Ein Entwickler öffnet ein GitHub-Issue. Routinearbeit. Er weist es dem integrierten KI-Agenten zu — und bemerkt nicht, was in einem unsichtbaren HTML-Kommentar steckt. Sekunden später sind API-Keys, GitHub-Access-Tokens und Repository-Secrets exfiltriert. Über GitHub selbst. Ohne externe Infrastruktur. Keine Malware, kein klassischer Exploit. Nur ein Prompt.
Was Forscher der Johns Hopkins University als "Comment-and-Control" beschreiben, ist kein Labor-Szenario. Es ist passiert — und alle drei betroffenen Anbieter haben Bugbounties gezahlt, ohne die Öffentlichkeit zu informieren.
Technische Details: Ein neuer Angriffsvektor
Klassisches Prompt-Injection ist reaktiv: Eine Payload landet auf einer Webseite oder in einem Dokument, und der Angreifer wartet, bis ein KI-Agent sie auf Nutzeranfrage verarbeitet. Comment-and-Control funktioniert anders — proaktiv und ohne Nutzerinteraktion.
Aonan Guan von der Johns Hopkins University hat das Angriffsmuster an drei der weltweit meistgenutzten KI-Coding-Agenten demonstriert:
- *Claude Code Security Review (Anthropic):** Der Agent analysiert Pull Requests auf Sicherheitslücken. Guan injizierte bösartige Instruktionen in den PR-Titel — das Feld, das der Agent als operativen Kontext einliest. Claude führte die eingebetteten Bash-Befehle aus und veröffentlichte die gestohlenen Credentials direkt im Review-Kommentar. Schweregrad laut Anthropics eigener Einstufung: CVSS 9.4. Bounty: 100 US-Dollar.
- *Gemini CLI Action (Google):** Ähnlicher Angriffsweg, zweistufige Eskalation. Eine initiale Injection im Issue-Titel, gefolgt von Kommentaren mit gefälschten "Trusted Content Sections", die Geminis Sicherheitsinstruktionen überschrieben. Der Gemini-API-Key landete als Issue-Kommentar. Bounty: 1.337 US-Dollar.
- *GitHub Copilot Agent (Microsoft):** Der aufwändigste Fall. Copilot verfügt über drei Runtime-Sicherheitsschichten — Environment Filtering, Secret Scanning und Network Firewall. Guan hat alle drei umgangen. Die Payload versteckt sich in einem HTML-Kommentar, den GitHubs Markdown-Rendering unsichtbar macht. Ein menschlicher Reviewer sieht nichts, weist das Issue zu — und Copilot führt die versteckten Instruktionen aus. Bounty: 500 US-Dollar.
Gemeinsamer Nenner aller drei Angriffe: GitHub Actions-Workflows feuern automatisch, sobald ein PR eröffnet oder ein Issue angelegt wird. Der Angreifer wartet auf keine Nutzeraktion. Die gesamte Angriffskette läuft innerhalb von GitHub ab — ohne externe Command-and-Control-Infrastruktur.
Die Zahlen
- **CVSS 9.4** — Anthropics eigene Einstufung der Claude-Code-Schwachstelle
- **$100 / $1.337 / $500** — Bounties von Anthropic, Google und Microsoft; gemessen am Schadenspotenzial einer erfolgreichen Credential-Exfiltration wirtschaftlich irrelevant
- **Null CVEs** — keiner der drei Anbieter hat öffentliche Security-Advisories veröffentlicht oder CVE-Nummern vergeben
- **80 %** der Fortune-500-Unternehmen setzen laut Microsoft aktiv KI-Agenten ein
- **7 Mio. US-Dollar** — Seed-Runde von Capsule Security, das zeitgleich mit der Forschungspublikation aus der Stealth-Phase trat
Das Disclosure-Verhalten der Anbieter ist das eigentliche Problem. Guan formuliert es direkt: "Ich weiß mit Sicherheit, dass einige Nutzer noch eine verwundbare Version einsetzen. Wenn kein Advisory erscheint, wissen sie möglicherweise nie, dass sie gefährdet sind — oder bereits angegriffen werden."
Zwei weitere Zero-Days und ein neuer Markt
Zeitgleich mit Guans Publikation hat Capsule Security zwei ergänzende Zero-Day-Schwachstellen in Enterprise-Plattformen offengelegt:
- *ShareLeak (CVE-2026-21520, CVSS 7.5):** Microsoft Copilot Studio trennt SharePoint-Formulareingaben nicht von System-Instruktionen. Ein Angreifer bettet eine Payload in ein Standard-Formularfeld ein — etwa das Kommentarfeld. Der Agent liest das Formular als Aufgabenkontext, überschreibt seine ursprünglichen Direktiven und beginnt, Kundendaten per E-Mail an externe Empfänger weiterzuleiten. Microsoft hat gepatcht.
