Ein KI-Coding-Agent wie OpenAI Codex liest beim Arbeiten oft mehr Dateien, als Ihnen lieb ist. Ein offenes GitHub-Issue im Repository openai/codex zeigt, dass sich sensible Dateien noch immer nicht zuverlässig vom Zugriff ausschließen lassen. Kommt Ihnen das bekannt vor? Der Agent soll ein Feature bauen, durchforstet dafür das Projekt und zieht dabei die .env-Datei mit Datenbankpasswort, Stripe-Key und API-Token in seinen Kontext.
Das Wichtigste in Kürze
- Ein offenes GitHub-Issue dokumentiert, dass Codex sensible Dateien wie
.envnicht verlässlich ausschließt - Die Ursache liegt in der Struktur: Der Kontext eines Agenten kennt keinen Unterschied zwischen Quellcode und Geheimnis
- Bei API-Zugriff speichern Anthropic und OpenAI Daten standardmäßig 30 Tage zur Missbrauchserkennung
- Im DACH-Raum greift die DSGVO-Haftung, sobald personenbezogene Daten abfließen
Warum erfasst ein Agent überhaupt Geheimnisse?

Die eigentliche Ursache liegt nicht in einem einzelnen Bug, sondern in der Architektur. Der Kontext eines KI-Agenten bildet einen flachen Namensraum. Für das Modell sieht die Credential-Datei aus wie die Quelldatei, die aussieht wie die README, die aussieht wie eine versteckte Anweisung. Eine eingebaute Vorstellung von „dieser String ist ein Zugangsschlüssel, übertrage ihn nicht“ fehlt dem Agenten, wie die Docker-Sicherheitsanalyse betont: Steht ein Wert im Kontextfenster, behandelt das Modell diesen Wert als Token wie jeden anderen, und Token verwendet das Modell.
Der Schritt vom Lesen zum Abfluss bleibt klein. Was der Agent liest, taucht später in generiertem Code, Log-Ausgaben, Commit-Nachrichten oder ausgehenden API-Aufrufen wieder auf. Eine reine .gitignore-Regel hilft dabei nicht, weil diese Regel nur den Commit verhindert, nicht aber das lokale Lesen durch das KI-Werkzeug und das Einbetten in generierten Code. Genau hier fehlt der deterministische Ausschluss-Checkpoint, an dem ein Agent eine als sensibel markierte Datei hart abweisen müsste.
Ein Einzelfall oder ein Muster?

Der Befund reiht sich in eine ganze Angriffsklasse ein. Sicherheitsforscher von Knostic dokumentierten ein GitHub-Issue, in dem Claude Code .env-Werte automatisch lädt, und einen zweiten Thread, in dem solche Werte trotz Deny-Regeln in internen Notizen auftauchten. Den Kern des Problems haben wir bereits beim Meta-KI-Vorfall auseinandergenommen: ein Confused-Deputy-Fehler, bei dem ein Agent privilegierte Aktionen ohne deterministische Sperre ausführt.
Die Zahlen verschärfen das Bild. Der GitGuardian-Report zur Secrets-Sprawl 2026 zählte 28,65 Millionen neue hartcodierte Geheimnisse in öffentlichen GitHub-Commits während 2025, ein Plus von 34 Prozent. Besonders deutlich fällt der Vergleich aus: KI-unterstützte Commits lecken Geheimnisse mit rund 3,2 Prozent, gegenüber 1,5 Prozent bei rein menschlichen Commits, also mehr als doppelt so oft. Wie ein gehärtetes System dagegenhält, zeigt unsere Analyse zum Prompt-Injection-Härtetest gegen den Assistenten Fiu, der eine Datei namens secrets.env trotz 6.000 Angriffs-Mails nicht preisgab.
Ein KI-Agent ohne harten Ausschluss-Checkpoint ist kein Komfortproblem, sondern ein offenes Datenleck.
— Markus Seyfferth, Chefredakteur Dr. Web
Was bedeutet das für DACH-Entscheider?

Im DACH-Raum endet die Sache nicht beim technischen Detail. Fließen durch einen Agenten personenbezogene Daten oder Kundengeheimnisse ab, greift die DSGVO-Meldepflicht, und die 72-Stunden-Frist nach Artikel 33 läuft sofort an. Die Haftung bleibt beim Betreiber, nicht beim Anbieter des Werkzeugs. Erschwerend kommt hinzu, dass bei API-Zugriff sowohl Anthropic als auch OpenAI Daten standardmäßig 30 Tage speichern. Ein einmal übertragenes Geheimnis hat damit das eigene Haus verlassen.
Drei Maßnahmen senken das Risiko spürbar. Halten Sie Geheimnisse von der Festplatte fern und spielen Sie diese zur Laufzeit über einen Secrets-Manager ein, denn was nie auf der Platte liegt, kann kein Werkzeug lesen. Trennen Sie den Agenten per Sandbox vom restlichen Dateisystem, damit sein Blick auf den Workspace begrenzt bleibt. Ergänzen Sie Pre-Commit-Hooks mit einem Scanner wie gitleaks als letztes Sicherheitsnetz. Die Cybersecurity-Grundlagen für KMU liefern den passenden Rahmen, das Cybersecurity-Glossar die Begriffe dazu. Heute prüfen Sie, ob in Ihren Repositories .env-Dateien für KI-Werkzeuge erreichbar sind, und rotieren betroffene Schlüssel sofort.
Mehr Newshunger?
