Der Kern der Schwachstelle ist auf einen logischen Fehler bei der Routenregistrierung zurückzuführen: Der /mcp-Endpunkt ist durch die AuthRequired()-Middleware geschützt, aber sein gepaarter /mcp_message-Endpunkt, der verwendet wird, um Anweisungen für den eigentlichen Tool-Aufruf zu erhalten, wird ohne diese Authentifizierungs-Middleware bereitgestellt. Dadurch kann jeder Angreifer mit Netzwerkzugang zu dieser Benutzeroberfläche den Nginx-Dienst ohne Anmeldeinformationen übernehmen.

Die Big-Model-Technologie entwickelt sich von generativer KI zu intelligenten Körpern mit tiefgreifenden Schlussfolgerungen, wodurch die Cybersicherheit von einem regelbasierten zu einem KI-nativen Modus übergeht. Lösungen wie Claude Code Security ermöglichen eine intelligente Entdeckung und geschlossene Behebung von Schwachstellen durch die Abbildung der Architektur und die Verfolgung des Datenflusses, wodurch die Sicherheit der Software-Lieferkette neu gestaltet wird und sich die Struktur des traditionellen Sicherheitsmarktes drastisch verändert.
Die wichtigsten Punkte sind:
1) Von der Generierung zum schlussfolgernden Denken: Das große Modell hat sich von der Textvervollständigung zu einem intelligenten Körper mit Codeverständnis und Aufgabenplanungsfähigkeiten entwickelt, der komplexe logische Analysen und autonome Entscheidungen unterstützt.
2) Paradigmenwechsel in der Sicherheit: Das große Modell übertrifft das traditionelle Regelsystem in Bezug auf Schwachstellenerkennung, Bedrohungsanalyse, Code-Reparatur usw. und wertet seine Rolle vom “Hilfswerkzeug” zum “Kernstück der Verteidigung” auf.
3) Claude Code Security: Diese Lösung bietet eine in den Entwicklungsprozess integrierte intelligente Analyse der Codesicherheit in Echtzeit, die auf drei Hauptfunktionen basiert: Abbildung der Architektur, Verfolgung des Datenflusses und geschlossene Abhilfemaßnahmen.
4 Auswirkungen auf die Industrielandschaft: KI-basierte Sicherheitslösungen haben zu einem Rückgang der Aktienkurse traditioneller Sicherheitsunternehmen geführt, was die Konsolidierung der Toolchain vorantreibt, die Verteidigungsschwelle senkt und das Zeitfenster für die Ausnutzung von Schwachstellen verkürzt.
Es gibt technische Beschränkungen: Modell-Illusionen können zu falsch-positiven Ergebnissen führen, und die Genauigkeit der Schlussfolgerungen in hochgradig angepassten oder geschlossenen Architekturen bleibt eine Herausforderung und erfordert eine kontinuierliche Validierung und Optimierung.

Claude Desktop Extension führt zu einer Zero-Click-Schwachstelle für Remotecode-Ausführung, die auf indirekter Prompt-Injektion basiert, da die Architektur ohne Sandbox auskommt und dem KI-Agenten volle Systemrechte gewährt werden. Die Schwachstelle nutzt einen Designfehler im MCP-Protokoll aus, dem es an Vertrauensgrenzen mangelt, so dass ein Angreifer beliebigen Code ausführen kann, indem er externe Datenquellen kontaminiert. Trotz der höchsten Risikoeinstufung weigerte sich der Anbieter, die Schwachstelle mit der Begründung zu beheben, dass sie "außerhalb des Bedrohungsmodells" liege, was eine breite Kontroverse über die Verteilung der Sicherheitsverantwortung im Zeitalter der KI auslöste. Dieser Fall verdeutlicht die grundlegenden Sicherheitsrisiken von KI-Agentensystemen in Bezug auf die Kontrolle von Berechtigungen und die Validierung von Eingaben.
Die wichtigsten Punkte sind:
1. eine Architektur ohne Sandbox mit hohen Privilegien: Claude DXT wird als lokaler MCP-Server ausgeführt, der von der Sandbox des Browsers losgelöst ist und alle Systemprivilegien des Benutzers erbt, wodurch eine Angriffsfläche mit hohem Risiko entsteht.
2. indirekte Eingabeaufforderungsinjektion mit Null-Klick: Der Angreifer bettete bösartige Befehle in legitime Datenquellen wie den Google-Kalender ein und veranlasste den KI-Agenten, sie selbständig zu beschaffen und fälschlicherweise auszuführen, ohne dass eine Benutzerinteraktion erforderlich war.
3) Versagen der Vertrauensgrenze des MCP-Protokolls: Das Model Context Protocol erlaubt es, dass die Ausgabe von Operationen mit geringem Risiko direkt Systemaufrufe mit hohem Risiko auslöst, was zu einer "verschleierten Agenten"-Schwachstelle führt, die KI zu einem Sprungbrett für Angriffe macht.

