Nach Informationen von VentureBeat hat ein Sicherheitsforscher eine kritische Lücke in der Sicherheit von KI-Agenten aufgedeckt: Diese wählen Tools aus gemeinsamen Registries basierend auf Textbeschreibungen – ohne dass Menschen überprüfen, ob diese Beschreibungen tatsächlich wahr sind. Das Problem geht über einfache Artefakt-Integrität hinaus: Angreifer können Prompt-Injections in Tool-Beschreibungen einschleusen oder Server-seitige Verhaltensänderungen durchführen, die klassische Code-Signing- und Supply-Chain-Kontrollen nicht erkennen. Der Forscher hat das Problem als zwei separate Vulnerabilities klassifiziert – eine auf Auswahl-Zeit (Tool-Impersonation), eine auf Ausführungs-Zeit (Verhaltensabweichung).
Das zeigt eine fundamental neue Angriffsebene: Während traditionelle Supply-Chain-Defenses (SLSA, Sigstore, SBOMs) die Authentizität von Code prüfen, können sie nicht überprüfen, ob ein Tool sich *verhält* wie beschrieben. Für autonome Agenten, die Tausende spezialisierte Tools kombinieren, ist das ein erhebliches Risiko – besonders in Enterprise-Szenarien mit geschäftskritischen Daten.