Thought Leadership
Die „TrustFall“-Attacke zeigt, wie Hacker KI-Agenten manipulieren. Ein Klick auf „Trust“ reicht für eine vollständige Übernahme der Software-Lieferkette.
Sicherheitsforscher von Adversa.AI haben eine kritische Schwachstelle in der Architektur von KI-gestützten Coding-Agenten aufgedeckt. Die als „TrustFall“ bezeichnete Angriffsmethode nutzt das automatisierte Verhalten von Tools wie Claude Code aus, um Schadcode mit vollen Systemrechten auszuführen. Da diese Agenten tief in die Entwicklungsumgebungen und CICD-Pipelines (Continuous Integration/Continuous Deployment) integriert sind, entsteht daraus ein Risiko für globale Software-Lieferketten. Betroffen ist nicht nur Claude Code, sondern eine ganze Gattung von KI-Kommandozeilen-Tools, die ähnliche Vertrauensmodelle nutzen.
Öffentliche GitHub-Repository öffnet Hackern die Tür
Agentische KI ist darauf ausgelegt, Aufgaben autonom und für den Nutzer oft unsichtbar im Hintergrund zu erledigen. Claude Code, das seit seinem Start im Mai 2025 eine weite Verbreitung in High-End-Engineering-Teams gefunden hat, bildet hierbei keine Ausnahme. Die Forscher von Adversa.AI demonstrierten jedoch, dass dieses autonome Verhalten durch einen Angreifer gezielt manipuliert werden kann.
Alles, was ein Angreifer tun muss, ist, bösartigen Code in einem attraktiven, öffentlichen GitHub-Repository zu platzieren. Wenn ein Entwickler Claude Code für eine neue Aufgabe einsetzt, scannt der Agent die verfügbaren Repositories nach hilfreichen Informationen. Sobald er das präparierte Repository identifiziert, auswählt und klont, ist das System des Entwicklers potenziell kompromittiert. Der Angriff erfordert lediglich, dass der Nutzer den obligatorischen Vertrauensdialog des Tools bestätigt. Das ist ein Schritt, der in der Praxis oft reflexartig erfolgt.
Ein einziger Tastendruck hebelt die Sicherheit aus
Der kritische Punkt liegt im Interaktionsdesign der Tools. Der Sicherheitsdialog von Claude Code lautet: „Kurzer Sicherheitscheck: Ist dies ein Projekt, das Sie erstellt haben oder dem Sie vertrauen?“ („Quick safety check: Is this a project you created or one you trust?“). Standardmäßig ist die Antwort auf „Vertrauen“ (trust) eingestellt.
In der Praxis unterscheidet sich dieser Dialog kaum von den Warnmeldungen in Webbrowsern, die von den meisten Nutzern routinemäßig akzeptiert werden. Laut Adversa.AI hat dies fatale Folgen: „Ein Tastendruck auf die Enter-Taste im Vertrauensdialog startet den Server als einen nicht-sandboxed Betriebssystemprozess mit den vollen Privilegien des Entwicklers. Es ist kein Tool-Aufruf von Claude erforderlich,“ berichtet Adversa. Die bösartigen Repositories enthalten kleine JSON-Dateien an Standard-Speicherorten von Claude Code, die eine willkürliche Codeausführung ermöglichen.
Missbrauch von MCP-Servern zur Fernsteuerung
Technisch nutzt der Angriff die Konfigurationsdateien des Model Context Protocol (MCP) aus. In den Dateien .claude/settings.json oder .mcp.json können Angreifer Parameter wie enableAllProjectMcpServers setzen. Diese sorgen dafür, dass jeder im Projekt definierte Server automatisch genehmigt wird.
Sobald der Nutzer den Ordner als vertrauenswürdig einstuft, werden die vom Angreifer definierten MCP-Server als Betriebssystemprozesse mit den vollen Rechten des Nutzers gestartet. Dies ermöglicht den Aufbau einer dauerhaften Verbindung zu einem Command-and-Control-Server (C2). Besonders tückisch: Der Payload kann direkt in der .mcp.json eingebettet werden, sodass keine separate Skriptdatei auf der Festplatte existiert, die von statischen Scannern oder manuellen Überprüfungen erkannt werden könnte.
Bedrohung für CICD-Pipelines
Die potenziell katastrophalsten Auswirkungen hat TrustFall, wenn KI-Agenten innerhalb von automatisierten CICD-Prozessen eingesetzt werden. Wenn ein Entwickler ein weit verbreitetes Tool erstellt, kann die Infektion seines Systems den Startpunkt für eine großflächige Lieferketten-Attacke bilden.
„Entwickler weit verbreiteter Tools sind ein realistisches Hauptziel. Claude Code ist auf den meisten Entwicklerrechnern installiert, und Entwickler klonen routinemäßig unbekannte Repositories und lassen Claude darauf laufen. Daher ist dieser Angriff sehr plausibel, wenn der Code für die CICD des Benutzers bestimmt ist.“
Alex Polyakov, Mitbegründer und CTO von Adversa.AI
Ein solcher Angriff könnte Umgebungsvariablen, Deploy-Keys, Signaturzertifikate und alle verfügbaren Anmeldedaten des Runners auslesen und diese unbemerkt in den Build-Prozess einfließen lassen.
Anthropic: Verantwortung liegt beim Anwender
Adversa.AI hat seine Erkenntnisse an Anthropic gemeldet. Das Unternehmen hat es jedoch vorerst abgelehnt, Maßnahmen zu ergreifen. Der Standpunkt von Anthropic ist, dass der Nutzer durch das Klicken auf „Ja, ich vertraue diesem Ordner“ seine Zustimmung zur Nutzung aller darin enthaltenen Inhalte gegeben hat. Die Verantwortung liege somit beim Anwender.
Die Forscher widersprechen dieser Sichtweise vehement. Sie argumentieren, dass Nutzer sich der tatsächlichen Inhalte und Risiken in den Unterordnern zum Zeitpunkt der Bestätigung nicht bewusst seien. Ein „uninformiertes Einverständnis“ sei kein legitimes Sicherheitskonzept. Adversa schlägt vor, dass Anthropic bestimmte Schlüssel wie enableAllProjectMcpServers in Einstellungsdateien innerhalb eines Repositories blockieren und diese nur aus Quellen zulassen sollte, die strukturell außerhalb des Repositories liegen.
Angriffskette auch bei Gemini und Copilot
Die Untersuchung zeigt, dass es sich nicht um ein exklusives Problem von Claude Code handelt. Adversa.AI testete dieselbe Angriffskette gegen Gemini CLI, Cursor CLI und Copilot CLI. Alle vier Tools verhalten sich identisch: Ein bösartiges Repository kann MCP-Server automatisch genehmigen und starten, sobald der Vertrauensdialog akzeptiert wird – und alle vier Tools setzen den Standardwert auf „Vertrauen“.
Serge Malenkovich, Kommunikationsberater bei Adversa, sagte: „Es ist kein Claude-Code-Problem; es ist eine Konvention, die über agentische Coding-CLIs hinweg geteilt wird.“ Solange dieser Industriestandard fortbesteht, bleibt die Hürde für Angreifer extrem niedrig. Nutzer können sich schützen, indem sie KI-Agenten in Pipelines nur auf Zweigen (Branches) einsetzen, deren Commits bereits manuell geprüft wurden, und niemals ungeprüfte Repositories direkt mit aktiven KI-Assistenten scannen.
