KI-Coding-Agents

Jahrzehntealte Bash-Tricks öffnen KI-Agents für Supply-Chain-Angriffe

Supply Chain, supply chain angriffe, angriffe auf software lieferketten, Software-Lieferketten, Supply-Chain-Angriff, Lieferkette

Forschende von Adversa AI haben eine strukturelle Schwachstelle namens GuardFall entdeckt, durch die Bash-Tricks Schutzvorkehrungen in KI-Agents umgehen.

Das Sicherheitsunternehmen Adversa AI hat eine strukturelle Schwachstelle in zahlreichen Open-Source-KI-Coding-Agents identifiziert. Die unter dem Namen GuardFall zusammengefasste Problematik basiert auf jahrzehntealten Mechanismen der Unix-Shell Bash, wie dem Entfernen von Anführungszeichen oder der Nutzung von bestimmten Umgebungsvariablen für Abstände. Durch diese Methoden lassen sich textbasierte Schutzfilter der KI-Werkzeuge umgehen, da die Schadbefehle erst nach der internen Sicherheitsprüfung durch die Shell expandiert und ausgeführt werden.

Anzeige

Funktionsweise von GuardFall und betroffene Tools

Im Rahmen der Untersuchung wurden elf populäre Open-Source-Lösungen getestet, darunter Werkzeuge wie Hermes, OpenCode und Roo-code. Zehn der elf getesteten Applikationen wiesen entsprechende Sicherheitslücken auf. Lediglich das Tool Continue konnte die Mehrheit der Angriffe durch einen speziellen Filter blockieren, der Befehle vor der Ausführung tokenisiert und kanonisiert. Serge Malenkovich, Kommunikationschef bei Adversa AI, erklärt dazu: „Wir haben elf beliebte Open-Source-Agenten getestet, darunter Hermes, OpenCode, Roo-code und andere. Zehn lassen die Lücke auf eine von vier Arten offen; und nur einer schließt sie.“

Die Angriffe wurden in fünf Klassen unterteilt. Als besonders effektiv erwies sich eine Methode, bei der alternative Argumentstrukturen genutzt werden, um schädliche Befehle als harmlos zu tarnen. Filter müssten die exakten Flag-Kombinationen einzelner Binärdateien kennen, um destruktive Absichten zu erkennen.

Risiken für die Software-Lieferkette und Entwicklungsumgebungen

Die Sicherheitslücke ermöglicht es Angreifern, bösartige Befehle über manipulierte Repositories in die KI-Systeme einzuschleusen. Wenn ein Entwickler einen verwundbaren Agenten anweist, eine manipulierte README-Datei oder ein präpariertes Makefile auszulesen, kann das System zur verdeckten Ausführung von Code verleitet werden. Malenkovich führt hierzu aus:

Anzeige

„Wenn ein Ingenieur einen anfälligen Agenten verwendet, um eine vergiftete README oder ein Makefile aus einem bösartigen Repository zu lesen, kann der Agent dazu verleitet werden, im Stillen Befehle auszuführen, die AWS-Anmeldedaten entwenden oder ganze Entwicklungsumgebungen löschen – insbesondere in CI-Pipelines, in denen automatische Bestätigungsmodi der Standard sind.“

Serge Malenkovich, Kommunikationschef bei Adversa AI

Da die KI-Agenten in der Regel mit den vollen Kontoberechtigungen des jeweiligen Entwicklers ausgeführt werden, besteht die Gefahr von weitreichenden Supply-Chain-Angriffen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Empfohlene Schutzmaßnahmen und technische Lösungen

Als kurzfristige Gegenmaßnahme schlagen die Forschenden vor, KI-Agenten in einer isolierten Shell auszuführen, bei der das Heimatverzeichnis umgeleitet wird. Ein einzeiliger Wrapper kann das Projektverzeichnis beibehalten, entfernt jedoch den Zugriff auf sensible Daten wie SSH-Schlüssel, AWS-Anmeldedaten oder die Shell-Historie im regulären Heimatverzeichnis. Zudem wird empfohlen, automatische Bestätigungsmodi zu deaktivieren und Konfigurationen aus externen Repositories strikt zu überprüfen.

Langfristig müssen die Entwickler der KI-Tools jedoch interne Validierungsfilter implementieren, die den eingehenden Text vor der Übergabe an die System-Shell vereinheitlichen, um die Diskrepanz zwischen der Textprüfung des Agenten und der tatsächlichen Befehlsausführung durch Bash zu schließen.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.