Kritische Stufen (6): Cue Injection, Jailbreak Cueing, Kompromittierung der KI-Lieferkette, Vergiftung von Trainingsdaten, Modellinversion, Deep Faking
Fortgeschritten (10): Modellmissbrauch, Shadow Cueing, Cue Obfuscation, adversarial cue chaining, interner Missbrauch, Nichteinhaltung von Vorschriften, AI Social Engineering, menschliches Versagen, Umgehung von Wasserzeichen, algorithmische Verzerrung
Zwischenstufe (4): Datenschutzverletzung, Markenschädigung, DoS-Angriff, mangelnde Überprüfbarkeit
Niedrige Ebene (1): modellübergreifende Inkonsistenz

Dieser Artikel basiert auf dem Imperva 2025 Malicious Robots Report, der drei Haupttrends aufzeigt:
Die neue Normalität des automatisierten Datenverkehrs: Der automatisierte Datenverkehr übertraf im Jahr 2024 zum ersten Mal den menschlichen Datenverkehr und machte 511 TP3T aus, von denen 371 TP3T bösartige Bots waren, und wuchs in sechs aufeinanderfolgenden Jahren.
KI-gestützte Angriffsentwicklung: Die Verbreitung von künstlicher Intelligenz (KI) und großen Sprachmodellen (LLMs) hat die Angriffsschwelle erheblich gesenkt und damit das Ausmaß und die Raffinesse bösartiger automatisierter Angriffe erhöht. KI wird nicht nur zur Generierung von Bots eingesetzt, sondern treibt diese auch dazu an, Umgehungstechniken zu analysieren, zu erlernen und zu optimieren, wodurch fortgeschrittene Bots mit noch mehr Umgehungsmöglichkeiten entstehen, was zu einer Zunahme von Angriffen mit Geschäftslogik führt.
APIs werden zu neuen Angriffszielen: Mit der Popularität von Microservices und mobilen Apps sind APIs aufgrund ihres konzentrierten Wertes, ihrer relativ schwachen Abwehr und ihrer einfachen Automatisierung zu einem Hauptziel für bösartige Bots geworden.44% des fortgeschrittenen Bot-Verkehrs wurde auf APIs gelenkt, wobei die Finanzdienstleistungs- und Telekommunikationsbranche am stärksten angegriffen wurde, wobei Daten-Crawling, Zahlungsbetrug und Kontoübernahmen die wichtigsten Angriffstaktiken waren.
Darüber hinaus analysiert der Artikel detailliert das Wiederaufleben von Account-Takeover-Angriffen (ATO) und stellt fest, dass diese Angriffe bis 2024 jährlich um 40% zunehmen werden. Außerdem werden die Ursachen für die Zunahme von ATO-Angriffen, die am stärksten betroffenen Branchen und die möglichen regulatorischen Strafen untersucht. Abschließend schlägt das Papier eine mehrschichtige, adaptive Defense-in-Depth-Strategie vor, die über herkömmliche WAFs hinausgeht, die API-Sicherheit stärkt, ATOs abwehrt, eine einheitliche Sicherheitsansicht aufbaut sowie kontinuierliche Überwachung und Threat Intelligence bietet, um Unternehmen dabei zu helfen, der zunehmend intelligenten und skalierten Bedrohung durch bösartige Bots wirksam zu begegnen und digitale Werte und die Geschäftskontinuität zu schützen.

