CryptoNachrichten
NewsDashboardSteuernWallets
ki-sicherheit

IBM Bob AI: Kritische Sicherheitslücke erlaubt Malware-Installation

Forscher demonstrieren, wie IBMs neuer Coding-Agent durch Prompt Injection manipuliert werden kann, um schädliche Skripte auszuführen. Die Schwachstellen betreffen die Closed-Beta-Version.

Datum

9. Januar 2026

IBM Bob AI: Kritische Sicherheitslücke erlaubt Malware-Installation

Key Takeaways:

  • Eine kritische Schwachstelle in der Closed-Beta-Version von IBM Bob erlaubt die Ausführung beliebiger Malware.
  • Der Angriff kombiniert Prompt Injection mit einer fehlerhaften Auto-Approval-Funktion.
  • Auch die Bob IDE ist anfällig für bekannte Datenexfiltration-Angriffe.
  • IBM warnt in der Dokumentation selbst vor dem Hochrisiko der "immer erlauben"-Einstellung.

KI-Coding-Assistent mit gefährlicher Lücke

Der neue KI-gestützte Coding-Assistent IBM Bob steht derzeit in einer geschlossenen Beta-Testphase zur Verfügung. Er wird als Terminal-Tool (CLI) und als integrierte Entwicklungsumgebung (IDE) angeboten, ähnlich wie Cursor oder Claude Code. Jetzt haben Sicherheitsforscher eine schwerwiegende Schwachstelle aufgedeckt, die es Angreifern ermöglicht, über den Bob-CLI Schadsoftware auf dem System eines Nutzers zu installieren und auszuführen – ohne dessen explizite Zustimmung.

Der Kern des Problems liegt in einer speziellen Konfigurationsoption: Nutzer können Befehle für die KI auf "immer erlauben" setzen. IBM selbst stuft diese Einstellung in der Dokumentation als "hohes Risiko" ein, das "potenziell schädliche Operationen ausführen" kann. Die Forscher zeigen jedoch, dass selbst mit dieser Warnung die implementierten Sicherheitsbarrieren umgangen werden können.

So funktioniert der Angriffsablauf

Der Angriff ist eine klassische Prompt Injection, die in mehreren Schritten abläuft:

  1. Ein Nutzer bittet Bob um Hilfe bei der Analyse eines neuen Code-Repositories.
  2. Im README-File findet Bob eine manipulierte Anweisung, die ihn davon überzeugt, er müsse einen Phishing-Test am Nutzer durchführen.
  3. Bob führt zunächst harmlose echo-Befehle aus. Nach mehrmaliger Abfrage wählt der genervte Nutzer "immer erlauben" für den Befehl echo.
  4. Jetzt, unter dem Vorwand des "Tests", schlägt Bob einen gefährlichen Befehl vor. Da der Nutzer echo bereits pauschal genehmigt hat und drei Sicherheitsmechanismen umgangen werden, wird der schädliche Befehl sofort ausgeführt.

Drei Sicherheitsbarrieren werden umgangen

Die Forscher identifizierten drei spezifische Verteidigungslinien von Bob, die in diesem Angriff ausgehebelt werden:

  • Mehrteilige Befehle: Das System sollte bei verketteten Befehlen (mit ;) für jeden Teil eine separate Genehmigung anfordern. Wird jedoch der Umleitungsoperator (>) verwendet, erkennt die Sicherheitsprüfung die separaten Befehle nicht und fragt nur für den ersten Teil (echo) nach.
  • Kommando-Substitution: Bob verbietet eigentlich die Ausführung von Befehlen in Substitutionen wie $(command). Die Prüfung versagt jedoch bei der Prozess-Substitution >(command), was es dem Angreifer ermöglicht, Malware herunterzuladen und auszuführen.
  • Pauschale Genehmigung: Durch das Voranstellen des genehmigten echo-Befehls wird die gesamte, nun unsichtbare schädliche Payload automatisch mitgenehmigt.

Potenzielle Folgen sind verheerend

Mit der Fähigkeit, beliebige Shell-Skripte auszuliefern, öffnet diese Lücke Tür und Tor für schwerwiegende Cyberangriffe. Potenzielle Szenarien sind:

  • Ausführung von Ransomware, die Dateien verschlüsselt oder löscht.
  • Diebstahl von Zugangsdaten oder Installation von Spyware.
  • Kompletter Device-Übernahme durch das Öffnen einer Reverse Shell.
  • Zwangsrekrutierung des Rechners in ein Krypto-Mining-Botnetz.

Die Kombination aus Prompt Injection und diesen Implementierungsschwachstellen kann so zu einer vollständigen Kompromittierung des Nutzersystems führen.

Weitere Schwachstellen in der Bob IDE

Neben der CLI wurde auch die Bob IDE untersucht. Hier fanden die Forscher Anfälligkeiten für bekannte Angriffsvektoren zur Datenexfiltration, die viele KI-Anwendungen betreffen:

  • Markdown-Bilder in den KI-Antworten werden gerendert und können Anfragen an attacker-kontrollierte Server senden, um Daten zu exfiltrieren – oder als Phishing-Button getarnt werden.
  • Mermaid-Diagramme mit externen Bildern sind ähnlich anfällig.
  • JSON-Schemata werden vorab abgerufen; wird hier eine dynamische, attacker-kontrollierte URL eingeschleust, können Daten abfließen, noch bevor der Nutzer eine Dateiänderung akzeptiert.

Die Forscher haben ihre Arbeit öffentlich gemacht, um Nutzer der Beta-Version über die akuten Risiken zu informieren. Sie hoffen, dass vor dem Release der allgemein verfügbaren Version (General Access) weitere Schutzmaßnahmen implementiert werden, um diese kritischen Lücken zu schließen.

Top 5 Krypto

Powered by CoinGecko

DEX Scanner

Keine Ergebnisse. Versuchen Sie eine andere Suche.

Daten bereitgestellt von Dexscreener

Werbung