KI-Agent-Sicherheit • Anwendungsfall
Wissen, was ein KI-Agent-Skill tut,bevor er Ihre Systeme berührt
KI-Agent-Skills lesen Ihre Dateien, führen Befehle aus und greifen auf Zugangsdaten zu. Ein einziger bösartiger Skill kann Ihre Daten und Infrastruktur kompromittieren – lautlos. Mondoo AI Skills Check ist ein kostenloser, agenten-agnostischer Scanner, der Ihnen genau zeigt, was ein Skill tut, bevor Sie ihn installieren – für jede Registry und jeden KI-Agenten.
Warum Skills vor der Nutzung prüfen?
KI-Agent-Skills sind leistungsstarke Erweiterungen, die mit vollem Zugriff auf Ihr System ausgeführt werden. Ein einziger bösartiger Skill kann Ihre Daten, Zugangsdaten und Infrastruktur gefährden.
Skills werden mit Ihren Berechtigungen ausgeführt
Wenn Sie einen KI-Agent-Skill installieren, läuft er mit Ihren Zugangsdaten und Ihrem Dateisystemzugriff. Ein bösartiger Skill kann SSH-Schlüssel auslesen, Umgebungsvariablen exfiltrieren oder Persistenz einrichten – alles lautlos.
Prompt-Injection ist unsichtbar
Angreifer betten versteckte Anweisungen mithilfe von Nullbreite-Zeichen, Unicode-Steganografie oder HTML-Kommentaren ein. Diese sind für menschliche Prüfer unsichtbar, werden aber vom LLM verarbeitet. Nur automatisiertes Scanning erkennt sie.
Supply-Chain-Angriffe nehmen zu
Skill-Registries sind das neue npm/PyPI für KI-Agenten. Angreifer veröffentlichen Skills, die sich als hilfreich ausgeben, aber im Code versteckte Credential-Harvester, Reverse Shells oder Daten-Exfiltrations-Pipelines enthalten.
Agenten handeln autonom
Anders als herkömmliche Software treffen KI-Agenten Entscheidungen und ergreifen Maßnahmen ohne schrittweise menschliche Genehmigung. Ein kompromittierter Skill kann einen Agenten dazu bringen, Sicherheitskontrollen zu umgehen, Privilegien zu eskalieren oder unautorisierte Finanztransaktionen durchzuführen.
Die Bedrohungslandschaft
Agentische KI wird schneller eingesetzt, als jemand sie absichert
Das sind keine theoretischen Risiken. Das sind laufende Angriffskampagnen, die auf die Schicht zwischen den Absichten Ihrer Entwickler und den Aktionen der Agenten abzielen.
Forscher entdeckten sie in dem Vorfall, der heute als ClawHavoc bekannt ist. Keine Marketplace-Prüfung erkannte sie. Sie lagen dort, für jeden Entwickler mit einem einzigen Befehl installierbar.
MCP-Server, die Trend Micro ohne jegliche Authentifizierung mit dem Internet verbunden vorfand.
Google DeepMinds Forschung zu \"AI Agent Traps\" identifizierte: Content Injection, semantische Manipulation, Vergiftung des kognitiven Zustands, Verhaltenskontrolle, systemische Angriffe und Ausbeutung menschlicher Aufsicht.
Der Anteil der Organisationen, den der Cisco State of AI Security 2026 Report als bereit befand, agentische KI-Deployments abzusichern.
Ihr AppSec-Stack hat einen blinden Fleck in Form eines KI-Agenten
Ihre Entwickler installieren am Montag Skills in Claude Code, am Dienstag Erweiterungen in Cursor und am Mittwoch Plugins in Windsurf – aus ClawHub, Skills.sh, GitHub-Gists, internen Mirrors und Links, die Teamkollegen in Slack teilen.
- —SCA-Scanner verstehen keine SKILL.md-Dateien.
- —Registry-seitiges Scanning deckt nur eine Registry ab, die einen Agenten versorgt.
- —Jeder Agent, den Ihr Team nutzt, erzeugt einen anderen blinden Fleck.
