Die Attacke „Comment and Control“ offenabr eine fundamentale Schwachstelle in der Architektur autonomer KI-Assistenten.**
Ein Forschungsteam der Johns Hopkins University hat eine neue, alarmierende Angriffsmethode auf KI-gesteuerte Entwicklertools enthüllt. Die als „Comment and Control“ bezeichnete Attacke ermöglicht es Angreifern, die Kontrolle über KI-Agenten von Anthropic, Google und Microsoft zu übernehmen – und das über scheinbar harmlose GitHub-Kommentare oder Pull-Request-Titel. Die Forscher konnten so sensible API-Schlüssel und Zugangstokens stehlen und legen damit einen kritischen Konstruktionsfehler in der Software-Lieferkette offen.
Während Forscher kritische Sicherheitslücken in KI-Tools aufdecken, müssen Unternehmen auch die neuen rechtlichen Rahmenbedingungen im Blick behalten. Dieser kostenlose Leitfaden hilft Ihnen, die Anforderungen des EU AI Acts zu verstehen und Ihre Systeme konform abzusichern. Umsetzungsleitfaden zur EU-KI-Verordnung jetzt kostenlos herunterladen
Anfang dieser Woche veröffentlichte das Team um Sicherheitsexperten Aonan Guan die Details dieser weitreichenden Sicherheitslücke. Sie betrifft führende KI-Agenten, die in GitHub Actions integriert sind. Die Methode nutzt die Automatisierung in CI/CD-Pipelines aus und verwandelt routinemäßige Repository-Interaktionen in Einfallstore für den Diebstahl von Zugangsdaten.
Laut der Studie sind Anthropics Claude Code Security Review, Googles Gemini CLI Action und Microsofts GitHub Copilot Agent für diesen Angriff anfällig. In jedem Fall gelang es den Forschern, die KI-Agenten zu manipulieren, sodass diese unbefugte Befehle ausführten und interne Geheimnisse des Host-Repositorys preisgaben – ohne jegliche externe Infrastruktur.
So funktioniert die „Comment and Control“-Attacke
Die Schwachstelle liegt in der grundlegenden Art und Weise, wie KI-Agenten Kontext in Entwicklungsumgebungen verarbeiten. Diese Agenten sind darauf ausgelegt, GitHub-Aktivitäten wie neue Issues, Pull-Request-Beschreibungen und Kommentare zu überwachen, um automatisierte Code-Reviews durchzuführen oder Fehlerbehebungen vorzuschlagen. Doch die Forscher fanden heraus, dass die Agenten oft nicht zwischen legitimen Entwickleranweisungen und nicht vertrauenswürdigen Nutzereingaben in denselben Feldern unterscheiden können.
Bei einem „Comment and Control“-Angriff reicht ein Angreifer einen Pull Request (PR) ein oder öffnet ein Issue, das einen speziell präparierten String enthält. Da GitHub Actions-Workflows oft so konfiguriert sind, dass sie bei solchen Ereignissen automatisch ausgelöst werden, verarbeitet der KI-Agent den bösartigen Text sofort als Teil seines „Aufgabenkontexts“. Der Agent interpretiert die eingebetteten Anweisungen dann als Befehl einer vertrauenswürdigen Quelle. Das kann ihn dazu verleiten, Shell-Skripte auszuführen, Umgebungsvariablen abzufragen oder Daten zu exfiltrieren.
Anders als bei traditionellen indirekten Prompt-Injection-Angriffen, die oft eine menschliche Interaktion erfordern, läuft die „Comment and Control“-Methode weitgehend autonom. Sobald der schädliche Inhalt auf GitHub gepostet ist, initiiert die eigene Workflow-Logik des Agenten die Kompromittierung. Die Forscher stellten fest, dass dies einen geschlossenen Angriffszyklus schafft: Der Agent liest den bösartigen Prompt, führt die Nutzlast aus und schreibt die gestohlenen Ergebnisse als Kommentar oder Commit zurück auf GitHub. Die Plattform wird so effektiv als eigener Command-and-Control-Server missbraucht.
Wie die Sicherheitsbarrieren von Claude, Gemini und Copilot fielen
Die Forschung beleuchtete spezifische Angriffswege für drei der führenden KI-Tools der Branche, die jeweils unterschiedliche technische Hürden und Umgehungen betrafen.
Bei Anthropics Claude Code Security Review, einem Tool zur Sicherheitsanalyse von Codeänderungen, fanden die Forscher heraus, dass PR-Titel ohne ausreichende Bereinigung in den System-Prompt übernommen wurden. Durch das Einreichen eines PRs mit einem bösartigen Titel wies das Team Claude an, Bash-Befehle auszuführen. Der Agent extrahierte daraufhin den ANTHROPIC_API_KEY und das GITHUB_TOKEN und präsentierte sie dem Angreifer in einem PR-Kommentar – als wären es legitime „Sicherheitsbefunde“. Anthropic stufte das Problem anschließend als kritisch ein und vergab einen CVSS-Score von 9,4.
