KI-Agent soll sich in nur einer Stunde in Recruiting-Plattform gehackt haben

Die KI-Sicherheitsfirma Codewall behauptet, ihr autonomer Agent habe vier Schwachstellen der Londoner KI-Recruiting-Plattform Jack & Jill zu einer vollständigen Organisationsübernahme verkettet.

Das Cybersecurity-Startup Codewall hat nach eigenen Angaben einen autonomen KI-Agenten auf die KI-Recruiting-Plattform Jack & Jill losgelassen. Innerhalb einer Stunde soll der Agent vier Sicherheitslücken zu einer Angriffskette mit dem Schweregrad CVSS 9.8 verknüpft haben, also zur vollständigen Übernahme von Unternehmenskonten. Codewall informierte Jack & Jill nach dem Angriff über die Sicherheitslücken, woraufhin das Startup sie innerhalb kurzer Zeit schloss.

Jack & Jill ist ein Londoner KI-Startup mit einer 20-Millionen-Dollar-Seed-Runde. Die Plattform arbeitet mit zwei KI-Sprachagenten: "Jack" berät Kandidaten bei der Jobsuche, "Jill" unterstützt Unternehmen beim Recruiting. Beide Seiten sind durch getrennte Login-Verfahren voneinander abgeschottet. Zu den Kunden sollen Unternehmen wie Anthropic, Stripe, Monzo und Cursor gehören.

Vier Schwachstellen führten zu vollen Admin-Rechten

Laut Codewall fand der Agent einen URL-Fetcher, der ohne Login-Erfordernis interne API-Dokumentation preisgab, einen aktiven Testmodus des Authentifizierungsdiensts Clerk mit statischem Einmalcode, eine fehlende Rollenprüfung beim Unternehmens-Onboarding sowie einen Endpunkt, der Nutzer anhand der E-Mail-Domain ohne Inhaberschaftsprüfung einem Unternehmen zuordnete.

Der Agent legte einen Account mit einer fremden Firmen-Domain an, authentifizierte sich über den Testmodus, wurde automatisch dem bestehenden Unternehmen zugeordnet und erhielt nach dem Onboarding volle Admin-Rechte. Damit habe er Teammitglieder mit Namen und E-Mail-Adressen einsehen, den unterzeichneten Vertrag lesen, Stellenanzeigen manipulieren und auf den KI-Assistenten des Unternehmens zugreifen können.

Codewalls KI-Agent gab sich eigenständig als Trump aus

Anschließend soll der Agent eigenständig entschieden haben, die Voice-Infrastruktur der Plattform zu testen. Der KI-Agent fand nämlich heraus, dass diese keine Nutzer-Authentifizierung verlangt. Laut Codewall generierte er daraufhin synthetische Sprachclips per Text-to-Speech, verband sich mit dem Voice-Raum und sprach direkt mit dem KI-Agenten "Jack".

28 Gesprächsrunden sollen stattgefunden haben, mit zunehmend aggressiven Strategien: von harmlosen Kandidatenfragen über Social Engineering bis zu Jailbreak-Versuchen. Die Schutzmechanismen hielten, allerdings halluzinierte "Jack" laut dem Bericht an anderer Stelle erheblich. Als Codewalls KI-Agent sich als Donald Trump ausgab und eine 500-Millionen-Dollar-Übernahme des Start-ups behauptete, adressierte "Jack" ihn als "Mr. President", ohne die Prämisse infrage zu stellen.

Sämtliche Details stammen von Codewall selbst, eine unabhängige Verifizierung liegt bisher nicht vor. Wenige Tage zuvor hatte Codewall bereits einen ähnlichen Fall veröffentlicht: Der autonome Agent soll McKinseys interne KI-Plattform Lilli in rund zwei Stunden kompromittiert und dabei Lese- und Schreibzugriff auf eine Produktionsdatenbank mit 46,5 Millionen Chat-Nachrichten erlangt haben. McKinsey bestätigte die Schwachstelle und patchte sie innerhalb eines Tages, betonte aber, dass eine forensische Untersuchung keinen unbefugten Zugriff auf Kundendaten ergeben habe.

Der Sicherheitsanalyst Edward Kiledjian ordnete den McKinsey-Fall mit Vorbehalt ein: Die geschilderte Angriffskette sei technisch plausibel, doch Codewalls Blogpost übertreibe den tatsächlich nachgewiesenen Umfang und verwische die Grenze zwischen Zugang und tatsächlicher Datenexfiltration.

KI-Agenten und der Cybersecurity-Zielkonflikt

KI-Agenten sind für die Cybersecurity eine komplett neue Welt. Zahlreiche Studien zeigen, dass sie massive Cybersecurity-Schwächen haben; je autonomer und leistungsfähiger ein KI-Agent agieren soll, desto größer wird dabei die Angriffsfläche. Der typischste Angriff ist die sogenannte Prompt Injection: Angreifer können KI-Agenten über in Text eingebettete alternative Anweisungen manipulieren, ohne dass der eigentliche Nutzer es bemerkt.

Unternehmen stehen damit vor einem Dilemma: Mitigieren lassen sich die Risiken derzeit nur, indem man die Leistungsfähigkeit der Systeme bewusst begrenzt – durch strengere Systemvorgaben, restriktive Zugangsregeln, eingeschränkte Werkzeugnutzung oder zusätzliche Bestätigungsschritte durch Menschen.

Zudem können Agenten, wie Codewall demonstriert, für Angriffe genutzt werden. Und letztlich sind sie wirkungsvolle Werkzeuge, um eben diese Angriffe zu bekämpfen. Sie können etwa große Mengen an Logdaten und Netzwerkverkehr in Echtzeit analysieren, Anomalien erkennen und Bedrohungen schneller identifizieren als menschliche Analysten.