Registry-seitiges Scanning ist eine gute erste Schicht. Aber es läuft zu den Bedingungen der Registry, zum Zeitpunkt der Veröffentlichung, für die dort gehosteten Skills. Das ist ein Mindeststandard, keine Obergrenze. Ihr Agenten-Estate ist heterogen. Ihre Sicherheitsschicht muss es auch sein.
Die Lösung
Mondoo AI Skills Check: unabhängig, agenten-agnostisch, kostenlos
Suchen Sie jeden Skill nach Name, Registry oder PURL. Sehen Sie genau, was er behauptet zu tun, was er tatsächlich tut und wo die Risiken liegen – vor der Installation. Kostenlos. Kein Abonnement erforderlich.
Mondoo AI Skills Check erkennt Prompt-Injection, Diebstahl von Zugangsdaten, Daten-Exfiltration, Agenten-Imitierung und mehr als 25 Bedrohungstypen, bevor sie Ihre Agenten erreichen. Er ist MITRE ATLAS zugeordnet und am OWASP LLM Top 10 ausgerichtet, sodass Befunde nahtlos in die Governance-Frameworks Ihres Sicherheitsteams eingebunden werden können.
So funktioniert es
Vier zentrale Sicherheitsschichten. Ein CVSS-bewertetes Ergebnis.
Mustererkennung
Identifiziert bekannte bösartige Signaturen, Credential-Harvesting-Muster, Daten-Exfiltrations-URLs und Verhaltensanzeichen, die dokumentierten Angriffskampagnen wie ClawHavoc entsprechen.
ML-Klassifikator
Machine-Learning-Modelle, die auf bösartigen und gutartigen Skills trainiert wurden, bewerten die Risikowahrscheinlichkeit – und erkennen neuartige Bedrohungen, die keinen bekannten Mustern entsprechen.
Semantische Analyse
Liest die Beschreibung, Anweisungen und Verhaltensansprüche des Skills, um Widersprüche, irreführende Sprache und Scope Creep zu erkennen. Ein Skill, der behauptet, "Open-Source" und "prüfbar" zu sein, aber mit einer proprietären Backend-Lizenz ausgeliefert wird, wird markiert.
Tiefeninspektion
Untersucht, wie der Skill mit externen Diensten interagiert, welche Berechtigungen er anfordert, ob er zu reduzierter menschlicher Aufsicht ermutigt und ob sein tatsächliches Verhalten dem angegebenen Zweck entspricht.
Das Ergebnis
Eine CVSS-bewertete Analyse mit detaillierten Befunden, jeder nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig) und Kategorie (behavioral_control, semantic_manipulation, systemic, human_in_the_loop, cognitive_state, description_mismatch) getaggt. Jeder gescannte Skill enthält SKILL.md-Integritätshashes (MD5, SHA-1, SHA-256, TLSH) zur Verifizierung.
Der Unterschied zwischen einer Beschreibung und der Wahrheit
Jede AI Skills Check-Bewertung enthält einen direkten Vergleich, was ein Skill behauptet zu tun und was er tatsächlich tut – basierend auf tiefer Code- und Konfigurationsanalyse.
Beispiel – Ein markierter \"Business-Automation-Agent\"
Hilfreicher Assistent für Prospecting, E-Mail-Management und Content-Erstellung.
- •Überwachte Gmail-Posteingänge
- •Verfasste und versendete E-Mails autonom, ohne Genehmigung pro Aktion
- •Veröffentlichte geplante Beiträge auf Twitter, TikTok und LinkedIn
- •Speicherte historische Kommunikationsdaten zum Erlernen vergangener E-Mail-Muster
- •Leitete den gesamten Datenverkehr über einen kostenlosen Hosting-Dienst ohne organisatorische Vertrauenssignale
befunde
Kritisch eingestuft
Ohne Verhaltensvergleich würden Sie nur eine Beschreibung sehen, die produktiv klingt.
Das ist die Lücke, die AI Skills Check schließt.
Funktioniert mit den Agenten und Registries, die Ihr Team bereits nutzt
Weitere Integrationen folgen.
Insgesamt mehr als 25 Bedrohungstypen.
Entwickelt für Teams, die agentische KI in der Produktion einsetzen
CISOs & Sicherheitsverantwortliche
Benötigen eine fundierte Antwort auf die Frage \"Wie sichern wir agentische KI ab?\" für ein Multi-Agenten-Estate.
