Agent Data Injection: Neue Angriffskategorie umgeht Schutzmaßnahmen für KI-Agenten
Forscher der Seoul National University sowie der Universitäten Indiana und Wisconsin führen Agent Data Injection (ADI) ein — einen neuen Angriffstyp, der bösartige Daten in vertrauenswürdige Datenstrukturen von Agenten einschleust, beliebige Click-Angriffe und Remote-Code-Execution auf Claude Code, Codex und Gemini CLI erzielt und dabei bestehende Schutzmaßnahmen umgeht.
Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.
Die Sicherheitsforschung zu KI-Agenten hat sich bisher überwiegend auf eine Klasse von Angriffen konzentriert: Instruction-Injection, bei dem ein Angreifer gefälschte Anweisungen in nicht vertrauenswürdige Daten einschleust, die der Agent verarbeitet, und versucht, den Agenten dazu zu bringen, sie als legitime Nutzerbefehle zu behandeln. Die Community hat eine Reihe von Schutzmaßnahmen entwickelt, die solche Versuche erkennen und blockieren sollen. Doch Forscher der Seoul National University sowie der Universitäten Indiana und Wisconsin dokumentieren in einem am 6. Juli 2026 veröffentlichten Paper eine Klasse von Angriffen, die diese Schutzmaßnahmen buchstäblich umgeht — und auf einem ganz anderen Prinzip basiert.
Was ist Agent Data Injection und warum war es bisher unsichtbar?
Agent Data Injection (ADI) zielt nicht auf Prompts ab. Stattdessen wird bösartiger Inhalt in Strukturen eingeschleust, die Agenten als vertrauenswürdige Daten behandeln — Metadaten wie Ressourcen-Identifier und Datenquellen oder Formate für Tool-Responses und Tool-Call-Strukturen. Agenten überprüfen diese Strukturen nicht mit derselben Skepsis, mit der sie an nicht vertrauenswürdigen Text herangehen sollten.
Der Unterschied ist fundamental. Instruction-Injection versucht, den Angriff in natürlicher Sprache zu tarnen — der Angreifer schreibt Text, der wie eine legitime Anweisung aussieht. ADI tut das nicht: Der Angriff ist in strukturierten Daten kodiert, für die der Agent annimmt, dass sie Teil des normalen Arbeitsprotokoll sind. Bestehende Schutzmaßnahmen suchten nach instruktionalem Inhalt an Stellen, wo er nicht sein sollte; ADI ändert seine Form und seinen Ort.
Drei Angriffsklassen: Von beliebigen Klicks bis zur Supply-Chain-Kompromittierung
Die Forscher identifizieren drei separate ADI-Angriffsklassen, jede mit unterschiedlichen Zielen und Mechanismen:
Beliebige Click-Angriffe zielen auf Web-Agenten ab, die autonom Benutzeroberflächen navigieren und Aktionen im Namen des Nutzers ausführen. In Web-Inhalten eingebettete bösartige Metadaten — wie gefälschte Element-Identifier oder manipulierte Browser-API-Antworten — veranlassen den Agenten, auf nicht autorisierte Elemente zu klicken, was potenziell Käufe auslöst, Transaktionen bestätigt oder sensible Daten preisgibt.
Remote-Code-Execution-Angriffe (RCE) zielen auf Coding-Agenten ab, die Code schreiben, analysieren und ausführen. ADI manipuliert Tool-Call-Response-Formate — Informationen, die der Agent von Tools wie Dateisystem oder Debugger zurückerhält — damit der Agent den Code des Angreifers in der Umgebung des Nutzers ausführt.
Supply-Chain-Angriffe nutzen denselben Mechanismus zur Kompromittierung von Entwicklungsprozessen: Der Angreifer schleust bösartigen Code unter dem Anschein legitimer Paket-, Bibliotheks- oder Entwicklungsabhängigkeitsdaten ein, die der Coding-Agent abruft und integriert.
