Ein Pull Request, ein Issue-Kommentar oder ein scheinbar harmloser Bugreport war in klassischen CI/CD-Prozessen vor allem Dateninput. Ein Workflow las Metadaten, startete Tests, baute Artefakte oder setzte Labels. Mit KI-Agenten verschiebt sich diese Grenze: derselbe Text kann plötzlich als Arbeitsa
Viele Security-Programme sind darauf optimiert, Schwachstellen überhaupt zu finden: Scanner ausrollen, CVEs priorisieren, Findings in Tickets überführen. Das war lange der Engpass. Die jüngsten Zahlen aus Anthropics Project Glasswing zeigen, dass sich dieser Engpass verschiebt. Wenn KI-Modelle in ku
Viele Unternehmen haben ihre klassischen Software-Abhängigkeiten inzwischen besser im Griff: Paketmanager werden gescannt, Container-Images signiert, CI/CD-Pipelines härter konfiguriert. Ein Bereich bleibt in der Praxis aber oft erstaunlich unkontrolliert: die Entwicklungsumgebung selbst. VS-Code-Ex
Viele Unternehmen haben sich an ein unbequemes Muster gewöhnt: Code wird schnell gebaut, Abhängigkeiten werden automatisch aktualisiert, Security-Scans laufen später in der Pipeline – und am Ende landet eine lange Liste potenzieller Schwachstellen bei Teams, die ohnehin unter Zeitdruck stehen. Das P
--- title: "CVE-2026-33032: Wenn KI-Protokolle zur Backdoor werden — der nginx-ui MCP-Hack" slug: cve-2026-33032-nginx-ui-mcp-sicherheitsluecke tags: [Cybersecurity, Vulnerability, AI, MCP, nginx, Open Source Security] excerpt: "Ein fehlendes Authentifizierungscheck in der MCP-Integration von nginx-
**Ein einziger Architekturentscheid in Anthropics Model Context Protocol hat die gesamte KI-Agenten-Infrastruktur zur Angriffsfläche gemacht — 150 Millionen Downloads, über 30 Schwachstellen-Disclosures, zehn kritische CVEs. Und Anthropic nannte es „Expected Behavior".**
--- title: "Comment-and-Control: Die neue Prompt-Injection-Klasse, die KI-Agenten zu Credential-Dieben macht" slug: comment-and-control-prompt-injection-ki-agenten-credential-theft-2026 tags: ["AI Security", "Prompt Injection", "KI-Agenten", "Cybersecurity", "Investoren"] status: draft ---
Die Nachricht klingt paradox: Anthropic hat ein KI-Modell entwickelt, das so mächtig ist, dass es nicht öffentlich veröffentlicht werden kann. **Claude Mythos** — das bislang fortschrittlichste Sprachmodell für Cybersecurity-Aufgaben — identifiziert Tausende unbekannte Sicherheitslücken in Wochen, w
**Ein KI-Modell, das autonom Sicherheitslücken in jedem Betriebssystem und jedem Browser gefunden hat. Zu gefährlich für die Öffentlichkeit. Genau deshalb existiert Project Glasswing.**
**Eine gefälschte Fehlermeldung, ein trojanisiertes Teams-Update und drei Stunden kompromittierte npm-Pakete: Der Supply-Chain-Angriff auf Axios zeigt, wie verwundbar die Open-Source-Infrastruktur des modernen Internets geworden ist. Und warum nordkoreanische Akteure ihre Methoden perfektioniert hab
**766 kompromittierte Server. 10.120 exfiltrierte Dateien. 24 Stunden Zeit. Was Cisco Talos diese Woche über die UAT-10608-Kampagne veröffentlichte, ist mehr als nur ein weiterer Sicherheitsvorfall — es ist der Bauplan für die nächste Generation automatisierter Credential-Harvesting-Operationen.**
## Security-Tool als Trojanisches Pferd: TeamPCP kompromittiert CI/CD-Pipelines weltweit
