Dein KI-Coding-Tool hat dich profiliert, und es hat diese Tatsache absichtlich verborgen. Ein Sicherheitsforscher fand, dass Claude Code verdeckte Logik trug, die Zeitzone, Proxy und API-Konfiguration eines Entwicklers auslas, um zu raten, ob die Sitzung eine China-Verbindung hatte, und dann still Kurzmarker an den Anbieter zurücksandte. Die Technik zum Verbergen war Prompt-Steganografie, so die Berichterstattung von Malwarebytes und Slashdot. Das ist die Schlagzeile. Es ist nicht die Geschichte.
Die Geschichte ist, dass eine Software, die du in deine Codebasis eingeladen hast, mit der Erlaubnis, deine Dateien zu lesen und das Netzwerk zu erreichen, etwas tat, von dem du nichts wusstest und das du nicht sehen konntest, und fast niemand, der sie installierte, hatte je entschieden, wie weit er ihr vertraut. Das ist der Teil, der einer Sicherheitsverantwortlichen den Schlaf rauben sollte, und er hat mit keinem einzelnen Anbieter zu tun. Jeder autonome Agent, den du in deinen Stack einbaust, ist ein dauerhaft erteiltes Vertrauen. Die meisten Teams treffen diese Entscheidung nie bewusst. In diesem Beitrag geht es darum, sie bewusst zu treffen.
Was tatsächlich geschah
Ein Forscher fand versteckten Code in Claude Code, der Nutzer fingerabdruckte, Zeitzone, Proxy und API-Konfiguration, um eine mögliche Verbindung zu chinesischen KI-Laboren zu markieren, und der kompakte Marker nach Hause funkte, auf eine Weise, die die meisten Nutzer nie bemerken würden. Die Verschleierungsmethode war Prompt-Steganografie, das Verstecken der Anweisung in gewöhnlichem Modelltext. Malwarebytes und Slashdot berichteten beide darüber. Anthropics Thariq Shihipar sagte, es sei ein im März gestartetes Experiment gewesen, um Kontomissbrauch, unbefugtes Weiterverkaufen und Model Distillation zu verhindern, dass seither stärkere Gegenmaßnahmen ergänzt wurden und der ältere Mechanismus zur Entfernung vorgesehen war.
Das Timing verschärfte die Reaktion. Die Entdeckung fiel mit einer etwa fünffachen Preiserhöhung zusammen, die Nutzer als Bait-and-Switch brandmarkten, und Alibaba wies seine Mitarbeiter an, Claude Code nicht mehr zu nutzen, wirksam zum 10. Juli 2026. Man hat also verdeckte Fingerabdrücke, eine Verschleierungstechnik, einen Preisschock und einen großen Konzern, der das Tool herauszieht, alles in einem Nachrichtenzyklus. Vorhersehbare Empörung folgte. Und die Empörung zielte auf das falsche Ziel.
Warum "Anthropic böse" die bequeme Lesart ist
Die befriedigende Schlussfolgerung lautet, dass ein Anbieter sich schlecht verhalten hat und du wechseln solltest. Das ist die bequeme Lesart, und sie lässt dich morgen genauso ausgesetzt wie gestern. Anthropic ist nicht ungewöhnlich damit, einen Agenten zu haben, der deine Umgebung sehen und das Internet erreichen kann. Das ist die Definition der Produktkategorie. Die unbequeme Wahrheit ist, dass genau die Fähigkeit, die hier missbraucht wurde, dieselbe Fähigkeit ist, für die du jeden Agenten-Anbieter bezahlst.
Ich habe siebzehn Jahre lang zugesehen, wie Organisationen Dingen vertrauten, die sie nie prüften: die Appliance, die niemand patchte, das Service-Konto, das niemandem gehörte, der Lieferant, den niemand bewertete. Das Muster ist immer dasselbe. Bequemlichkeit kommt an, Vertrauen wird angenommen statt erteilt, und die Vertrauensgrenze wird erst an dem Tag sichtbar, an dem sie überschritten wird. Ein KI-Coding-Agent ist das neueste, am höchsten privilegierte Mitglied dieser Familie. Er läuft mit den Berechtigungen eines Entwicklers, liest Quellcode und Secrets, kann Befehle ausführen und spricht mit einem Server, den du nicht kontrollierst. Wenn diese Beschreibung dich nicht bereits fragen lässt, was er sonst noch tun kann, hast du ihn nicht als das behandelt, was er ist.
Den Anbieter zu beschuldigen, setzt außerdem voraus, dass der nächste Vorfall gleich aussieht. Wird er nicht. Der nächste wird ein Support-Agent sein, der Tickets an ein externes Modell zusammenfasst, oder ein Doku-Bot mit Lesezugriff auf ein internes Wiki, oder ein Build-Assistent mit einem Token, der nie abläuft. Das Versagen wird sich reimen, nicht wiederholen. Wenn deine einzige Verteidigung eine Liste von Anbietern ist, die du nicht magst, verlierst du gegen den, von dem du noch nie gehört hast.
