Während einer späten Nacht Rot-Team-Übung, Forscher Ein browserbasierter, autonomer KI-Agent eines Kunden läckte zufällig die Credentials des CTOs aus. Der Trigger war nichts weiter als ein einziges bösartiges Programm. verborgen in einer internen GitHub-Thema-Seite. Der Agent läuft auf - ein Open-Source-Framework, das vor kurzem $ 17 Millionen in einer Samenrunde und hat in der VC-Welt Schlagzeilen gemacht. beobachtet Div Tag Browser benutzen erhöht Während Risikokapital weiterhin in das Rennen einfließt, um LLM-Agenten schneller und leistungsfähiger zu machen, bleibt Sicherheit ein Nachdenken.Heute haben autonome browserbasierte Agenten bereits Zugang zu privaten Inboxen, Buchhotels und finanziellen Aufzeichnungen. Die meisten Enterprise-AI-Agenten verwenden sie als Werkzeug (z. B. eine Schnittstelle, um externe Daten abzuholen). Dennoch behandelt die Branche selbst, die ihr Wachstum anregt, Sicherheit immer noch als Feature-Add-on anstatt als Designprämisse. nach dem 82% der großen Unternehmen betreiben heute mindestens einen KI-Agenten in ihren Produktions-Workflows, mit 1,3 Milliarden Enterprise-Agent-Nutzern bis 2028 prognostiziert. Marktforscher How Hackers Exploit Enterprise AI Agents Wie Hacker Enterprise AI-Agenten ausbeuten Zenity Labs, einer der führenden Anbieter von Agentic AI Security und Governance für Unternehmen, Über 3.000 öffentlich zugängliche MS Copilot Studio-Agenten werden von großen Unternehmen eingesetzt, um Kundenbetreuungsanfragen zu bearbeiten, Supporttickets zu verarbeiten, auf interne CRM-Systeme zuzugreifen und vielfältige Geschäftsabläufe durchzuführen. Entdeckt Die Untersuchung des Unternehmens ergab eine vollständige Kette von Angriffen. , wo OSINT-Techniken verwendet wurden, um öffentlich exponierte Copilot Studio-Agenten zu mappen und zu identifizieren. , sorgfältig gestaltete Anrufe und E-Mails, um die Verarbeitungslogik des Agenten zu manipulieren. , da die Agenten ohne jegliche menschliche Interaktion entführt wurden - im Wesentlichen zu einer automatisierten Hintertür in Unternehmenssysteme. , wo Angreifer ganze CRM-Datenbanken wegwerfen und sensible interne Tools aufdecken konnten, alles durch Ausnutzung von Schwachstellen in Agent-Workflows, die keine richtigen Warteschlangen hatten. reconnaissance weaponization compromise exfiltration Die Sicherheit der Copilot Studio-Agenten scheiterte, weil sie sich zu stark auf weiche Grenzen stützte, d.h. zerbrechliche, oberflächliche Schutzmaßnahmen (d.h. Anweisungen an die KI, was sie tun sollte und was sie nicht tun sollte, ohne technische Kontrollen). Die Agenten wurden in ihren Anrufen aufgefordert, "nur legitimen Kunden zu helfen", aber solche Regeln waren leicht zu umgehen. Prompt-Schilde, die entworfen wurden, um bösartige Eingänge zu filtern, haben sich als unwirksam erwiesen, während Systemnachrichten, die "akzeptables Verhalten" beschreiben, wenig getan haben, um gestaltete Angriffe zu stoppen. Kritisch gesehen, es gab keine technische Validierung der Eingangsquellen, die die Agenten füttern, Diese und andere Zero-Click-Exploits von Enterprise AI-Agenten wurden auf der Black Hat USA 2025 demonstriert, wobei die Schlüsselfindung darin besteht, dass Je autonomer der KI-Agent ist, desto höher ist das Sicherheitsrisiko. . the more autonomous the AI agent, the higher the security risk Wenn sie unabhängig handeln, werden sie zu Angriffsflächen, von denen sich die meisten Organisationen nicht bewusst sind. Nach mehreren Quellen sind viele Enterprise-AI-Agenten anfällig für Sicherheits-Exploits. Zum Beispiel wurde die Einstein-Plattform von Salesforce einmal manipuliert, um Kundenkommunikation auf angreiferkontrollierte E-Mail-Konten umzuleiten. Googles Gemini könnte als Insider-Bedrohung ausgenutzt werden, die in der Lage ist, vertrauliche Gespräche abzuhalten und falsche Informationen zu verbreiten. Der Hackerangriff schaltete die Lichter aus, öffnete die Blinds und startete den Kessel - alles ohne Befehle von den