Sicherheit
Prompt Injection gegen Coding-Agenten
Zuletzt aktualisiert: 2026-07-02Lesezeit ca. 5 Min.
Prompt Injection gegen Coding-Agenten ist der Angriff, bei dem ein Agent angreifer-kontrollierten Text liest – ein vergiftetes README, Issue, Kommentar oder eine Dependency – und die eingebetteten Anweisungen ausführt. Es ist OWASPs LLM-Risiko Nr. 1, mit 2026er-CVEs gegen Copilot (bewertet mit 9,6), Claude-Code-Hooks und MCP-Server – und die nüchterne Sicht ist, dass es strukturell statt patchbar sein könnte. Die Verteidigung ist deshalb Containment, keine Heilung: Least Privilege, Sandboxing und ein menschliches Gate deckeln, was eine gelungene Injection erreichen kann.
Inhalt
Der Angriff: eure Codebasis als Injection-Vektor
Die Stärke eines Coding-Agenten ist, dass er breit liest – Dateien, Issues, Dependency-Docs, abgerufene Webseiten – und nach dem handelt, was er liest. Prompt Injection macht das zur Angriffsfläche: Der Agent kann „zu verarbeitenden Text“ nicht zuverlässig von „zu befolgenden Anweisungen“ trennen, wenn beide ein Kontextfenster teilen – angreifer-kontrollierter Text, eingebettet in irgendetwas, das der Agent einliest, kann zum Befehl werden. Der Angreifer braucht keinen Zugriff auf eure Systeme – nur Einfluss auf etwas, das euer Agent liest, was in einer Open-Source- oder Multi-Tenant-Welt eine niedrige Hürde ist. OWASP führt es auf Platz 1 der LLM-Anwendungsrisiken, und Coding-Agenten dominieren die Produktions-Vorfalls-Daten.
Die dokumentierten 2026er-Vorfälle
| Ziel | CVE / Notiz | Was die Input-Kontrolle erreichte |
|---|---|---|
| GitHub Copilot | CVE-2025-53773 (CVSS 9,6) | Versteckte Injection in einer PR-Beschreibung → Remote Code Execution |
| Claude-Code-Hooks | CVE-2025-59536 | Bösartiger Hook in einer Settings-Datei → Code-Ausführung beim Projekt-Öffnen |
| Anthropic Git-MCP-Server | CVE-2025-68143 / 68144 / 68145 | Vergiftetes README/Issue → Ausführung oder Datenabfluss |
| MCP-Lieferkette | Erster bösartiger MCP-Server in freier Wildbahn | 15 saubere Releases, dann eine stille Exfiltrations-Zeile ergänzt |
Nüchtern berichtet sind das die eigenen Tools und Protokolle der Anbieter – gepatcht, sobald gefunden, was richtig und unzureichend ist. Das Muster, das jeden Patch überlebt, ist das zu verinnerlichende: Einfluss auf Input, nicht Zugriff auf Systeme, ist die Voraussetzung. Deshalb behandeln ernsthafte Analysten Prompt Injection als möglicherweise dauerhaft statt als Bug, der auf einen Fix wartet.
Warum Anweisungen nicht verteidigen und Containment schon
Die verlockende Verteidigung – dem Agenten sagen, er solle injizierte Anweisungen ignorieren – ist dieselbe probabilistische Beschränkung, die im No-Auto-Commit-Argument versagt: Sie hebt die Latte und ist nicht verlässlich, denn eine hinreichend clevere Injection ist einfach überzeugenderer Text. Die Verteidigung, die hält, wenn das Modell getäuscht ist, ist deterministisches Containment:
- Least-Privilege-Agenten. Gescope-te Credentials, kein stehender Produktions- oder Secret-Zugriff – eine Injection kann nicht exfiltrieren, was der Agent ohnehin nicht erreichen konnte.
