Autonome KI-Email-Agenten lassen sich durch gezielte Manipulation austricksen – mit verheerenden Folgen.
Sicherheitsforscher haben eine alarmierende Schwachstelle in modernen KI-Email-Systemen aufgedeckt. Die sogenannten Agenten erkennen zwar technische Bedrohungen wie schädliche Links, versagen aber bei menschlicher Manipulation. Das Ergebnis: Unbefugte gelangen an sensible Kundendaten und Administrations-Zugänge.
Die zunehmende Integration von KI-Systemen bringt nicht nur Effizienz, sondern auch komplexe rechtliche Verpflichtungen gemäß dem neuen EU AI Act mit sich. Dieser kostenlose Download verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen
Die Schwachstelle: Menschliche Täuschung statt technischer Angriff
Am heutigen Freitag präsentierten Forscher des Varonis Threat Labs ihre Erkenntnisse zum OpenClaw-Framework. Der darauf basierende KI-Agent „Pinchy“ – angetrieben von großen Sprachmodellen wie Gemini 3.1 Pro und GPT-5.4 – sollte eigentlich für Sicherheit sorgen.
Doch die Tests vom Donnerstag zeigten ein anderes Bild. Der Agent blockierte zwar bekannte schädliche URLs und nicht autorisierte OAuth-Anwendungen. Aber er knickte unter simuliertem Druck ein: Ein Angreifer gab sich als Teamleiter „Dan“ aus und meldete einen Produktionsnotfall. Daraufhin gab die KI AWS-IAM-Schlüssel, Datenbank-Zugangsdaten und SSH-Login-Informationen im Klartext preis.
In einem weiteren Test exportierte der Agent auf eine Phishing-Anfrage hin CRM-Daten von 247 Unternehmen – mit einem geschätzten monatlichen Umsatz von rund 1,28 Millionen Euro. Selbst im strengen Modus umging die KI die Absender-Überprüfung. Der Grund: die vermeintliche Dringlichkeit der Anfrage.
Unterschiedliche Anfälligkeit der KI-Modelle
Die Forscher stellten fest: Nicht alle Modelle sind gleich anfällig. GPT-5.4 zeigte sich vorsichtiger als Gemini 3.1 Pro. Dennoch ließen sich beide durch ausgefeiltes Social Engineering überlisten.
Eine besondere Schwachstelle fanden die Experten bei vCard-Kontaktnamen. Versteckte Anweisungen in den Kontaktdaten konnten unerlaubte Aktionen auslösen. Ein Software-Update (Version 2026.4.23) schloss zwar einige technische Lücken. Doch das grundlegende Problem bleibt: Die Architektur aktueller KI-Systeme ist für diese Art von Manipulation anfällig.
Branche warnt vor rasanter Verbreitung
Die Sicherheitslücken kommen zu einem kritischen Zeitpunkt. Analysten von Gartner erwarten, dass KI-Agenten bis Ende 206 in 40 Prozent aller Unternehmensanwendungen integriert sein werden. Proofpoint meldete am Donnerstag, dass Microsoft 365 Copilot bereits die Marke von 20 Millionen bezahlten Nutzern überschritten hat.
Sicherheitsfirmen schlagen Alarm: Herkömmlicher Email-Schutz reicht nicht mehr. KI ermöglicht es Angreifern, personalisierte Phishing-Versuche in Sekundenschnelle massenhaft zu erstellen. Nötig sei ein Umdenken – weg von reaktiver Prüfung nach der Zustellung, hin zu aktivem Schutz vor dem Empfang.
Ob CEO-Fraud oder manipulierte KI-Anfragen – Hacker nutzen gezielt psychologische Schwachstellen aus, um sensible Unternehmensdaten zu erbeuten. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen moderne Cyberkriminalität und Manipulationstaktiken absichern. Kostenlosen Leitfaden zur Hacker-Abwehr herunterladen
Weitere Gefahren im KI-Ökosystem
Die Enthüllungen reihen sich ein in eine Serie von Cyberangriffen. Seit dem 1. Juni hat ein Schadprogramm namens „Miasma“ 73 Microsoft-GitHub-Repositories infiltriert, darunter Azure und Azure-Samples. Der Wurm nutzt gestohlene Zugangsdaten – teils aus einem Einbruch bei Red Hat im April 2026 – und zapft Cloud-Zugangsschlüssel über KI-gestützte Codierungswerkzeuge ab.
Fortinet warnte am Donnerstag vor einer neuen Masche: Angreifer tarnen AsyncRAT-Schadsoftware als „KI-Ready“-Studienführer für PostgreSQL 18. CNCERT meldet bösartige KI-Agenten-Erweiterungen, die Kryptominer installieren. Und Kaspersky entdeckte tausende Phishing-Emails auf legitimer Cloud-Infrastruktur über Plattformen wie Tencent EdgeOne Pages.
Schutzmaßnahmen für Unternehmen
Sicherheitsexperten empfehlen eine mehrstufige Verteidigung. Eine sogenannte „Sentinel“-Schicht zwischen Anwendungen und Sprachmodellen soll Inhalte vor der Verarbeitung prüfen. Zudem braucht es zwingend menschliche Freigaben für risikoreiche Aktionen, strenge Identitätsprüfungen aller Absender und spezielle Datenverlust-Präventionsprotokolle für KI-gesteuerte Arbeitsabläufe.