- *PipeLeak (Salesforce Agentforce):** Die Payload sitzt in einem öffentlichen Lead-Formular. Ruft ein interner Nutzer den Agenten zur Lead-Bearbeitung auf, führt dieser die eingebetteten Instruktionen aus — und kann via "GetLeadsInformation"-Funktion mehrere CRM-Datensätze in einem Bulk-Export exfiltrieren. Salesforce bestätigt das Problem, klassifiziert den Exfiltrationsvektor aber als "konfigurationsspezifisch" und verweist auf optionale Human-in-the-Loop-Kontrollen.
Capsule Security adressiert diese Klasse von Angriffen mit Guardian Agents: speziell auf Security trainierte Small Language Models, die als Runtime-Enforcement-Layer vor jeder Tool-Invocation eines KI-Agenten sitzen. Kein Proxy, kein Gateway, kein SDK. Das Startup unterstützt bereits Cursor, Claude Code, Microsoft Copilot Studio, ServiceNow und Salesforce Agentforce. Zu den Advisors zählen Chris Krebs, erster CISA-Direktor, sowie mehrere ehemalige Fortune-500-CISOs.
Investment-Implikationen
KI-Agenten sind in Enterprise-Umgebungen kein Pilotprojekt mehr — sie sind operativer Kern. Und genau das erzeugt ein Sicherheitsproblem, das klassische Tools strukturell nicht lösen können: Runtime-Verhalten ist nicht deterministisch. Es lässt sich nicht statisch scannen. Die Angriffsfläche entsteht erst im Moment der Ausführung.
Mehrere Signale sind für Investoren relevant:
- *Timing:** 80 % der Fortune 500 nutzen bereits aktiv KI-Agenten. Die Angriffsfläche ist vorhanden — die Schutzinfrastruktur noch nicht. Das ist klassisches Early-Market-Fenster.
- *Regulatorischer Druck:** ShareLeak hat einen CVE erhalten. PipeLeak noch nicht — aber EU AI Act und NIS2 werden Auditierbarkeit über Agenten-Aktionen einfordern. Unternehmen, die das heute nicht nachweisen können, haben ein Compliance-Problem.
- *Strukturelle Breite:** Johns Hopkins zeigt, dass das Problem nicht plattformspezifisch ist. Jeder Agent, der GitHub Actions, Slack-Bots, Jira-Workflows oder Deployment-Automation integriert, ist potenziell exponiert. Die Marktgröße skaliert direkt mit der Adoption.
- *Vendor-Blindspot:** Dass drei der weltgrößten Technologieunternehmen intern patchen und keine öffentlichen Advisories veröffentlichen, ist kein Zufall — es ist systemisches Disclosure-Versagen. Das schafft Raum für spezialisierte Anbieter, die Unternehmen unabhängig von Vendor-Kommunikation schützen.
Capsule Security ($7 Mio. Seed, Lama Partners und Forgepoint Capital International) ist mit einer klaren These gestartet. Die Kategorie heißt AI Agent Behavioral Security — Überwachung und Durchsetzung von Agenten-Verhalten in Echtzeit, auf Basis von Kontext und Intent. Kein bestehendes Segment — kein SIEM, kein EDR, kein CSPM — adressiert diesen Layer heute.
Fazit
Comment-and-Control ist kein Randphänomen. Es ist ein strukturelles Merkmal des aktuellen KI-Agenten-Ökosystems: Agenten lesen GitHub-Daten, verarbeiten Formulareingaben und handeln auf Basis von Inhalten, die sie als vertrauenswürdig einstufen. Solange keine zuverlässige Trennung zwischen System-Instruktionen und externen Daten existiert, ist jeder Agent mit Zugriff auf externe Quellen exponiert.
Das Schweigen der Anbieter nach den Disclosures ist das eigentliche Warnsignal. Nutzer verwundbarer Versionen wissen es nicht. Wer das Angriffsmuster kennt, hat einen strukturellen Vorteil.
Die Investment-Frage ist nicht mehr, ob AI Agent Security ein Markt wird — er ist es bereits. Die offene Frage ist, wer den Runtime-Layer kontrolliert, wenn Agenten autonom in kritischen Enterprise-Systemen operieren. Johns Hopkins hat das Problem bewiesen. Der Markt sucht Lösungen, die schneller skalieren als die Angriffsfläche.
