CertiK-CEO warnt vor Sicherheitsrisiken von AI Agents, während der Einsatz die Isolation überholt

Die Warnung vor Sicherheitsrisiken von AI Agents wird schärfer – und dringlicher. Ronghui Gu, Mitgründer und CEO von CertiK, sagt, dass der Drang, autonome AI Agents in Apps, Netzwerken und Finanzsystemen einzuführen, schneller voranschreitet als die grundlegenden Sicherheitskontrollen, die zu ihrer Eindämmung erforderlich sind.

Das ist bedeutsam, weil diese Systeme nicht mehr darauf beschränkt sind, Anfragen in einem Chat-Fenster zu beantworten. Gu sagt, sie dürfen zunehmend lokale Dateien lesen, externe Tools aufrufen, Workflows auslösen und mit sensiblen Konten interagieren. In der Praxis bedeutet das, dass ein kompromittierter Agent nicht nur ein fehlerhafter Assistent ist. Er kann zu einer internen Bedrohung werden, mit Zugang zu Zugangsdaten, E-Mails und sogar zur Finanzinfrastruktur.

Gus Botschaft ist klar: Diese Systeme dürfen nicht auf diese Weise massenhaft eingesetzt werden. Er argumentiert, dass AI Agents auf Viren gescannt und isoliert werden sollten, bevor ihnen Zugriff auf sensible Daten oder kritische Systeme gewährt wird. Ohne diese Trennung, warnt er, könnten Nutzer und Unternehmen Software mit weitreichendem internem Zugriff ausstatten, die weit leichter manipuliert werden kann, als viele erwarten.

Warum CertiK sagt, dass Sicherheitsrisiken von AI Agents schnell zunehmen

CertiKs Einschätzung ist, dass die aktuelle Welle der Agent-Bereitstellung ein ernstes Sicherheitsproblem schafft. Gu beschreibt es als einen Ansturm, der eine erhebliche Sicherheitsschuld aufbaut, angetrieben von Begeisterung für Automatisierung, während grundlegende Schutzmaßnahmen hinterherhinken.

Im Mittelpunkt dieser Warnung steht Vertrauen. Viele Open-Source-KI-Tools, so Gu, werden als sicher angesehen, weil sie lokal laufen oder über vertraute Kanäle verbunden sind, einschließlich Standard-Chat-Apps wie WhatsApp. Lokaler Zugriff macht einen Agent jedoch nicht vertrauenswürdig. Sobald Nutzer einem Agent erlauben, Speicher zu prüfen, Ausführungsverläufe einzusehen oder persönliche und geschäftliche Zugangsdaten zu verwenden, kann die Software tief in die sensibelsten Bereiche eines Systems eindringen.

Das ist ein Grund, warum Sicherheitsrisiken von AI Agents über das übliche Cybersicherheitspublikum hinaus mehr Aufmerksamkeit auf sich ziehen. Es geht nicht nur um Malware im alten Sinne. Es geht darum, dass autonomen Systemen die Erlaubnis erteilt wird, zu handeln, Informationen abzurufen und Workflows zu durchlaufen, bevor sie ordnungsgemäß überprüft oder eingedämmt wurden.

Wie nicht isolierte AI Agents gekapert werden können

Die CertiK-Warnung konzentriert sich besonders darauf, wie leicht diese Systeme umgeleitet werden können. Gu sagt, nicht isolierte Agents können lokale Dateien, Zugangsdaten, E-Mail-Konten und Finanzkonten offenlegen. Sobald ein Agent diesen Zugriffsgrad hat, ist der Schaden durch eine Kompromittierung nicht mehr theoretisch. Ein manipulierter Bot könnte in der Lage sein, Daten zu exfiltrieren oder nicht autorisierte Geldtransfers auszulösen.

Prompt-Injection-Angriffe durch gewöhnliche Dateien

Eine der deutlichsten Bedrohungen sind Prompt-Injection-Angriffe. Laut Gu können versteckte Anweisungen in harmlos aussehende Inhalte eingebettet werden, darunter eine Webseite, ein PDF-Dokument oder eine eingehende E-Mail.

Wenn ein AI Agent diesen Inhalt liest, um eine Aufgabe zu erledigen, kann er möglicherweise nicht zwischen vertrauenswürdigen Anweisungen und nicht vertrauenswürdigen externen Eingaben unterscheiden. In diesem Moment kann das Verhalten des Agents still umgeleitet werden. Auf dem Bildschirm erscheint keine offensichtliche Malware-Eingabeaufforderung. Es erscheint keine dramatische Warnung. Stattdessen beginnt das System, den Anweisungen des Angreifers zu folgen, anstatt den ursprünglichen Regeln.

