Wenn Hugging Face zur Waffe wird: CVE-2026-39987 und der Blockchain-Backdoor im KI-Labor
*Datum: 18. April 2026*
*Datum: 18. April 2026*
**Ein einziger Architekturentscheid in Anthropics Model Context Protocol hat die gesamte KI-Agenten-Infrastruktur zur Angriffsfläche gemacht — 150 Millionen Downloads, über 30 Schwachstellen-Disclosures, zehn kritische CVEs. Und Anthropic nannte es „Expected Behavior".**
--- title: "Comment-and-Control: Die neue Prompt-Injection-Klasse, die KI-Agenten zu Credential-Dieben macht" slug: comment-and-control-prompt-injection-ki-agenten-credential-theft-2026 tags: ["AI Security", "Prompt Injection", "KI-Agenten", "Cybersecurity", "Investoren"] status: draft ---
--- title: "GPT-5.4-Cyber: OpenAIs Einstieg in den Verteidigungsmarkt — und was das für Security-Investoren bedeutet" slug: gpt-54-cyber-openai-cybersecurity-markt tags: ["AI Security", "OpenAI", "GPT-5.4-Cyber", "Cybersecurity", "Investoren", "TAC"] excerpt: "OpenAI hat gestern GPT-5.4-Cyber gelaun
Die Nachricht klingt paradox: Anthropic hat ein KI-Modell entwickelt, das so mächtig ist, dass es nicht öffentlich veröffentlicht werden kann. **Claude Mythos** — das bislang fortschrittlichste Sprachmodell für Cybersecurity-Aufgaben — identifiziert Tausende unbekannte Sicherheitslücken in Wochen, w
Ein kritischer Zero-Day in Adobe Acrobat Reader war vier Monate im aktiven Einsatz. CVE-2026-34621 nutzt Prototype Pollution im JavaScript-Engine für Code-Ausführung via präparierter PDFs.
**Ein neues Paper enthüllt eine erschreckend simple Jailbreak-Technik: Ohne Optimierung, ohne Modellzugriff, ohne Expertenwissen. Nur eine einzelne API-Zeile reicht, um ChatGPT, Claude und Gemini zur Generierung von Schadcode zu bewegen.**
**Der Gambit-Security-Report vom 10. April 2026 dokumentiert den ersten vollständig rekonstruierten Fall, in dem ein einzelner Bedrohungsakteur kommerzielle KI-Plattformen als operativen Kern eines staatlichen Cyberangriffs einsetzte. Die Konsequenzen für Sicherheitsverantwortliche weltweit sind gra
**Ein KI-Modell, das autonom Sicherheitslücken in jedem Betriebssystem und jedem Browser gefunden hat. Zu gefährlich für die Öffentlichkeit. Genau deshalb existiert Project Glasswing.**
Die nächste Generation von Cyberangriffen zielt nicht mehr auf Menschen — sondern auf die KI-Systeme, die in unserem Auftrag handeln. Eine neue Studie von Google DeepMind liefert erstmals eine systematische Bedrohungslandkarte.
**Eine gefälschte Fehlermeldung, ein trojanisiertes Teams-Update und drei Stunden kompromittierte npm-Pakete: Der Supply-Chain-Angriff auf Axios zeigt, wie verwundbar die Open-Source-Infrastruktur des modernen Internets geworden ist. Und warum nordkoreanische Akteure ihre Methoden perfektioniert hab
**766 kompromittierte Server. 10.120 exfiltrierte Dateien. 24 Stunden Zeit. Was Cisco Talos diese Woche über die UAT-10608-Kampagne veröffentlichte, ist mehr als nur ein weiterer Sicherheitsvorfall — es ist der Bauplan für die nächste Generation automatisierter Credential-Harvesting-Operationen.**