Googles Gemini CLI Action, die Routine-Coding-Aufgaben übernimmt, wurde über Issue-Kommentare kompromittiert. Die Forscher nutzten einen gefälschten „Anweisungsabschnitt“ innerhalb eines Kommentars, um die Schutzmechanismen zu umgehen. Das veranlasste Gemini, seinen eigenen API-Schlüssel öffentlich als Antwort zu posten.
Der Angriff auf den GitHub Copilot Agent von Microsoft erwies sich als der komplexeste, da Microsoft mehrere Sicherheitsebenen implementiert hatte, darunter eine Umgebungsfilterung, Secret Scanning und eine Netzwerk-Firewall. Um diese zu umgehen, verwendeten die Forscher einen versteckten HTML-Kommentar – für menschliche Leser unsichtbar, aber für die KI lesbar – um die Nutzlast zu transportieren. Zwar entfernte der Umgebungsfilter sensible Variablen aus den Subprozessen des Agenten, doch die Forscher fanden heraus, dass der übergeordnete Node.js-Prozess weiterhin Zugriff auf die vollständige Umgebung hatte. Durch eine Base64-Kodierungstechnik umgingen sie den Secret Scanner und exfiltrierten das GITHUB_TOKEN und das GITHUB_COPILOT_API_TOKEN über einen standardmäßigen Git-Push.
Kontroverse um Offenlegung und Reaktion der Hersteller
Während alle drei Unternehmen die Erkenntnisse anerkannten und Bug-Bounties an die Forscher zahlten, hat das Fehlen öffentlicher Warnhinweise eine Debatte in der Cybersicherheits-Community ausgelöst. Anthropic zahlte 100 US-Dollar, Google 1.337 US-Dollar und Microsoft 500 US-Dollar. Trotz dieser Zahlungen vergab keiner der Anbieter eine Common Vulnerabilities and Exposures (CVE)-Kennung für die Schwachstellen.
Aonan Guan und das Johns-Hopkins-Team äußerten die Sorge, dass das Fehlen formeller Warnungen viele Organisationen gefährdet. Viele Entwicklungsteams „pinnen“ ihre GitHub-Action-Versionen auf bestimmte Releases, um Stabilität zu gewährleisten. Ohne eine öffentliche Benachrichtigung oder eine neue CVE könnten diese Teams weiterhin anfällige Versionen der KI-Agenten nutzen, ohne zu wissen, dass sie dem Diebstahl von Zugangsdaten ausgesetzt sind.
Sicherheitsanalysten wie bei SOCRadar weisen darauf hin, dass diese Forschung eine systemische Lücke in der KI-integrierten Software-Lieferkette aufzeigt. Da diesen Agenten hochprivilegierter Zugriff auf Repository-Geheimnisse und Ausführungstools gewährt wird, ist Prompt Injection nicht länger nur ein Problem der Datenintegrität. Es ist zu einem gangbaren Weg für Privilege Escalation geworden.
Branchenausblick und Gegenmaßnahmen
Die Entdeckung des „Comment and Control“-Musters wird voraussichtlich eine Neubewertung erzwungen, wie KI-Agenten in CI/CD-Umgebungen eingesetzt werden. Experten schlagen vor, dass Organisationen KI-Agenten als nicht vertrauenswürdigen Code behandeln und strikte Isolationsgrenzen implementieren müssen. Zu den empfohlenen Verteidigungsmaßnahmen gehören:
* Die Einschränkung der den Agenten verfügbaren Tool-Sets.
* Die Sicherstellung, dass Geheimnisse niemals direkt für den Ausführungskontext des Agenten zugänglich sind.
* Die Einführung manueller Freigabeschritte für jede Aktion, die das Schreiben ins Repository oder den Zugriff auf Tokens beinhaltet.
Neue Bedrohungen durch KI erfordern ein Umdenken in der Unternehmenssicherheit, um sensible Daten langfristig zu schützen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig alle neuen rechtlichen Pflichten erfüllen. Gratis E-Book: Cyber Security Trends und Schutzmaßnahmen sichern
Im Frühjahr 2026 gewinnt das Streben nach robusterer „agentischer“ Sicherheit an Fahrt. GitHub hat bereits Pläne signalisiert, scoped secrets und verbesserte Egress-Firewalls für Actions einzuführen, um solche Risiken zu mindern. Doch da KI-Agenten zunehmend auch in Geschäftsfunktionen jenseits der Softwareentwicklung – wie Jira-Agenten, Slack-Bots und automatisierte Deployment-Tools – eingebettet werden, dürfte die Angriffsfläche für „Comment and Control“ weiter wachsen.
Der Konsens unter Forschern ist klar: Die Branche muss weg von reaktiven Patches hin zu einem architektonischen „Defense-in-Depth“-Ansatz. Solange KI-Modelle nicht grundlegend Anweisungen von Daten trennen können, bleibt das Risiko der Übernahme durch einfache Kommentare eine erhebliche Hürde für den sicheren Einsatz autonomer KI im Unternehmen.
