C
Security

KI als Hacker: LLM-Agent nutzt Marimo-Lücke für Daten-Exfiltration

Erstmals dokumentiert: Angreifer setzen einen LLM-Agenten für Post-Exploitation ein. Die KI reagierte adaptiv auf unbekannte Umgebungen und exfiltrierte eine Datenbank in Minuten.

CR
Codekiste Redaktion29. Mai 2026
#KI#Security#Cybersecurity#LLM#Marimo

Die Cybersecurity-Welt erlebt gerade einen Paradigmenwechsel. Bislang waren automatisierte Angriffe oft starr – sie folgten festen Playbooks und scheiterten an unerwarteten Systemkonfigurationen. Ein nun von den Experten von Sysdig dokumentierter Vorfall zeigt jedoch, dass Angreifer zunehmend auf Large Language Models (LLMs) als operative Agenten setzen. Das Ergebnis ist beängstigend: Eine KI hackte sich adaptiv durch eine unbekannte IT-Umgebung und saugte in unter zwei Minuten eine Datenbank leer.

Der Vorfall: Wenn aus einer Lücke eine Kettenreaktion wird

Ausgangspunkt des Angriffs war eine kritische Sicherheitslücke in Marimo, einem Open-Source-Tool für interaktive Python-Notebooks. Die Schwachstelle CVE-2026-39987 ermöglichte eine Pre-Authenticated Remote Code Execution (RCE) in allen Versionen bis einschließlich 0.20.4. Ein Angreifer konnte also ohne jegliche Authentifizierung beliebige Systembefehle auf dem Server ausführen. Mit Version 0.23.0 wurde der Fehler zwar geschlossen, doch das interessiert jene nicht mehr, die das System bereits kompromittiert hatten.

Was nach der initialen Kompromittierung passierte, liest sich wie ein Drehbuch für einen Cyber-Thriller: Der Angreifer extrahierte Cloud-Zugangsdaten aus dem gekaperten Host. Über einen verteilten Egress-Pool nutzte er diese Credentials, um einen SSH-Private Key aus dem AWS Secrets Manager abzufragen. Mit diesem Schlüssel startete er acht kurze, parallele SSH-Sessions auf einem nachgelagerten Bastion-Server. Das Resultat: Die exfiltrierte PostgreSQL-Datenbank war in weniger als zwei Minuten komplett abgesaugt. Die gesamte End-to-End-Angriffskette dauerte knapp über eine Stunde.

Der Beweis: Vier Indizien für einen LLM-Agenten

Bisherige Angriffe dieser Art folgten meist einem starren Skript. Sysdig fand jedoch vier eindeutige Hinweise darauf, dass diesmal ein LLM-Agent das Kommando über die Post-Exploitation-Phase übernahm:

  1. Ad-hoc-Exfiltration ohne Vorwissen: Der Angreifer exportierte die Datenbank, ohne vorher das Schema zu kennen. Es gab keine vorbereiteten Befehle. Der Agent improvisierte erfolgreich.
  2. Lecks im Command-Stream: Ein chinesischsprachiger Planungskommentar fand sich direkt im Befehlsstrom: „看还能做什么“ (übersetzt: „Sehen, was wir sonst noch tun können“). Ein klassischer Indikator für einen LLM, der seine eigenen Gedankengänge in den Output speist.
  3. Maschinenlesbare Befehlsstruktur: Die Kommandos waren durch „---“-Trennzeichen separiert, Ausgaben wurden begrenzt, der Pager less deaktiviert und der Fehlerstrom (stderr) verworfen. All das dient dazu, Rauschen für die KI zu minimieren.
  4. Dynamische Value-Handoffs: Die KI verarbeitete Outputs ihrer vorherigen Aktionen als Input für die nächste. Ein ls-Befehl prüfte erst, ob ein SSH-Key existiert, bevor cat den Inhalt auslas. Auch der Datenbank-Zugang wurde durch das automatisierte Auslesen der ~/.pgpass-Datei ermittelt.

Einordnung: Vom Playbook zum Inference-Budget

Dieser Vorfall markiert einen fundamentalen Wandel in der Bedrohungslandschaft. Wie Sysdig treffend anmerkt: Wenn ein skriptbasierter Angreifer auf eine unerwartete Hürde stößt – etwa ein fehlendes File oder ein abweichendes Datenbankschema –, bricht der Angriff ab oder fällt auf hartkodierte Fallbacks zurück. Ein KI-Agent hingegen liest die Überraschung, entscheidet, was als Nächstes zu versuchen ist, und macht weiter.

Die Barriere für Angreifer senkt sich drastisch. Bisher war der Aufwand für das Schreiben individueller Playbooks für jeden Ziel-Typ hoch (Engineering Time). Mit einem LLM-Agenten, der allgemeines Vorwissen über Systemarchitekturen besitzt und die Angriffskette live an das Ziel anpasst, wird die Barriere zum reinen „Inference Budget“ – also den Rechenkosten für die KI. Der Angreifer muss die Zielumgebung nicht mehr im Vorfeld kennen, der Agent erschließt sie sich selbst.

Für Verteidiger bedeutet das: Security through Obscurity oder das Verlassen auf kleine Konfigurationsabweichungen ist endgültig tot. Ein KI-Agent findet das Credential-File auch dann, wenn es einen unüblichen Namen trägt.

Fazit und Handlungsempfehlungen

Der Einsatz von LLMs im Cyberangriff ist keine theoretische Zukunftsmusik mehr – er findet jetzt statt. Die Adaptivität der KI macht klassische Verteidigungsstrategien, die auf das Scheitern von Angreifern an unerwarteten Hürden hoffen, obsolet. Was bleibt, sind die Grundlagen der IT-Sicherheit:

  • Patches zeitnah einspielen: Marimo-Instanzen müssen zwingend auf Version 0.23.0 oder neuer aktualisiert werden.
  • Keine öffentlichen Notebooks: Marimo-Instanzen sollten niemals ohne zusätzliche Authentifizierung im Internet exponiert sein.
  • Credential Rotation & Zero Trust: Selbst wenn ein Host kompromittiert wird, darf dies nicht zu einer Kettenreaktion führen. SSH-Keys und API-Keys müssen regelmäßig rotiert und mit strengen IAM-Richtlinien versehen werden.

Die Ära des adaptiven Angreifers hat begonnen. Unsere Abwehrmaßnahmen müssen ebenso dynamisch werden.

Quelle: The Hacker News

QUELLEN
The Hacker News
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

ChatGPhish: Wenn ChatGPT selbst zur Phishing-Falle wird

Security

KI als Tatwaffe: Wie GREYVIBE die Ukraine attackiert

Security

Vibe Coding: Das neue Shadow IT-Problem, das eure Security-Stacks ignorieren