Anfällige kommerzielle Agenten: Claude Code, Codex und Gemini CLI
Die Forscher demonstrierten die Angriffe nicht nur an experimentellen Systemen — sie testeten echte kommerzielle Produkte, die Nutzern zur Verfügung stehen:
Für beliebige Click-Angriffe: Claude in Chrome, Antigravity und Nanobrowser zeigten Anfälligkeit gegenüber bösartigen Metadaten, die in Web-Inhalte eingebettet sind, die Agenten verarbeiten.
Für RCE und Supply-Chain-Angriffe: Claude Code, Codex und Gemini CLI — drei führende Coding-Agenten auf dem Markt — zeigten Anfälligkeit gegenüber der Manipulation von Tool-Response-Formaten.
Die Breite der betroffenen Systeme ist kein Zufall: Wie die Autoren betonen, zielt ADI auf einen grundlegenden Design-Fehler ab, der allen diesen Agenten gemeinsam ist, nicht auf einen spezifischen Implementierungsfehler eines einzelnen.
Grundlegender Sicherheitsfehler im Agenten-Design
Die Grundursache, die die Autoren identifizieren, ist klar: Aktuelle Agenten isolieren vertrauenswürdige Daten nicht von nicht vertrauenswürdigen. Das ist kein Randfall der Implementierung — es ist ein fundamentales Sicherheitsprinzip, das im Design moderner Agentensysteme konsequent vernachlässigt wird.
Der Vergleich mit Software-Engineering ist nützlich: SQL-Injection-Angriffe haben jahrzehntelang ausgenutzt, dass Anwendungen SQL-Code nicht von Nutzerdaten trennten. Die Lösung (parametrisierte Abfragen, Prepared Statements) erforderte architektonische, nicht nur filterbezogene Änderungen. Die Autoren schlagen analoges Denken für ADI vor: Es reicht nicht, einen Filter hinzuzufügen, der nach instruktionalem Inhalt in Daten sucht. Es ist architektonische Isolation auf der Ebene der Agenten-Runtime erforderlich.
ADI umgeht bestehende Injection-Schutzmaßnahmen, weil diese Schutzmaßnahmen davon ausgehen, dass der Angriff in Form von Anweisungen kommt — nicht in Form strukturierter Daten, die legitim aussehen. Solange Agenten allen strukturierten Daten ohne Überprüfung von Quelle und Integrität vertrauen, bleibt diese Lücke offen.
Das Paper umfasst 19 Seiten, 19 Abbildungen und 7 Tabellen und ist auf arXiv verfügbar (2607.05120). Autoren sind Woohyuk Choi, Juhee Kim, Taehyun Kang, Jihyeon Jeong, Luyi Xing und Byoungyoung Lee.
Häufig gestellte Fragen
- Wodurch unterscheidet sich ADI von bekannten Instruction-Injection-Angriffen?
- Instruction-Injection manipuliert natürlichsprachliche Prompts, damit der Agent unauthorisierte Anweisungen erhält. ADI schleust bösartige Daten ein, die als vertrauenswürdige Datenstrukturen getarnt sind — Metadaten, Ressourcen-Identifier oder Tool-Response-Formate — und nutzt dabei den Vertrauensmechanismus des Agenten für strukturierte Daten, nicht den Prompt selbst.
- Welche realen kommerziellen Agenten waren anfällig für ADI-Angriffe?
- Die Forscher demonstrierten beliebige Click-Angriffe auf Claude in Chrome, Antigravity und Nanobrowser sowie Remote-Code-Execution und Supply-Chain-Angriffe auf Claude Code, Codex und Gemini CLI — alles reale kommerzielle Produkte, die zum Zeitpunkt der Forschung für Nutzer verfügbar waren.
- Was ist die Grundursache der ADI-Schwachstelle und wie lässt sie sich beheben?
- Die Grundursache ist fehlende Isolation von vertrauenswürdigen und nicht vertrauenswürdigen Daten in der Agentenarchitektur. Die Autoren betonen, dass dies ein fundamentales Sicherheitsprinzip ist, das aktuelle Agenten nicht anwenden, und dessen Behebung Änderungen auf Architekturebene erfordert, nicht nur zusätzliche Filter.