AppSec- & Platform-Security-Teams
Erweitern Supply-Chain-Kontrollen auf eine Schicht, die SCA und SAST nicht abdecken.
Developer Productivity & Platform Engineering
Genehmigen Skills für den internen Einsatz in Claude Code, Cursor, Windsurf und benutzerdefinierten Agenten.
GRC & Compliance
Teams, die strukturierte, CVSS-bewertete Befunde benötigen, die MITRE ATLAS und OWASP LLM Top 10 zugeordnet werden können.
Incident-Responder
Untersuchung skill-basierter Kompromittierungen mit Integritätshashes und einem Forensik-Trail für Verhaltensdaten.
Was Sie mit Mondoo AI Skills Check erhalten
Kostenloser öffentlicher Scanner
Suchen Sie jeden Skill nach Name, Registry oder PURL. Kein Abonnement.
Agenten-agnostische Abdeckung
Claude Code, Cursor, Windsurf, benutzerdefinierte Anthropic-SDK-Agenten, MCP-Server.
Registry-unabhängig
ClawHub, Skills.sh, GitHub und jede per PURL identifizierte Quelle.
Leaderboard & Risikolisten
Prüfen Sie, was Ihr Team wahrscheinlich bereits nutzt, gerankt nach Beliebtheit und Risiko.
Öffentliche Bewertungsseiten
Teilbare, verlinkbare Risikoberichte mit Befunden, Integritätshashes und Verhaltensanalyse.
Framework-Ausrichtung
MITRE ATLAS zugeordnet, OWASP LLM Top 10 ausgerichtet, CVSS bewertet.
Enterprise-Assessment
Scanning privater Skills, CI-Integration und Governance-Workflows für Organisationen mit internen Skill-Mirrors oder proprietären Skills.
Warum Mondoo
Die Plattform für agentisches Vulnerability-Management
Mondoo hat jahrelang mehr als 300 Organisationen – darunter Fortune-50-Unternehmen – dabei geholfen, die Lücke zwischen dem Auffinden von Schwachstellen und deren tatsächlicher Behebung zu schließen. Kunden, die Mondoo einsetzen, haben:
KI-Agent-Sicherheit ist die nächste Grenze dieser Mission. Wir heben das Niveau für alle an – kostenlos, agenten-agnostisch und ohne Abonnement – anstatt es hinter einer Paywall zu sperren.
Teams installieren KI-Agent-Skills mit sehr wenig Transparenz darüber, wie sie sich tatsächlich verhalten oder worauf sie zugreifen. Diese Skills können im Auftrag von Nutzern handeln, was den Einsatz erheblich erhöht. Wir haben AI Skills Check entwickelt, um diese Lücke zu schließen, damit Organisationen echte Risiken erkennen können, bevor ein Skill überhaupt Zugang zu Ihren Systemen erhält – und das kostenlos.
Drei Wege, um Ihr Agenten-Estate noch heute abzusichern
Einen öffentlichen Skill scannen – kostenlos.
Suchen Sie nach Name, Registry oder PURL auf mondoo.com/ai-agent-security. Kein Abonnement erforderlich.
Jetzt scannenPrüfen, was Ihr Team bereits verwendet.
Durchsuchen Sie das Most-Popular-Leaderboard und die Most-Risky-Liste, um zu sehen, welche weit verbreiteten Skills die höchsten Risikobewertungen aufweisen.
Skills erkundenPrivate oder interne Skills bewerten.
Für Organisationen, die Bewertungen zu proprietären Skills benötigen oder AI Skills Check in CI- und Governance-Workflows über alle Agenten ihres Estates integrieren möchten.
Assessment anfordernKI-Agent-Skills sind Infrastruktur. Sichern Sie sie entsprechend ab.
Sie sind das Bindegewebe zwischen den Absichten Ihrer Entwickler und den Aktionen, die Agenten in ihrem Namen ausführen. Diese Schicht abzusichern ist keine Option – es ist dieselbe Kategorie von Problem wie das Absichern Ihrer Container-Images, Ihrer IAM-Richtlinien oder Ihrer Software-Supply-Chain. Und wie bei diesen Kategorien braucht es eine einheitliche Steuerungsebene, nicht ein Tor pro Anbieter.