Ein wachsendes Problem in Unternehmen ist nicht mehr nur, ob KI-Agenten brauchbare Antworten liefern. Entscheidend wird, welche externen „Skills“, Plugins oder Playbooks ein Agent laden darf – und ob diese Komponenten tatsächlich so harmlos sind, wie Marketplace-Sterne, Scanner-Ergebnisse oder Empfehlungen in sozialen Netzwerken nahelegen.
Eine aktuelle Untersuchung von AIR Security zeigt diese Lücke. Das Team entwickelte einen scheinbar nützlichen Agenten-Skill, verbreitete ihn über einen populären Skill-Marktplatz und eine Instagram-Anzeige und erreichte nach eigenen Angaben rund 26.000 Agenten, darunter auch Corporate Accounts. Der Payload blieb im Experiment bewusst ungefährlich: Er sammelte nur E-Mail-Adressen, um betroffene Nutzer zu benachrichtigen. Die technische Lehre bleibt dennoch erheblich. Alle getesteten Skill-Scanner stuften das Paket als sicher ein.
Das technische Muster: Der gefährliche Teil lag nicht im Paket
Der Skill hieß brand-landingpage und versprach, Landingpages mit Googles Designwerkzeug Stitch zu erstellen. AIR zielte damit nicht auf Security-Profis, sondern auf Marketing-, Sales- und Designnutzer – also auf genau jene Gruppen, die in vielen Unternehmen zunehmend Agenten einsetzen, ohne jede Erweiterung wie Code zu behandeln.
Der Trick war unspektakulär, aber wirksam. Der Skill selbst enthielt laut AIR keine offensichtlich schädlichen Installationsanweisungen. Stattdessen verwies er für die angebliche Einrichtung eines „Stitch SDK“ auf eine externe Dokumentationsseite unter stitch-design.ai, einer von AIR kontrollierten Domain. Die echte Google-Stitch-Seite liegt nicht dort.
Für Scanner, die nur SKILL.md und die mitgelieferten Dateien analysieren, sah das Paket sauber aus. Der Agent sollte später jedoch die externe Dokumentation lesen und befolgen. Genau dort ließ sich die relevante Anweisung austauschen.
The Hacker News bringt den Kern auf den Punkt: Die getesteten Scanner – darunter NVIDIAs Skillspector sowie mehrere über skills.sh eingebundene Scanner – analysierten das übergebene Paket. Die tatsächlich ausgeführte Logik lag aber teilweise außerhalb dieses Pakets. Anfangs konnte die externe Seite harmlos wirken. Später konnte sie Anweisungen enthalten, die ein Agent als Setup-Schritt interpretiert.
Warum klassische Vertrauenssignale versagen
AIR nennt vier zentrale Ergebnisse: Rund 26.000 Agenten seien erreicht worden, darunter Agenten aus Firmenkonten; der Skill hätte nach Darstellung der Forscher grundsätzlich Kontrolle im Rahmen der erreichbaren Agentenrechte ausüben können; bestehende Scanner stuften ihn als sicher ein; und durch die Aufnahme in ein populäres Marketplace-Repository profitierte der Skill von der Glaubwürdigkeit von rund 37.000 GitHub-Sternen. The Hacker News nennt für dieses Repository rund 36.000 Sterne und 156 Skills.
Die exakte Sternzahl ist zweitrangig. Entscheidend ist das Muster: Reputation wurde vom Container auf den einzelnen Skill übertragen.
Für Unternehmen ist genau das der kritische Punkt. Viele Security-Programme arbeiten bei Open Source mit impliziten Vertrauenssignalen: Sterne, Maintainer-Reputation, bekannte Registries, Scanner-Badges, Community-Nutzung. Bei Agenten-Skills reichen diese Signale noch weniger aus als bei klassischen Libraries.
Ein Skill ist nicht nur ein Paket. Er ist eine Anweisungsschicht, die in den Kontext eines Agenten geladen wird. Wenn dieser Agent Shell-Zugriff, Browser-Automation, E-Mail, CRM, Code-Repositories oder Cloud-APIs nutzen darf, kann eine manipulierte Anweisung reale Seiteneffekte auslösen.
Der AIR-Fall unterscheidet sich damit von klassischen npm- oder PyPI-Vorfällen. Dort wird meist Code installiert und ausgeführt. Bei Skills kann der schädliche Teil auch als natürlichsprachliche Instruktion, Setup-Dokumentation oder Tool-Nutzung getarnt sein. Ein Scanner, der nur statische Dateien betrachtet, sieht dann nur einen Ausschnitt der tatsächlichen Ausführungsumgebung.
Branchenkontext: Agenten-Marktplätze werden zur Lieferkette
Der Fall steht nicht allein. Help Net Security berichtete am 22. Juni über 23 ClawHub-Plugins, die unter offiziell wirkenden Scopes wie @openclaw und @clawhub auftauchten und damit Registry-Vertrauen ausnutzten. The Hacker News verweist zudem auf frühere Untersuchungen von Trail of Bits. Dort wurden Skill-Scanner durch Paketvarianten und externe Payload-Mechanismen umgangen.
