SymJack: Wie ein Symlink Claude Code und Copilot austrickst

Sicherheitsforscher von Adversa AI haben eine Angriffsklasse namens SymJack beschrieben, die sechs verbreitete KI-Coding-Agenten gleichzeitig betrifft, darunter Claude Code, GitHub Copilot CLI, Cursor und OpenAI Codex CLI. Der Trick hebelt genau die Sicherheitskontrolle aus, auf die sich alle diese Werkzeuge verlassen: die menschliche Freigabe.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Die Schwachstelle ist nicht das Problem eines einzelnen Herstellers, sondern architektonischer Natur. Ein präpariertes Code-Repository bringt den Agenten dazu, eine scheinbar harmlose Datei zu kopieren. Tatsächlich überschreibt diese Aktion seine eigene Konfigurationsdatei, und beim nächsten Neustart führt der Agent Angreifer-Code mit den vollen Rechten des Nutzers aus. Die Analyse von Adversa AI dokumentiert den vollständigen Ablauf am Beispiel von Claude Code.

Was genau passiert bei SymJack?

Der Name steht für Symlink-Hijack, also das Kapern symbolischer Verknüpfungen. Der Nutzer sieht im Freigabedialog eine unverdächtige Aktion, etwa das Kopieren einer Videodatei, und bestätigt sie. Der Betriebssystem-Kernel schreibt jedoch an eine andere Stelle als die im Dialog angezeigte. Genau diese Lücke zwischen dem, was der Bildschirm zeigt, und dem, was der Kernel tut, macht den Angriff aus.

Die Forscher bestätigten die Technik gegen Claude Code, Gemini CLI und Antigravity CLI, Cursor Agent CLI, GitHub Copilot CLI, Grok Build und OpenAI Codex CLI. Jedes dieser Produkte fiel auf dieselbe Kette herein.

Warum schützt die Freigabe nicht?

Die manuelle Bestätigung gilt als zentrale Schutzmaßnahme dieser Agenten. Der Nutzer soll jede heikle Aktion prüfen und absegnen. SymJack zeigt, dass diese Kontrolle ins Leere läuft, sobald die angezeigte Aktion und die tatsächliche Schreiboperation auseinanderfallen.

Besonders kritisch wird es auf CI-Runnern, die ihren Arbeitsbereich automatisch als vertrauenswürdig einstufen. Dort läuft dieselbe Angriffskette ganz ohne Klick. Ein einziger bösartiger Pull Request kann dann jedes Geheimnis abgreifen, das der Runner vorhält, von Zugangstoken bis zu API-Schlüsseln.

Was sollten Entwicklerteams jetzt tun?

Der erste Schritt ist ein realistischer Blick auf die eigene Pipeline. Wer KI-Agenten in CI/CD-Workflows einsetzt, sollte annehmen, dass die Freigabe-Logik allein nicht ausreicht. Sinnvoll sind eine strikte Trennung der Rechte für Agenten-Prozesse, das Sperren symbolischer Verknüpfungen in Arbeitsverzeichnissen und ein Audit, welche Repositories ein Agent automatisch verarbeiten darf.

Der Vorfall reiht sich in eine wachsende Serie von Angriffen auf KI-Entwicklerwerkzeuge ein, von Prompt-Injection über manipulierte GitHub-Kommentare bis zu vergifteten Paketen in der Lieferkette. Die gemeinsame Lehre: Ein KI-Agent mit Schreibrechten und Zugriff auf Geheimnisse ist ein vollwertiges Angriffsziel und gehört entsprechend abgesichert.

Die Freigabe-Abfrage war das letzte Sicherheitsnetz, dem Entwickler blind vertraut haben. SymJack zerschneidet dieses Netz, ohne dass der Nutzer es merkt. Wer Coding-Agenten in der Pipeline laufen lässt, muss sie wie einen externen Dienstleister mit Schlüsselbund behandeln.

— Markus Seyfferth, Chefredakteur Dr. Web

Die Geschwindigkeit, mit der KI-Coding-Agenten zum Standard werden, verschärft das Risiko zusätzlich. Wenig Zeit für Code-Review trifft auf ein Sicherheitsmodell, das die meisten Teams nie im Detail geprüft haben. SymJack macht sichtbar, wie viel Vertrauen in einem einzigen Freigabe-Klick steckt, und wie wenig dieser Klick wert ist, wenn der Kernel anderswo schreibt.

Mehr Newshunger?

• Microsoft 365 Copilot: Sind die Lücken gepatcht? Ja, leise
• Stirbt die Copilot-App? Microsoft zieht den Stecker
• Code w/ Claude 2026: Programmiert KI selbst? Fast
• Dynamic Workflows: Claude steuert hunderte KI-Agenten
• Braucht man 2026 noch einen HTML-Editor? 16 Editoren und KI-Tools im Vergleich