Ein Laptop eines BBC-Reporters wurde Berichten zufolge erfolgreich über die KI-Coding-Plattform Orchids gehackt, wodurch eine kritische Sicherheitslücke in ihrem "Vibe-Coding"-Tool aufgedeckt wurde, so mehrere Nachrichtenquellen. Der Vorfall, der von einem Cybersicherheitsforscher demonstriert wurde, verdeutlicht die Risiken, die mit dem Gewähren von tiefgreifendem KI-Zugriff auf Computersysteme verbunden sind, und löst eine Debatte innerhalb der Open-Source-Community über die Rechenschaftspflicht von KI aus. Orchids, eine Plattform, die von großen Unternehmen genutzt und für Benutzer ohne Programmiererfahrung konzipiert wurde, hat nicht auf Anfragen nach einer Stellungnahme reagiert.
Die Sicherheitslücke ermöglichte es dem Forscher, bösartigen Code einzuschleusen, was das Ausnutzungspotenzial innerhalb von KI-Plattformen demonstriert. Dieser Vorfall ereignet sich, während die Tech-Welt Veränderungen erlebt, darunter die Expansion von Waymo und die Modell-Updates von OpenAI, wie von VentureBeat festgestellt. Das "Vibe-Coding"-Tool, das für einfache Bedienbarkeit konzipiert wurde, schuf unbeabsichtigt ein erhebliches Sicherheitsrisiko.
Unterdessen hat die rasche Bereitstellung des Open-Source-KI-Agenten OpenClaw weitere Sicherheitsbedenken aufgeworfen. Laut VentureBeat wurde der Agent von etwa 1.000 Instanzen auf über 21.000 öffentlich exponierte Bereitstellungen in weniger als einer Woche verfolgt. Die Telemetrie von Bitdefender's GravityZone, die speziell aus Geschäftsumgebungen stammt, bestätigte, dass Mitarbeiter OpenClaw auf Firmenrechnern mit Einzeilen-Installationsbefehlen einsetzten, wodurch autonomen Agenten Shell-Zugriff, Dateisystemprivilegien und OAuth-Token für verschiedene Dienste gewährt wurden.
VentureBeat berichtete auch, dass eine Ein-Klick-Remote-Code-Ausführungs-Schwachstelle, CVE-2026-25253, mit einem CVSS-Wert von 8,8, es Angreifern ermöglicht, Authentifizierungstoken über einen einzigen bösartigen Link zu stehlen und potenziell in Millisekunden eine vollständige Gateway-Kompromittierung zu erreichen. Eine separate Command-Injection-Schwachstelle stellt ebenfalls eine erhebliche Bedrohung dar.
In verwandten Nachrichten bietet das Open-Source-Tool sql-tap, ein Echtzeit-SQL-Traffic-Viewer, eine Methode zur Inspektion von Abfragen und zur Anzeige von Transaktionen, ohne den Anwendungscode zu ändern, wie auf Hacker News detailliert beschrieben. Während sich dieses Tool auf die Datenbanküberwachung konzentriert, unterstreichen die Vorfälle bei Orchids und OpenClaw die umfassenderen Sicherheitsherausforderungen, die sich aus der zunehmenden Nutzung von KI und Open-Source-Tools ergeben.
Discussion
AI Experts & Community
Be the first to comment