Wenn gute Tools schlecht werden: KI-Tool-Poisoning und wie Sie verhindern können, dass Ihre KI als Doppelagent agiert

KI-gestützte Entwicklung (oder, die trendigere Version, „Vibe Coding“) hat einen enormen, transformativen Effekt auf die Codeerstellung. Etablierte Entwickler setzen diese Tools in Scharen ein, und diejenigen unter uns, die schon immer ihre eigene Software entwickeln wollten, aber nicht über die entsprechende Erfahrung verfügten, nutzen sie auch, um Ressourcen zu entwickeln, die zuvor kosten- und zeitaufwändig gewesen wären. Diese Technologie verspricht zwar, eine neue Ära der Innovation einzuleiten, bringt aber auch eine Reihe neuer Sicherheitslücken und Risikoprofile mit sich, die Sicherheitsverantwortliche nur schwer abwehren können.
EIN jüngste Entdeckung von InvariantLabs deckte eine kritische Sicherheitslücke im Model Context Protocol (MCP) auf, einem API-ähnlichen Framework, das es leistungsstarken KI-Tools ermöglicht, autonom mit anderer Software und Datenbanken zu interagieren. Dies ermöglicht sogenannte „Tool Poisoning Attacks“, eine neue Schwachstellenkategorie, die sich im Unternehmen als besonders schädlich erweisen könnte. Große KI-Tools wie Windsurf und Cursor sind nicht davor gefeit, und bei vielen Millionen von Benutzern sind das Bewusstsein und die Fähigkeiten zur Bewältigung dieses aufkommenden Sicherheitsproblems von größter Bedeutung.
So wie es aussieht, ist die Leistung dieser Tools nicht durchweg sicher genug, um sie als unternehmenstauglich zu kennzeichnen, wie in einem aktuelle Forschungsarbeit von den Sicherheitsforschern von AWS und Intuit, Vineeth Sai Narajala und Idan Habler:“Da KI-Systeme immer autonomer werden und über Dinge wie MCP direkt mit externen Tools und Echtzeitdaten interagieren, wird es absolut notwendig, sicherzustellen, dass diese Interaktionen sicher sind..“
Agentische KI-Systeme und das Risikoprofil des Model Context Protocol
Das Model Context Protocol ist eine praktische Software gebaut von Anthropic das ermöglicht eine bessere, nahtlosere Integration zwischen Large Language Model (LLM) KI-Agenten und anderen Tools. Dies ist ein leistungsstarker Anwendungsfall, der eine Welt voller Möglichkeiten zwischen proprietären Anwendungen und geschäftskritischen SaaS-Tools wie GitHub eröffnet, die mit modernsten KI-Lösungen interagieren. Schreiben Sie einfach einen MCP-Server und machen Sie sich an die Aufgabe, die Richtlinien dafür festzulegen, wie und zu welchem Zweck er funktionieren soll.
Die Auswirkungen der MCP-Technologie auf die Sicherheit sind in der Tat überwiegend positiv. Das Versprechen einer einfacheren Integration zwischen LLMs und dem von Sicherheitsexperten verwendeten Tech-Stack ist zu verlockend, um es zu ignorieren. Es stellt die Möglichkeit einer präzisen Automatisierung von Sicherheitsaufgaben auf einem Niveau dar, das zuvor nicht möglich war, zumindest nicht ohne das Schreiben und Bereitstellen von benutzerdefiniertem Code, normalerweise für jede Aufgabe. Die verbesserte Interoperabilität von LLMs, die MCP bietet, ist eine spannende Perspektive für die Unternehmenssicherheit, da weitreichende Transparenz und Konnektivität zwischen Daten, Tools und Personal von grundlegender Bedeutung für eine effektive Sicherheitsabwehr und -planung sind.
Der Einsatz von MCP kann jedoch andere mögliche Bedrohungsvektoren mit sich bringen und die Angriffsfläche des Unternehmens erheblich erweitern, sofern nicht sorgfältig gemanagt wird. Wie vermerkt von Invariante Labore, Tool Poisoning Attacks stellen eine neue Schwachstellenkategorie dar, die zur Exfiltration sensibler Daten und zu unbefugten Aktionen durch KI-Modelle führen kann. Von da an werden die Auswirkungen auf die Sicherheit sehr schnell sehr dunkel.
InvariantLabs weist darauf hin, dass ein Tool Poisoning Attack möglich ist, wenn böswillige Anweisungen in MCP-Toolbeschreibungen eingebettet sind, die für Benutzer nicht sichtbar, aber von KI-Modellen vollständig lesbar (und ausführbar) sind. Dadurch wird das Tool dazu verleitet, unbefugte schädliche Aktionen auszuführen, ohne dass der Benutzer davon Kenntnis hat. Das Problem liegt in der Annahme des MCP, dass allen Toolbeschreibungen vertraut werden kann. Das ist Musik in den Ohren eines Bedrohungsakteurs.
Sie stellen die folgenden möglichen Folgen eines kompromittierten Tools fest:
- KI-Modelle anweisen, auf vertrauliche Dateien zuzugreifen (wie SSH-Schlüssel, Konfigurationsdateien, Datenbanken usw.);
- Die KI anweisen, diese Daten zu extrahieren und zu übertragen, und zwar in einer Umgebung, in der diese böswilligen Aktionen von Natur aus vor dem ahnungslosen Benutzer verborgen sind;
- Stellen Sie eine Trennung zwischen dem, was der Benutzer sieht, und den Aktionen des KI-Modells her, indem Sie sich hinter täuschend einfachen Benutzeroberflächendarstellungen von Werkzeugumenten und -ausgaben verstecken.