Das ist ein wesentlicher Grund, warum dieses Problem jetzt wichtig ist. Für viele Nutzer fühlt sich ein harmlos aussehendes Dokument oder eine E-Mail nicht wie eine Bedrohung auf Systemebene an. Aber mit autonomen Tools können diese gewöhnlichen Dateien zu dem Kanal werden, über den der Agent gekapert wird.

Bösartige Skills und gefälschte Abhängigkeiten

CertiK sagt auch, dass das Ökosystem rund um Agents bereits tiefere strukturelle Schwächen zeigt. Die Analyse ergab Hunderte von kritischen Sicherheitshinweisen und ungepatchten bekannten Schwachstellen und Gefährdungen (CVEs) in Agent-Strukturen sowie offengelegte Zugangsdaten.

Darüber hinaus sagt Gu, dass CertiK bösartige Skills, gefälschte Installer und ähnlich aussehende Abhängigkeitspakete auf offenen Agent-Utility-Hubs entdeckt hat. Das sind nicht nur schlampige Codierfehler. Sie weisen auf ein Umfeld hin, in dem Angreifer manipulieren können, wie Agents gebaut, aktualisiert und erweitert werden.

Was es schwieriger macht, dies zu erkennen, ist die Art und Weise, wie diese Bedrohungen operieren. Gu sagt, bösartige Plug-ins können traditionelle Antivirenscans umgehen, weil sie das Agent-Verhalten durch normale natürliche Sprache beeinflussen, anstatt durch ältere signaturbasierte Muster. Im Klartext: Der Agent kann dazu gebracht werden, das Falsche zu tun, ohne dass der Angriff wie klassische Malware aussieht.

Warum CertiK eine Zero-Trust-Architektur vorantreibt

Gus Antwort ist eine Zero-Trust-Architektur mit kontinuierlicher Verifizierung. Anstatt anzunehmen, dass ein Agent, Plug-in oder eine Abhängigkeit nach der Installation sicher ist, sollte jeder Befehl und jede Abhängigkeit fortlaufend überprüft werden.

Dieser Ansatz passt zum Ausmaß des Problems, das CertiK nach eigenen Angaben beobachtet. Die Analyse des Unternehmens ergab:

• Hunderte von kritischen Sicherheitshinweisen
• ungepatchte CVEs
• offengelegte Zugangsdaten in Agent-Strukturen
• Angriffspfade, die lokale Dateien, E-Mails und Finanzinfrastruktur einbeziehen

Hier wird die umfassendere Bedeutung deutlich. Sicherheitsrisiken von AI Agents betreffen nicht nur eine einzelne fehlerhafte App oder einen kompromittierten Nutzer. Sie weisen auf ein Modell hin, bei dem Autonomie zunimmt, bevor Isolierung, Scanning und Verifizierung zur Standardpraxis werden. Wenn diese Tools dazu bestimmt sind, Geld, Geschäfts-Workflows oder private Daten zu verwalten, dann kann Vertrauen nicht als Standardeinstellung behandelt werden.

Es gibt auch einen Krypto-Aspekt, der erklärt, warum CertiK jetzt Alarm schlägt. Gu sagt, das Unternehmen hat schnelle, kurzlebige Onchain-Betrügereien beobachtet, die darauf ausgelegt sind, KI-gesteuerte Trading-Bots und automatisierte Agent-Systeme anzugreifen. Diese Betrügereien können nur 10 Minuten oder einige Stunden laufen, bevor sie verschwinden.

Dieses Detail ist aufschlussreich. Maschinengesteuerte Systeme können mit einer Geschwindigkeit operieren, die wenig Zeit für menschliche Überprüfung lässt, und Angreifer scheinen sich an diese Realität anzupassen. Im Grunde werden automatisierte Agents zu Zielen für automatisierten Betrug. Das Ergebnis ist eine neue Art von Maschine-gegen-Maschine-Angriffszyklus, insbesondere in Umgebungen, die mit Onchain-Aktivitäten und automatisierter Geldbewegung verbunden sind.

Warum die Warnung von CertiK jetzt hervorsticht

CertiKs Warnung trifft zu einem Zeitpunkt ein, an dem AI Agents als Produktivitätswerkzeuge und digitale Helfer vermarktet werden. Gus Argument ist jedoch, dass die Fähigkeiten der Eindämmung vorauseilen. Je mehr diese Systeme auf Dateien, Zugangsdaten und Geld zugreifen dürfen, desto weniger Raum bleibt für laxe Sicherheitsannahmen.

Seine Empfehlung ist klar: Agents auf Viren scannen, sie vor der Zugriffsgewährung isolieren und aufhören, Autonomie standardmäßig als sicher zu behandeln.

Wird dieser Rat ignoriert, könnte die nächste Angriffswelle nicht mehr darauf angewiesen sein, zuerst Menschen zu täuschen. Sie könnte direkt auf die Agents abzielen, die in ihrem Namen handeln.