Ein Agent ist ein dauerhaftes Vertrauen, kein Feature
Jeder Vendor-Agent, den du einführst, ist eine dauerhafte Entscheidung über drei Befugnisse: was er sehen kann, was er senden kann und was er allein entscheiden kann. Behandle ihn wie jeden Dritten mit privilegiertem Zugang, denn genau das ist er. Ein menschlicher Auftragnehmer mit Dateisystem- und Netzwerkzugriff würde ein Onboarding-Review auslösen. Ein Agent mit derselben Reichweite löst meist ein pip install und ein Schulterzucken aus. Diese Asymmetrie ist das ganze Problem.
Ich bewerte Agenten-Risiko zuerst nach diesen drei Achsen, und ich habe zuvor darüber geschrieben, warum KI-Agenten sich wie Service-Konten verhalten, die denken gelernt haben: Sie halten Credentials, tragen Berechtigungen und handeln selbstständig, und sie wuchern genauso, wie es verwaiste Service-Konten immer taten. Die Claude-Code-Episode ist eine Zelle in einem viel größeren Raster. Hier ist das Raster, das ich tatsächlich nutze, wenn ein Kunde fragt, ob er einen Agenten hereinholen soll.
| Vendor-Agent | Was er SEHEN kann | Was er SENDEN kann | Was er ENTSCHEIDEN kann | Kannst du es auditieren? |
|---|---|---|---|---|
| KI-Coding-Assistent | Quellcode, Secrets, lokale Umgebung, Git-Historie | Prompts und Telemetrie an die Anbieter-Cloud | Welche Dateien öffnen, welche Befehle ausführen | Nur wenn du Egress und Tool-Aufrufe loggst |
| Support-/Ticket-Agent | Kunden-PII, Ticket-Historie, interne Notizen | Ticket-Text an ein externes Modell | Standardantworten, Rückerstattungen, Eskalationen | Selten, außer Aktionen sind gegated und protokolliert |
| RAG-Wissens-Bot | Was auch immer im indexierten Korpus steht | Abgerufene Chunks plus die Anfrage | Welche Dokumente als Wahrheit angezeigt werden | Nur mit Retrieval- und Zugriffs-Logging |
| Build-/Deploy-Assistent | Pipeline-Config, Cloud-Tokens, Artefakte | Metadaten und Logs an den Anbieter | Was gebaut, getaggt oder ausgeliefert wird | Nur wenn der Token scoped und kurzlebig ist |
Fülle diese Tabelle für jeden Agenten aus, bevor du unterschreibst, und die verdeckte Fingerabdruck-Geschichte hört auf, eine Überraschung zu sein, und wird zu einer Position. Natürlich kann ein Coding-Agent deine Zeitzone und Proxy-Konfiguration lesen. Er sieht deine gesamte Umgebung. Die einzige echte Frage war, ob du überhaupt eine Möglichkeit hattest, zu bemerken, was er zurücksandte. Für fast jedes Team lautete die ehrliche Antwort nein.
Die vier Fragen vor der Einführung
Bevor du einen Agenten einführst, beantworte vier Fragen schriftlich: Was ist das Schlimmste, das er ohne einen Menschen tun kann, was kann er exfiltrieren, wenn er kompromittiert wird oder sich fehlverhält, wie würdest du das heute erkennen, und kannst du ihn in Minuten widerrufen. Wenn du nicht alle vier beantworten kannst, hast du keine Vertrauensentscheidung getroffen, du hast gehofft. Der Punkt ist, ein Bauchgefühl in eine Grenze zu verwandeln.
Nimm sie einzeln, denn jede entspricht einer Kontrolle, die du aus der Netzwerksicherheit bereits kennst.
- Schlimmster Fall ohne Menschen. Begrenze den Agenten auf den kleinsten Satz an Aktionen, der ihn noch nützlich macht. Default-Deny bei Tools. Alles Destruktive, Geld ausgeben, in Produktion schreiben, externe Nachrichten senden, braucht ein explizites menschliches Gate. Das ist Least Privilege, unverändert, angewandt auf einen neuen Akteur.
- Was er exfiltrieren kann. Nimm an, dass der Agent mehr sendet, als du erwartest, denn dieser Vorfall beweist, dass sie es tun. Setze ihn hinter Egress-Kontrollen. Wisse, welche Endpunkte er erreichen darf, und alarmiere bei denen, die er nicht darf. Ein Modell mit deinem Quellcode und einem offenen Netzwerkpfad ist ein Exfiltrationskanal mit guten Manieren.
- Wie du es erkennen würdest. Logge die Tool-Aufrufe des Agenten, seine Netzwerkziele und seine Ein- und Ausgaben. Wenn dein einziger Nachweis dessen, was ein Agent tat, das Dashboard des Anbieters ist, vertraust du der geprüften Partei, ihre eigenen Hausaufgaben zu benoten. Unabhängiges Logging hat aus einem Gerücht über versteckte Marker einen belegten Fund gemacht.
