Microsofts offene Entwicklerwerkzeuge sind Ziel eines massiven Lieferkettenangriffs geworden. Manipulierte Softwarepakete sollten Zugangsdaten aus Entwicklerrechnern absaugen. Besonders brisant: Ein KI-Agent ließ sich über präparierte Eingaben dazu bringen, Schadcode in GitHub-Repositories einzuschleusen. Aus dem viel beworbenen KI-Helfer wurde ein Werkzeug des Angreifers.
Betroffen war das Microsoft-Projekt „Durable Task“, das zur Ausführung langlebiger und verteilter Programmabläufe verwendet wird. Nach Analysen von Sicherheitsforschern enthielten die npm-Versionen durabletask-js 1.4.1 bis 1.4.3 Schadcode. Wer eine dieser Versionen installiert hat, muss davon ausgehen, dass Zugangsdaten, Tokens und andere auf dem Rechner erreichbare Geheimnisse gefährdet sein könnten.
Der Angriff beschränkte sich nicht auf ein einzelnes Paket. Wie TechCrunch berichtet, musste GitHub mindestens 70 Microsoft-Repositories vorübergehend abschalten. GitHub gehört selbst zu Microsoft. Dass der Konzern seine eigenen Projekte auf der eigenen Plattform nicht rechtzeitig schützen konnte, macht den Fall zur denkbar schlechten Werbung für die Sicherheit der KI-gestützten Softwareentwicklung.
Der technisch neue Teil des Angriffs war eine indirekte Prompt Injection. Angreifer platzierten präparierte Anweisungen in öffentlich einsehbaren GitHub-Inhalten. Ein KI-Agent, der diese Inhalte automatisch verarbeitete, interpretierte den fremden Text als Arbeitsauftrag. Dadurch konnten Änderungen angestoßen und schädliche Bestandteile in weitere Repositories getragen werden.
Das Problem liegt tiefer als bei einem gewöhnlichen gestohlenen Passwort. KI-Agenten dürfen zunehmend Quellcode lesen, Dateien verändern, Abhängigkeiten aktualisieren und Veröffentlichungsprozesse auslösen. Damit besitzen sie genau die Rechte, die ein Angreifer benötigt. Wenn eine Textanweisung aus einem Issue, Kommentar oder Dokument genügt, um den Agenten umzulenken, wird jede öffentlich eingelesene Information zum potenziellen Steuerbefehl.
Entwickler, die die betroffenen Durable-Task-Versionen eingesetzt haben, sollten sie sofort entfernen oder aktualisieren, Rechner und Build-Systeme überprüfen sowie Passwörter, API-Schlüssel und Zugriffstokens austauschen. Ein bloßes Löschen des Pakets genügt nicht, wenn Geheimnisse bereits abgeflossen sein könnten.
Microsoft verkauft KI-Agenten als Beschleuniger für die Softwareproduktion. Der Vorfall zeigt die Kehrseite: Automatisierung beschleunigt auch Fehler und Angriffe. Wenn Maschinen eigenständig Code verändern dürfen, müssen Herkunft, Rechte und jeder einzelne Befehl überprüfbar bleiben. Andernfalls wird aus künstlicher Intelligenz keine Sicherheitsverstärkung, sondern ein automatisierter Generalschlüssel für die Lieferkette.
Kommentar verfassen