Bewohnern. kontrollieren From AI Browsers to Enterprise Backdoors Von AI Browsern zu Enterprise Backdoors Ein neuer von Guardio stellt fest, dass AI-Browser wie Perplexity oder Sie sind anfällig für Betrug und versehentliche Offenlegung vertraulicher Daten, da sie noch nicht in der Lage sind, zwischen falschen und echten Websites und Links zu unterscheiden. Studien Kometen Tag In mehreren kontrollierten Tests, die von Guardio durchgeführt wurden, zeigten AI-Browsing-Agenten, wie leicht sie von betrügerischen Schemata manipuliert werden können - um echte Benutzer in Gefahr zu bringen. Das erste Experiment untersuchte, wie Agenten Online-Einkäufe tätigen. Ein Tester öffnete eine gefälschte Walmart-Website, und Comet lädt sie ohne Auslöser von Betrugswarnungen. Der Agent erfüllte die Aufgabe fehlerfrei - die Apple Watch zu kaufen. Ein weiterer Test konzentrierte sich auf die E-Mail-Funktionalität. Forscher schickten eine Phishing-E-Mail, die als eine Wells Fargo-Nachricht verschleiert war, die einen bösartigen Link enthielt. Comet interpretierte es als eine legitime Anfrage von der Bank und klickte sofort durch. Ein dritter Exploit unterstrich ein subtileres Risiko: versteckte Anrufe, die direkt in Websites eingebettet wurden.Diese unsichtbaren Anweisungen wurden vom KI-Agenten ohne das Wissen des Benutzers ausgeführt, wodurch Angreifer unerwünschte Aktionen wie das Herunterladen bösartiger Dateien oder das Leckieren vertraulicher Informationen erzwingen konnten. Die Forscher von Guardio weisen auf einen relevanten Trend hin: Entwickler von AI-Browsern priorisieren derzeit die Benutzererfahrung gegenüber robuster Sicherheit. developers of AI browsers currently prioritize user experience over robust security. In der Praxis bedeutet dies, dass die Sicherheitsmechanismen oft auf Tools von Drittanbietern wie Google Safe Browsing übertragen werden – Lösungen, die gegen moderne, KI-gesteuerte Bedrohungen oft unzureichend sind. How to Give Agentic AI a Security-First Mandate Wie man Agent AI ein Sicherheits-First-Mandat gibt Das Ergebnis ist klar: Systeme, die Live-Web-Inhalte interpretieren und handeln, müssen auf einer . "security-first" architecture and hard boundaries, i.e., actual technical controls that can't be bypassed through prompt manipulation Forscher dass Anleger, die achtstellige Summen in Agentur-Startups kanalisieren, nun einen gleichen Anteil an Ressourcen für die Sicherheit ausgeben müssen - , der und Finanzielle Injektionen in die Funktionalität allein sind nicht mehr ausreichend; Sicherheit muss zu einem grundlegenden Prinzip der Architektur werden. Stress threat modeling formal verification continuous stress testing Agentensysteme sollten isoliert funktionieren: Der Planer, der Ausführer und das Zertifizierungsmodul müssen als getrennte, gegenseitig vertrauenswürdige Prozesse existieren, die nur über signierte und großbegrenzte Nachrichten kommunizieren. Sicherheitsprüfungen sollten auch Teil der täglichen Engineering-Routine werden: Gegner-HTML-Injektionen und Jailbreak-Prompts sollten direkt in CI/CD-Pipelines eingebaut werden, wobei jede einzelne Fehlerblockierung freigegeben werden sollte. Gleichzeitig müssen Anbieter mehr als klassische Software Bills of Materials (SBOMs) bereitstellen.Sie sollten in der Lage sein, Risikokarten zu veröffentlichen, die deutlich anzeigen, welche Daten, Rollen und Berechtigungen ein Angreifer gewinnen würde, wenn der Agent kompromittiert wurde. , die Transparenz sowohl hinsichtlich der individuellen Risiken als auch hinsichtlich der breiteren gesellschaftlichen Auswirkungen fordert. Das Risikomanagement Framework (AI-RMF) Wie im Bankensektor werden unabhängige Red-Team-Bewertungen mit obligatorischer öffentlicher Offenlegung hochrangiger Ergebnisse zu einer Voraussetzung für das Vertrauen und die Ausrichtung auf internationale Praktiken in den USA und der EU. Andernfalls wird das Tempo der Agenten-AI-Annahme bald unsere Fähigkeit übertreffen, ihre Risiken zu verwalten.