- Sandboxed Ausführung. Agenten-Aktionen laufen in einer Wegwerf-Umgebung; eine gelungene Injection erreicht die Sandbox, nicht die Kronjuwelen.
- Ein menschliches Gate vor geteiltem Zustand. Nichts, was ein injizierter Agent produziert, erreicht einen geschützten Branch oder Produktion ohne einen Menschen, der entscheidet.
- Alle vom Agenten gelesenen Inhalte sind nicht vertrauter Input. READMEs, Issues, Tool-Output, MCP-Antworten – geprüft und least-privileged wie die Dependencies, die sie sind.
MCP: mehr Fähigkeit, mehr Eingabekanäle
Model Context Protocol macht Agenten fähiger, indem es ihnen Tools und Datenquellen gibt – und jede ist ein Eingabekanal plus eine Fähigkeit, genau die zwei Zutaten, die eine Injection braucht. Der erste bösartige MCP-Server in freier Wildbahn 2026 und die CVEs in offiziellen Servern machen die Behandlung konkret: MCP-Server wie Dependencies prüfen (das sind sie), ihre Versionen pinnen, jedem Least Privilege geben und ihren Output als nicht vertraut behandeln – dieselbe Lieferketten-Haltung, die Slopsquatting für Pakete verlangt, auf Tools angewandt.
Wo Reality Graph ansetzt
Reality Graph verhindert Prompt Injection nicht – nichts tut das verlässlich, das ist der ehrliche Ausgangspunkt. Was es beiträgt, ist eine Schicht des Containments: Verifikation gegen den schriftlichen Auftrag heißt, die Abweichung eines injizierten Agenten – eine angefasste Datei außerhalb des Auftrags, eine unbestellte Dependency, der Output eines unerwarteten Befehls – taucht als Befund im Prüfbericht auf, vor dem menschlichen Gate, und Advisory-by-default heißt, der Agent schlägt vor statt anzuwenden. Es ist eine Wand der Sandbox, nicht die Heilung – denn es gibt keine Heilung zu sein.
Diese Analyse gibt euch
- Die Angriffs-Mechanik: Einfluss auf Input, nicht System-Zugriff
- Die 2026er-CVEs, belegt, mit ihrem roten Faden
- Warum Containment die anweisungsbasierte Verteidigung schlägt
- Die MCP-Fläche als Lieferkette behandelt
Sie gibt euch nicht
- Eine Prompt-Injection-Heilung – die Klasse könnte strukturell sein
- Die Behauptung, irgendein Tool sei injection-sicher, Reality Graph eingeschlossen
- Einen Ersatz für Least Privilege und Sandboxing – es tritt ihnen bei
- Anbieter-Schuldzuweisung – es waren die eigenen Tools der Großen, gepatcht sobald gefunden
Wenn diese Grenzen zu eurem Team passen:
FAQ
- Wie können Coding-Agenten über die Codebasis angegriffen werden?
- Über Prompt Injection: Ein Agent liest angreifer-kontrollierten Text – ein vergiftetes README, eine Issue-Beschreibung, einen Code-Kommentar, die Doku einer Dependency, eine abgerufene Webseite – und behandelt eingebettete Anweisungen als Befehle. Weil der Agent „zu verarbeitenden Inhalt“ nicht zuverlässig von „zu befolgenden Anweisungen“ trennen kann, kann das Lesen bösartiger Eingaben Code-Ausführung oder Datenabfluss auslösen. Es ist OWASPs LLM-Risiko Nr. 1 für 2025, und 2026 brachte konkrete CVEs gegen große Tools.
- Ist Prompt Injection ein Bug, der gepatcht wird, oder etwas Tieferes?
- Die nüchterne Security-Sicht 2026 ist, dass es strukturell statt ein patchbarer Bug sein könnte: Es entsteht aus derselben Eigenschaft, die LLMs nützlich macht – Anweisungen in natürlicher Sprache zu befolgen –, und es gibt keine saubere Grenze zwischen vertrautem und nicht vertrautem Text in einem einzigen Kontextfenster. Konkrete Injection-Pfade werden gepatcht (und sollten es), aber die Klasse kommt wieder. Diese Einschätzung ist der Grund, warum ernsthafte Verteidigung architektonisches Containment ist, kein versprochener Fix.