Mit der rasanten Entwicklung der Technologie der künstlichen Intelligenz (KI) verändern quelloffene KI-Intelligenzen (Agenten), die von OpenClaw repräsentiert werden, die Interaktion zwischen Mensch und Computer und die Automatisierung von Aufgaben in einer noch nie dagewesenen Weise. Die leistungsstarken Funktionen und das offene Ökosystem bringen jedoch auch ernsthafte Sicherheitsprobleme mit sich. In diesem Artikel werden die Sicherheitsrisiken der Architektur, der Funktionen und des Ökosystems von OpenClaw (insbesondere des ClawHub-Marktplatzes für Fertigkeiten) eingehend untersucht und die Lösung für die Integration der VirusTotal-Scan-Engine zur Erkennung und Eindämmung von Bedrohungen durch bösartige Fertigkeiten detailliert analysiert. Der Artikel soll Forschern und Praktikern auf dem Gebiet der KI-Sicherheit eine Fallstudie über die Sicherheitssteuerung des Ökosystems der Intelligenz sowie Überlegungen zur künftigen Richtung der KI-Lieferkettensicherheit liefern.

Anfang 2026 wurde OpenClaw, ein Open-Source-KI-Agent (Agent), einer hochriskanten One-Click Remote Code Execution (One-Click RCE)-Schwachstelle ausgesetzt (CVE-2026-25253). Die Schwachstelle rührt von einem Designfehler in der Benutzeroberfläche des Agenten her, der es einem Angreifer ermöglicht, Authentifizierungstoken mit erhöhten Rechten zu stehlen, indem er Benutzer dazu verleitet, auf einen gut konstruierten bösartigen Link zu klicken, und schließlich beliebigen Code auf dem Gerät des Opfers auszuführen. In diesem Beitrag werden wir das Prinzip der Schwachstelle, die Angriffskette und den Exploit-Code (POC/EXP) eingehend analysieren und die entsprechenden Abhilfemaßnahmen vorstellen.

Mit der Popularität großer Modelle (LLMs) haben Open-Source-Frameworks für die lokale Bereitstellung, wie z. B. Ollama, die Schwelle für Entwickler zur Nutzung und Verwaltung von KI-Modellen erheblich gesenkt. Diese Bequemlichkeit hat jedoch auch neue, weitreichende Sicherheitsrisiken mit sich gebracht. Eine kürzlich gemeinsam von SentinelOne, Censys und Pillar Security veröffentlichte Studie enthüllte die erschreckende Tatsache, dass es weltweit mehr als 175.000 öffentlich zugängliche Instanzen von Ollama im Internet gibt, was ein massives Sicherheitsrisiko für die KI-Computing-Infrastruktur darstellt
. Dieser Bericht enthält eine eingehende technische Analyse dieses Vorfalls, eine Analyse der Angriffsfläche, der tatsächlichen Bedrohungen und der systemischen Risiken sowie Vorschläge für entsprechende Sicherheitsmaßnahmen und Governance-Strategien auf Unternehmensebene.

Durch die tiefe Integration großer Modelle (LLMs) und automatisierter Arbeitsabläufe gewinnen persönliche KI-Agenten, die durch OpenClaw (früher bekannt als Clawdbot) repräsentiert werden, schnell an Popularität. Ihre leistungsstarken Systemintegrationsfähigkeiten haben Unternehmen vor noch nie dagewesene Sicherheitsherausforderungen gestellt und gleichzeitig die Effizienz verbessert. Ziel dieses Papiers ist es, einen umfassenden technischen Leitfaden für Entscheidungsträger in Unternehmen, Sicherheitsingenieure und Entwickler bereitzustellen, die Kernrisiken von OpenClaw in der Unternehmensumgebung eingehend zu analysieren und eine Reihe von systematischen Lösungen zur Sicherheitshärtung sowie bewährte Verfahren bereitzustellen, um sicherzustellen, dass wir die potenziellen Sicherheitsrisiken wirksam kontrollieren können, während wir die Vorteile der KI-Automatisierung nutzen.

Cursor ist eine KI-gesteuerte IDE, die auf dem Open-Source-Projekt Visual Studio Code (VS Code) basiert und generative Big-Language-Modelle (z. B. GPT-4, Claude) tief integriert, um Entwicklern intelligente Code-Generierung, Autovervollständigung und Fehlerbehebung zu bieten. Zu den wichtigsten Funktionen gehören Cursor Tab (intelligente Code-Vervollständigung), Agent Mode (autonome Code-Generierung) und die Integration des Model Context Protocol (MCP).