Zusammengenommen zeigt sich ein klares Muster: Agenten-Ökosysteme entwickeln dieselben Supply-Chain-Probleme wie Paketmanager, Browser-Erweiterungen und CI/CD-Actions. Bei Agenten kommt eine zusätzliche Ebene hinzu, weil natürliche Sprache und Tool-Aufrufe Teil der Ausführung werden.
Für Unternehmen ist das besonders relevant, weil Agenten längst nicht mehr nur in Entwicklerumgebungen auftauchen. Sie werden in Marketing, Sales, Support, Operations, Security und Datenanalyse eingesetzt. Genau dort liegen wertvolle Daten: Kundentickets, interne Dokumente, CRM-Informationen, Quellcode, API-Schlüssel, Cloud-Konsolen, BI-Dashboards und E-Mail-Postfächer. Ein harmlos wirkender Skill für eine Landingpage kann in einer Unternehmensumgebung deshalb deutlich mehr bewirken als in einem privaten Testaccount.
Konkrete Implikationen für Unternehmen
Erstens sollten Unternehmen Skills und Plugins als ausführbare Lieferkettenartefakte behandeln. Ein Freigabeprozess nur für Softwarebibliotheken reicht nicht mehr aus. Nötig ist ein Inventar: Welche Agenten sind im Einsatz? Welche Skills sind installiert? Aus welchen Quellen stammen sie? Wer darf neue Skills hinzufügen? Und welche Tools kann der Agent danach nutzen?
Zweitens müssen externe Referenzen Teil der Prüfung sein. Wenn ein Skill auf Dokumentation, Installationsskripte, API-Referenzen oder Remote-Dateien verweist, gehört diese Referenz in die Risikoanalyse. Kritische Dokumentations- und Skriptpfade sollten idealerweise versioniert, gepinnt, gespiegelt oder über allowlist-basierte Proxys kontrolliert werden. Ein Scannergebnis für das lokale Paket sagt nichts über spätere Webinhalte aus.
Drittens braucht jeder Agent ein enges Berechtigungsmodell. Ein Skill, der Marketingtexte erstellt, benötigt keinen Zugriff auf Produktivdatenbanken, Cloud-Secrets oder interne GitHub-Organisationen. Wo Tool-Zugriff erforderlich ist, sollten kurzlebige Tokens, least privilege, separate Servicekonten, Egress-Kontrollen und menschliche Freigaben für riskante Aktionen Standard sein.
Viertens sollten Unternehmen Agenten-Installationen überwachen. Auffällig sind etwa neue Skills aus unbekannten Quellen, plötzliche Downloads von Skripten, Shell-Aufrufe während scheinbar nichttechnischer Aufgaben, Zugriffe auf sensible Dateien, ungewöhnliche API-Nutzung oder ausgehende Verbindungen zu neu registrierten Domains. Klassisches Endpoint- und Netzwerkmonitoring bleibt wichtig. Es muss aber um agentenspezifischen Kontext ergänzt werden.
Risiken und Limitierungen der aktuellen Meldung
Wichtig ist die nüchterne Einordnung: AIR beschreibt ein kontrolliertes Forschungsexperiment, keinen bestätigten Massenschaden. Der Payload sollte laut AIR nur E-Mail-Adressen sammeln, um betroffene Nutzer informieren zu können. Die Zahl von 26.000 erreichten Agenten stammt aus der Eigenmessung der Forscher. Sie sollte als Forschungsangabe verstanden werden, nicht als unabhängig geprüfte Schadensstatistik.
Auch ein bestandenes Scannergebnis bedeutet nicht, dass Scanner nutzlos sind. Sie können bekannte Muster, gefährliche Befehle oder verdächtige Paketbestandteile erkennen. Sie dürfen aber nicht als alleinige Grundlage für Vertrauen dienen.
Genau darin liegt die praktische Lehre. Agenten-Sicherheit endet nicht bei Prompt-Filtering und nicht bei einem Marketplace-Badge. Sie muss den gesamten Pfad abdecken: Skill-Quelle, externe Inhalte, Berechtigungen, Tool-Ausführung, Identität, Netzwerkzugriff, Logging und Widerrufbarkeit.
Fazit
Der AIR-Fall ist ein klares Signal für die nächste Phase der AI-Security. Unternehmen sollten Agenten-Skills nicht wie Vorlagen behandeln, sondern wie Code mit zusätzlicher sozialer Angriffsfläche. Sterne, Scanner und Reputation sind nützliche Signale. Eine Sicherheitsgrenze sind sie nicht.
Wer KI-Agenten produktiv einsetzt, braucht Governance für Skills: Inventar, Quellprüfung, Kontrolle externer Referenzen, minimale Rechte, Monitoring und klare Freigaben für Aktionen mit Seiteneffekten.
Quellen: AIR Security, „The Story of Skills – How We Hijacked 26,000 Agents With One Instagram Ad“, 22. Juni 2026; The Hacker News, „Fake AI Agent Skill Passed Security Scans and Reportedly Reached 26,000 Agents“, 23. Juni 2026; Help Net Security, „23 ClawHub plugins squatting official scopes expose AI registry security gaps“, 22. Juni 2026.