Dies ist eine besorgniserregende, neue Schwachstellenkategorie, und eine, die wir mit ziemlicher Sicherheit häufiger sehen werden, da die unvermeidliche Zunahme der MCP-Nutzung anhält. Angesichts der Weiterentwicklung der Sicherheitsprogramme für Unternehmen wird das Unternehmen sorgfältige Maßnahmen ergreifen, um diese Bedrohung zu erkennen und abzuwehren. Daher ist es von entscheidender Bedeutung, die Entwickler angemessen darauf vorzubereiten, Teil der Lösung zu sein.
Warum nur sicherheitserfahrene Entwickler agentische KI-Tools nutzen sollten
Die KI-Codierungstools von Agentic gelten als die nächste Entwicklung der KI-gestützten Codierung und tragen zu ihrer Fähigkeit bei, mehr Effizienz, Produktivität und Flexibilität bei der Softwareentwicklung zu bieten. Ihre verbesserte Fähigkeit, Kontext und Absicht zu verstehen, macht sie besonders nützlich, aber sie sind nicht immun gegen Bedrohungen wie schnelle Injektion, Halluzination oder Verhaltensmanipulation durch Angreifer.
Entwickler sind die Verteidigungslinie zwischen guten und schlechten Code-Commits, und es wird in der Zukunft der sicheren Softwareentwicklung von grundlegender Bedeutung sein, sowohl die Fähigkeiten im Bereich Sicherheit als auch kritisches Denken auf dem neuesten Stand zu halten.
KI-Ergebnisse sollten niemals mit blindem Vertrauen implementiert werden, und es sind sicherheitserfahrene Entwickler, die kontextuelles, kritisches Denken anwenden, die die Produktivitätsgewinne dieser Technologie sicher nutzen können. Dennoch muss es sich um eine Art Paar-Programmierumgebung handeln, in der der menschliche Experte in der Lage ist, die vom Tool geleistete Arbeit zu beurteilen, zu bedrohen und letztendlich zu genehmigen.
Erfahre mehr darüber, wie Entwickler ihre Fähigkeiten mit KI verbessern und ihre Produktivität steigern können hier.
Praktische Techniken zur Schadensbegrenzung und weitere Informationen in unserem neuesten Forschungspapier
KI-Codierungstools und MCP-Technologie werden ein wichtiger Faktor für die Zukunft der Cybersicherheit sein, aber es ist wichtig, dass wir nicht eintauchen, bevor wir das Wasser abgesucht haben.
Narajala und Habler's Papier beschreibt umfassende Strategien zur Risikominderung für die Implementierung von MCP auf Unternehmensebene und das kontinuierliche Management der damit verbundenen Risiken. Letztlich dreht es sich um tiefgreifende Abwehr- und Zero-Trust-Prinzipien, die ausdrücklich auf das einzigartige Risikoprofil abzielen, das dieses neue Ökosystem für ein Unternehmensumfeld mit sich bringt. Speziell für Entwickler ist es wichtig, Wissenslücken in den folgenden Bereichen zu schließen:
- Authentifizierung und Zugriffskontrolle: Agentische KI-Tools lösen Probleme und treffen autonome Entscheidungen, um die für sie festgelegten Ziele zu erreichen, ähnlich wie ein Mensch technische Aufgaben angehen würde. Wie wir jedoch festgestellt haben, kann die fachkundige menschliche Überwachung dieser Prozesse nicht ignoriert werden, und Entwickler, die diese Tools in ihren Arbeitsabläufen verwenden, müssen genau verstehen, welchen Zugriff sie haben, welche Daten sie abrufen oder möglicherweise verfügbar machen und wo sie geteilt werden könnten.
- Allgemeine Bedrohungserkennung und Abwehr: Wie bei den meisten KI-Prozessen muss der Benutzer die Aufgabe selbst beherrschen, um potenzielle Fehler und Ungenauigkeiten in der Ausgabe des Tools zu erkennen. Entwickler müssen kontinuierlich geschult und ihre Fähigkeiten überprüft werden, um die Sicherheitsprozesse effektiv überprüfen zu können und überprüfen Sie KI-generierten Code mit Sicherheitsgenauigkeit und Autorität.
- Abstimmung mit Sicherheitspolitik und KI-Governance: Entwickler sollten auf zugelassene Tools aufmerksam gemacht werden und ihnen die Möglichkeit gegeben werden, sich weiterzubilden und Zugang zu ihnen zu erhalten. Sowohl der Entwickler als auch das Tool sollten einem Sicherheits-Benchmarking unterzogen werden, bevor Commits als vertrauenswürdig eingestuft werden.
Wir haben kürzlich eine veröffentlicht Forschungspapier über das Aufkommen von Vibe-Coding und KI-gestützter Codierung und die Maßnahmen, die Unternehmen ergreifen müssen, um die nächste Generation von KI-gestützten Softwareingenieuren weiterzubilden. Probieren Sie es aus und setzen Sie sich noch heute mit uns in Verbindung, um Ihre Entwicklungskohorte zu stärken.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
.webp)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

