Sicherheitslücke ermöglicht Manipulation von Gesprächen zwischen KI-Agenten

Der Aufstieg von KI-Systemen, die miteinander interagieren können – eine Fähigkeit, die durch das Agent-to-Agent-Protokoll (A2A) ermöglicht wird – ebnet den Weg für neue Sicherheitsbedrohungen. In einem von seinem Team Unit 42 veröffentlichten Bericht beschreibt Palo Alto Networks eine neuartige Angriffstechnik namens "Agent Session Smuggling", die Schwachstellen in der Kommunikation und Authentifizierung der Agenten ausnutzt.

Unit 42 stellt klar, dass "diese Untersuchung keine Schwachstellen im A2A-Protokoll selbst aufdeckt", sondern dass der Angriff vielmehr die impliziten Vertrauensbeziehungen zwischen den Agenten ausnutze. Diese agentenbasierten KI-Architekturen basieren auf Sprachmodellen (LLM), die Agenten steuern, die in der Lage sind, den Kontext einer Sitzung beizubehalten, ihre Anweisungen im Laufe des Austauschs anzupassen und autonom mit anderen Systemen und Tools zu interagieren.

Eine spezifische Bedrohung für KI-Agentensysteme

A2A-Systeme basieren auf automatisierten Interaktionen zwischen Agenten, die Aufgaben im Auftrag eines Benutzers oder einer Anwendung ausführen. Diese Interaktionen, die die Verwaltung von Identitäten, Sitzungen und Berechtigungen umfassen, seien in Bezug auf die Sicherheit noch weitgehend ungeregelt. Laut Unit 42 ermöglicht die Agent Session Smuggling böswilligen Akteuren, "eine bestehende agentenübergreifende Kommunikationssitzung auszunutzen, um verdeckte Anweisungen an einen Zielagenten zu senden". 

Der Angriff bestehe darin, eine gültige Authentifizierungssitzung zwischen zwei Agenten zu kapern. Durch Manipulation des Austauschs von Tokens oder Anmeldedaten kann sich laut Bericht ein kompromittierter Agent im A2A-Netzwerk als ein anderer ausgeben und gleichzeitig seinen legitimen Zugriff auf die verbundenen Systeme behalten.

Unit 42 weist darauf hin, dass sich diese Technik von klassischen Session-Hijacking-Angriffen unterscheidet: Sie nutzt sowohl das implizite Vertrauen zwischen Agenten als auch deren Fähigkeit, mehrstufige Konversationen aufrechtzuerhalten, wodurch im Laufe des Austauschs Anweisungen eingefügt werden können, was die Erkennung erheblich erschwert. Die Forscher betonen, dass dieser Angriff den "zustandsbehafteten" Charakter von A2A-Systemen ausnutzt, in denen die Agenten den Kontext einer Sitzung beibehalten und ihre Anweisungen von Runde zu Runde anpassen können.

Das Risiko einer Ausweitung auf Multi-Agent-Umgebungen 

Den Forschern zufolge könnte es eine solche Kompromittierung einem Angreifer ermöglichen, Zugriffskontrollen zu umgehen, Daten zu exfiltrieren oder unbefugte Befehle innerhalb miteinander verbundener Agentenketten auszuführen. In Umgebungen, in denen Agenten im Auftrag von Benutzern handeln, könne sich eine einzige Kompromittierung schnell auf das gesamte System ausbreiten, warnt Unit 42.

Palo Alto Networks empfiehlt Entwicklern, verstärkte Authentifizierungskontrollen und eine verstärkte Überwachung der Kommunikation zwischen Agenten einzuführen. Das Unternehmen betont insbesondere die Notwendigkeit einer menschlichen Kontrolle für sensible Aktionen (Human-in-the-Loop), Mechanismen zur Überprüfung von Agent zu Agent – beispielsweise über kryptografisch signierte AgentCards – und "Context Grounding"-Techniken zur Erkennung von injizierten oder irrelevanten Anweisungen.

Unit 42 kommt zu dem Schluss, dass die Sicherheit von Multi-Agenten-Ökosystemen nun als Priorität betrachtet werden müsse, da diese Systeme immer autonomer werden und in Unternehmen zunehmend Verbreitung finden.

Auch der Cybersecurity-Anbieter Checkmarx Zero berichtete von einem Beispiel, bei dem Cyberkriminelle Sicherheitsabfragen von KI-Agenten manipulieren. Lesen Sie hier mehr dazu. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.