- Wie schnell du widerrufen kannst. Jeder Agent läuft auf einem Credential. Dieses Credential muss deins sein, um es zu killen, scoped und kurzlebig, sodass das Ziehen eine Fünf-Minuten-Operation ist und kein Projekt. Alibaba konnte den Mitarbeitern sagen, an einem Datum aufzuhören. Könntest du einen Stopp am selben Tag über deinen gesamten Bestand tatsächlich durchsetzen?
Nichts davon ist exotisch. Es ist dieselbe Disziplin, die ich in der Firewall-CVE und dem KI-Agenten-Breach als demselben Fehler beschrieben habe: Provenienz, Least Privilege, Change Control. Neu ist nur die Form dessen, worauf du sie richtest.
Das Vertrauen, das du nicht siehst, ist das Vertrauen, das dich verletzt
Die Kontrollen, die hier am ehesten versagen, sind die, die vorhanden aussehen, aber nichts verifizieren, ein Freigabe-Häkchen, das niemand liest, ein Anbieter-Fragebogen, abgelegt und vergessen, eine "wir überwachen alles"-Behauptung ohne unabhängiges Log. Existenz ist nicht Wirksamkeit. Die Fingerabdrücke saßen monatelang in einem weit verbreiteten Tool, genau weil das Vertrauen angenommen und nie geprüft wurde.
Ich habe einen ganzen Beitrag über Kontrollen geschrieben, die das Audit bestehen und nichts bewirken, und Agenten-Governance wird gerade zur reichsten neuen Quelle davon. Es ist trivial, eine Richtlinie zu erstellen, die sagt "alle KI-Tools werden vor der Nutzung geprüft". Es ist schwer und selten, zeigen zu können, was ein bestimmter Agent letzten Dienstag an wen gesendet hat. Die Lücke zwischen diesen beiden ist der Ort, an dem der nächste Breach lebt. Der Test ist eine einzige Frage für jede Kontrolle, die du behauptest: Was hätte sie in diesem Vorfall erwischt, und wie wüsstest du es?
Darunter liegt eine breitere Identitätsverschiebung. Der Besitz eines gültigen Credentials beweist nicht mehr, wer handelt, weshalb ich Kunden immer wieder Richtung kontinuierlicher Verifizierung statt statischem Vertrauen schiebe. Ein Agent mit einem langlebigen Token ist eine dauerhafte Sitzung, die du nicht beobachtest. Die Antwort am Agenten ist dieselbe wie am VPN-Rand: binden, scopen, ablaufen lassen und die Sitzung beobachten statt den Login.
Wie eine sicherheitsbewusste Führungskraft Agenten einführen sollte
Führe Agenten so ein, wie du einen privilegierten Auftragnehmer onboarden würdest: Nimm Kompetenz und gute Absicht an, dann verifiziere beides mit Kontrollen, die nicht von ihrer Ehrlichkeit abhängen. Erteile den engsten Zugang, der das Tool nützlich macht, logge alles, was es tut, unabhängig vom Anbieter, und behalte den Kill-Switch in deiner eigenen Hand. Tempo bei der Einführung ist in Ordnung. Blinde Einführung nicht.
Konkret bedeutet das drei Gewohnheiten. Erstens, stelle eine Vertrauenstabelle wie die obige vor jede Agenten-Entscheidung und verweigere die Unterschrift, bis die Zellen gefüllt sind. Zweitens, gib KI-Risiko eine Zahl, die dein Vorstand verfolgen kann, statt einer Farbe, dieselbe Bewegung, für die ich in dem Weg von CVSS zur Attack-Success-Rate plädiert habe, sodass aus "wir nutzen KI-Tools" wird "wir betreiben zwölf Agenten, hier ist der Blast Radius jedes einzelnen". Drittens, prüfe Agenten in einem Zyklus, denn ein Tool, das bei der Installation sicher war, kann durch ein Update Reichweite gewinnen, genau wie dieses, als ein März-Experiment in ein Produkt einzog, dem die Leute bereits vertrauten.
Und wenn du Agenten baust statt kaufst, richtet sich dieselbe Linse nach innen. Die OWASP LLM Top 10 benennen Excessive Agency aus gutem Grund: Die schlimmsten Ergebnisse kommen daraus, was ein Agent tun darf, wenn etwas schiefgeht, nicht daraus, dass das Modell clever ist. Entwirf für den kompromittierten Fall. Nimm an, der Prompt wird vergiftet, der Token leckt und das Netzwerk wird beobachtet, dann entscheide, was dein Agent noch berühren darf.
Der Skandal war nie, dass ein Anbieter seine Nutzer profilierte. Es war, dass ein autonomer Agent mit Root auf deiner Codebasis es monatelang tun konnte und du es nicht gewusst hättest. Die Anbieter werden weiter Fähigkeiten schneller ausliefern, als du sie durchdenken kannst. Deine Aufgabe ist nicht, dem richtigen Unternehmen zu vertrauen. Es ist, die Grenzen zu bauen, die es überlebbar machen, dem falschen zu vertrauen.