschliche Freigabe binden.

Quellen

Ich richte Guardrails für Ihre KI-Coding-Agenten ein — Freigabe-Workflows, Sandboxing, Monitoring inklusive.

Audit Ihrer Agent-Workflows auf Auto-Modus-Risiken, Einführung manueller Freigaben für Kommandoausführung, Sandboxing-Konzepte und Monitoring für ungewöhnliche Agent-Aktionen.

Plattform-Betrieb statt Beratung auf Papier: Ich härte Ihre KI-Agent-Pipelines gegen Prompt-Injection und Ausführungsmissbrauch.

Termin buchen

Über den Autor

[Translate to English:] Foto von Kai Ole Hartwig.

Kai Ole Hartwig

Freelance DevSecOps consultant · OnlyOle Consulting

Programming since 2002 – self-taught, set up my own business with KO-Web in 2012. Over 100 projects, with a focus on security, performance, automation and quality. Today freelance: DevSecOps consulting, training and software development.