- Welche realen Vorfälle gab es?
- Mehrere 2026 dokumentiert. CVE-2025-53773: versteckte Prompt Injection in Pull-Request-Beschreibungen ermöglichte Remote Code Execution über GitHub Copilot, bewertet mit 9,6. CVE-2025-59536: ein bösartiger Hook, injiziert in eine Claude-Code-Settings-Datei, erlangte Code-Ausführung, als ein Entwickler das Projekt öffnete. Und drei CVEs (CVE-2025-68143/68144/68145) in Anthropics eigenem Git-MCP-Server, wo Einfluss darauf, was der Assistent liest – ein vergiftetes README oder Issue –, Ausführung oder Exfiltration auslöste. Das Muster über alle: Der Angreifer muss nur kontrollieren, was der Agent liest.
- Schützen Anweisungen wie „ignoriere bösartige Befehle“ den Agenten?
- Nein – und das ist dieselbe Lehre wie No-Auto-Commit. Einem Modell zu sagen, es solle Injection widerstehen, ist eine probabilistische Beschränkung, die raffinierte Angriffe umleiten; sie hilft, ist aber nicht verlässlich. Die Verteidigung, die hält, wenn das Modell getäuscht ist, ist deterministisch: Ein Agent, dessen Credentials Produktion nicht erreichen, dessen Aktionen vor geteiltem Zustand Freigabe brauchen und dessen Ausführung sandboxed ist, lässt sich nicht zu Schaden überreden, für den er keine Berechtigung hat.
- Wie verändert MCP die Angriffsfläche?
- Es vergrößert sie: Model-Context-Protocol-Server geben Agenten Tools und Datenquellen – jede ein Eingabekanal und eine Fähigkeit. 2026 brachte den ersten bösartigen MCP-Server in freier Wildbahn (fünfzehn saubere Releases, dann eine Exfiltrations-Zeile) und Injection-CVEs in offiziellen MCP-Servern. Die Verteidigungen sind Lieferketten-Verteidigungen, auf Tools angewandt: MCP-Server wie Dependencies prüfen, Versionen pinnen, Least Privilege gewähren und Tool-Output als nicht vertraute Eingabe behandeln – dieselbe Haltung wie für Code.
- Was ist die realistische Verteidigungs-Haltung?
- Containment vor Heilung, in Schichten: Least-Privilege-Agenten (gescope-te Credentials, kein stehender Produktionszugriff), sandboxed Ausführung, ein menschliches Gate vor geteiltem Zustand und alle vom Agenten gelesenen Inhalte als nicht vertraut behandeln. Nichts davon verhindert, dass die Injection innerhalb der Sandbox gelingt; zusammen deckeln sie, was eine gelungene Injection erreichen kann. Wenn Prompt Injection möglicherweise dauerhaft ist, ist das Deckeln des Wirkradius die Strategie, die nicht davon abhängt, dass das Modell eine Debatte gewinnt.
Weiterlesen
Quellen
- OWASP – Top 10 for LLM Applications: Prompt Injection auf Platz 1 (2025, englisch)
- Help Net Security – Prompt Injection treibt die meisten agentischen KI-Security-Fehler in Produktion; Coding-Agenten dominieren die Vorfalls-Daten (2026, englisch)
- TechTimes – KI-Agenten-Sicherheit: Prompt Injection könnte ein dauerhafter Fehler sein, kein patchbarer Bug (2026, Sekundärquelle, englisch)
- Cyberdesserts – KI-Agenten-Sicherheitsrisiken: MCP-Lieferkette, bösartiger MCP-Server in freier Wildbahn, Coding-Agent-CVEs (2026, Sekundärquelle, englisch)