Neue Cyberangriffe auf KI-Workflows – KI-Agenten werden zur neuen Angriffsfläche

Autonome KI-Agenten entwickeln sich rasant zum Standard in modernen Entwickler- und Unternehmensumgebungen – genau das nutzen Cyberkriminelle jetzt gezielt aus. Security-Forscher von Zscaler ThreatLabz haben eine neue Angriffskampagne entdeckt, bei der manipulierte OpenClaw-Workflows Schadsoftware auf Windows-, macOS- und Linux-Systeme einschleusen.

Besonders brisant: Die Malware wird über scheinbar legitime KI-Erweiterungen verteilt und kann klassische Sicherheitsmechanismen weitgehend umgehen.

Cyberkriminelle missbrauchen zunehmend KI-Frameworks als neue Eintrittspunkte in Unternehmensnetzwerke. Im aktuellen Fall steht das Open-Source-Framework OpenClaw im Fokus, das ursprünglich zur Automatisierung komplexer KI-Agenten-Workflows entwickelt wurde. Laut den Analysten von Zscaler wird die Plattform nun als Angriffsvektor genutzt, um Malware unbemerkt in Entwicklerumgebungen einzuschleusen.

Beispiel für eine Angriffskette, die veranschaulicht, wie eine bösartige OpenClaw-Funktion zu verschiedenen Ausführungswegen für Malware führt (Quelle Zscaler, Inc. 2026)

Manipulierter „DeepSeek-Claw“-Skill startet Malware-Kette

Im Zentrum der Kampagne steht ein präparierter OpenClaw-Skill mit dem Namen „DeepSeek-Claw“. Entwickler laden diesen in der Annahme herunter, es handle sich um eine legitime Erweiterung zur Integration von DeepSeek-Funktionen. Tatsächlich enthält die beigefügte Instruktionsdatei jedoch versteckte Befehle, die automatisiert Schadcode ausführen können. Besonders gefährlich ist dabei die Kombination aus Social Engineering und automatisierter Workflow-Ausführung. Die eingebetteten Befehle können entweder manuell gestartet oder direkt vom KI-Agenten selbst verarbeitet und ausgeführt werden. Dadurch entfällt die sonst übliche Nutzerinteraktion, was die Kompromittierung erheblich beschleunigt.

Remcos RAT tarnt sich über legitime Software

Auf Windows-Systemen führt die Angriffskette zur Installation des bekannten Remote Access Trojaners (RAT) Remcos. Dafür wird zunächst ein manipuliertes MSI-Installationspaket heruntergeladen, das eine signierte GoToMeeting-Datei sowie eine schädliche DLL auf dem Zielsystem ablegt. Die Angreifer nutzen anschließend DLL-Sideloading, um die Malware über den legitimen Prozess zu starten.

Die Schadsoftware setzt zudem auf moderne Tarntechniken: Sicherheitsfunktionen wie AMSI und ETW werden direkt im Arbeitsspeicher manipuliert, um Telemetrie und Malware-Scans zu umgehen. Ergänzt wird dies durch Anti-Debugging-Mechanismen und Sandbox-Erkennung, wodurch die Malware klassische Endpoint-Security-Lösungen gezielt aushebelt.

GhostLoader attackiert macOS- und Linux-Umgebungen

Während Windows-Systeme primär mit Remcos RAT kompromittiert werden, zielt der zweite Infektionspfad auf macOS- und Linux-Rechner. Hier kommt die plattformübergreifende Stealer-Malware GhostLoader – auch bekannt als GhostClaw – zum Einsatz. Die Malware wird über verschleierte Node.js- und npm-Skripte verteilt, die tief in Entwickler-Workflows eingebettet sind.

Besonders perfide: Die Schadsoftware nutzt gefälschte Passwortabfragen in der Kommandozeile, um Administratorrechte zu erhalten. Nach erfolgreicher Ausführung extrahiert GhostLoader sensible Daten wie SSH-Keys, API-Tokens, Kryptowallets und Inhalte des macOS-Keyrings und überträgt diese verschlüsselt an die Infrastruktur der Angreifer.

KI-Workflows werden zum Sicherheitsrisiko

Die aktuelle Kampagne zeigt deutlich, dass KI-Agenten und automatisierte Workflows zunehmend in den Fokus moderner Cyberangriffe rücken. Mit der wachsenden Verbreitung autonomer KI-Systeme entstehen neue Angriffsflächen, die klassische Sicherheitskonzepte oft nicht ausreichend berücksichtigen.

Sicherheitsexperten empfehlen daher strengere Prüfprozesse für Drittanbieter-Plugins, kontinuierliches Monitoring von KI-Workflows sowie eine umfassende Verhaltensanalyse externer Skripte und Skills. Unternehmen sollten insbesondere Entwicklerumgebungen stärker absichern, da diese immer häufiger zum primären Angriffsziel werden.