Agentic AI ohne Blindflug: Warum der neue CISA-Leitfaden KI-Agenten zum Design-Thema macht
## Praxisproblem: KI-Agenten bekommen Rechte, bevor Security-Teams Kontrolle haben
·
5 min read
AI Security News
Aktuelle Bedrohungen, Schwachstellen und Abwehrstrategien im KI-Umfeld.
Vercel-Breach: Wie ein KI-Tool zur Eintrittskarte für den größten Supply-Chain-Angriff des Jahres wurde
Ein kompromittiertes KI-Entwicklertool wurde zum Angriffsvektor auf Vercels Cloud-Plattform. Die Anatomie eines Supply-Chain-Breachs, der das gesamte Frontend-Ökosystem betrifft.
·
4 min read
CVE-2026-33032: Wenn KI-Protokolle zur Backdoor werden — der nginx-ui MCP-Hack
--- title: "CVE-2026-33032: Wenn KI-Protokolle zur Backdoor werden — der nginx-ui MCP-Hack" slug: cve-2026-33032-nginx-ui-mcp-sicherheitsluecke tags: [Cybersecurity, Vulnerability, AI, MCP, nginx, Open Source Security] excerpt: "Ein fehlendes Authentifizierungscheck in der MCP-Integration von nginx-
·
3 min read
Wenn Hugging Face zur Waffe wird: CVE-2026-39987 und der Blockchain-Backdoor im KI-Labor
*Datum: 18. April 2026*
·
5 min read
Die Mutter aller KI-Supply-Chain-Angriffe: Wie ein Designfehler im MCP-Protokoll 200.000 Server gefährdete
**Ein einziger Architekturentscheid in Anthropics Model Context Protocol hat die gesamte KI-Agenten-Infrastruktur zur Angriffsfläche gemacht — 150 Millionen Downloads, über 30 Schwachstellen-Disclosures, zehn kritische CVEs. Und Anthropic nannte es „Expected Behavior".**
·
4 min read
Comment-and-Control: Die neue Prompt-Injection-Klasse, die KI-Agenten zu Credential-Dieben macht
--- title: "Comment-and-Control: Die neue Prompt-Injection-Klasse, die KI-Agenten zu Credential-Dieben macht" slug: comment-and-control-prompt-injection-ki-agenten-credential-theft-2026 tags: ["AI Security", "Prompt Injection", "KI-Agenten", "Cybersecurity", "Investoren"] status: draft ---
·
4 min read
GPT-5.4-Cyber: OpenAIs Einstieg in den Verteidigungsmarkt — und was das für Security-Investoren bedeutet
--- title: "GPT-5.4-Cyber: OpenAIs Einstieg in den Verteidigungsmarkt — und was das für Security-Investoren bedeutet" slug: gpt-54-cyber-openai-cybersecurity-markt tags: ["AI Security", "OpenAI", "GPT-5.4-Cyber", "Cybersecurity", "Investoren", "TAC"] excerpt: "OpenAI hat gestern GPT-5.4-Cyber gelaun
·
3 min read
Claude Mythos, KI-Agenten und warum Cybersecurity jetzt die Kaufchance des Jahres ist
Die Nachricht klingt paradox: Anthropic hat ein KI-Modell entwickelt, das so mächtig ist, dass es nicht öffentlich veröffentlicht werden kann. **Claude Mythos** — das bislang fortschrittlichste Sprachmodell für Cybersecurity-Aufgaben — identifiziert Tausende unbekannte Sicherheitslücken in Wochen, w
·
3 min read
Vier Monate unentdeckt: Adobe Acrobat Zero-Day CVE-2026-34621
Ein kritischer Zero-Day in Adobe Acrobat Reader war vier Monate im aktiven Einsatz. CVE-2026-34621 nutzt Prototype Pollution im JavaScript-Engine für Code-Ausführung via präparierter PDFs.
·
5 min read
Sockpuppeting: Eine Zeile Code hebelt die Sicherheit von 11 KI-Modellen aus
**Ein neues Paper enthüllt eine erschreckend simple Jailbreak-Technik: Ohne Optimierung, ohne Modellzugriff, ohne Expertenwissen. Nur eine einzelne API-Zeile reicht, um ChatGPT, Claude und Gemini zur Generierung von Schadcode zu bewegen.**
·
5 min read
Ein Angreifer. Zwei KI-Abos. Neun Behörden. 195 Millionen gestohlene Datensätze.
**Der Gambit-Security-Report vom 10. April 2026 dokumentiert den ersten vollständig rekonstruierten Fall, in dem ein einzelner Bedrohungsakteur kommerzielle KI-Plattformen als operativen Kern eines staatlichen Cyberangriffs einsetzte. Die Konsequenzen für Sicherheitsverantwortliche weltweit sind gra
·
4 min read
Project Glasswing: Anthropics KI-Modell findet Tausende Zero-Days — und bleibt unter Verschluss
**Ein KI-Modell, das autonom Sicherheitslücken in jedem Betriebssystem und jedem Browser gefunden hat. Zu gefährlich für die Öffentlichkeit. Genau deshalb existiert Project Glasswing.**
·
4 min read