Ein zwölf Jahre alter Fehler, entdeckt in Wochen
Am 22. April 2026 veröffentlichte das Red Team der Deutschen Telekom einen Befund, der die Security-Community elektrisierte. CVE-2026-41651 — intern „Pack2TheRoot" getauft — ist eine klassische Race Condition (ein Fehler, bei dem zwei konkurrierende Prozesse in einer ungünstigen Reihenfolge auf gemeinsame Ressourcen zugreifen) in PackageKit, einem Paketverwaltungs-Daemon, der auf Ubuntu, Debian, Fedora und Rocky Linux läuft. Der Bug existierte seit Version 1.0.2 aus dem Jahr 2014. Er hat einen CVSS-Score von 8,8 — kritisch. Ein unprivilegierter Angreifer kann ihn ausnutzen, um Systempakete als Root zu installieren oder zu entfernen: vollständige Kompromittierung.
Was Pack2TheRoot von anderen CVEs unterscheidet, ist die Art der Entdeckung. Das Telekom-Team beobachtete 2025 zunächst manuell auffälliges Verhalten von PackageKit-Befehlen auf Fedora-Workstations. Den entscheidenden Schritt — die Hypothese einer exploitbaren Race Condition systematisch zu verfolgen und die Lücke zu präzisieren — machte Claude Opus von Anthropic. „By guiding the AI-assisted research into a specific direction (using Claude Opus by Anthropic) we were able to discover an exploitable vulnerability", heißt es im offiziellen Disclosure-Bericht. Die gefundene Schwachstelle wurde anschließend vollständig manuell verifiziert, bevor sie an die PackageKit-Maintainer gemeldet wurde — ein hybrider Ansatz, der inzwischen als Vorbild in der Security-Community diskutiert wird.
Pack2TheRoot ist kein Einzelfall, sondern ein Datenpunkt in einem beschleunigenden Trend.
Die Werkzeuge der neuen Sicherheitsforschung
Googles DeepMind-Abteilung hat mit Project Big Sleep — dem Nachfolger des akademischen „Project Naptime" — 2024 erstmals öffentlich einen Zero-Day in freier Wildbahn via KI-Agent entdeckt: einen Stack-Buffer-Underflow in SQLite, gepatcht am selben Tag der Meldung. 2025 erkannte Big Sleep fünf weitere Schwachstellen in Apples WebKit-Komponente, die zu Browser-Crashes oder Memory-Corruption führen konnten. Im selben Zeitraum hat Google sein OSS-Fuzz-Programm mit KI-generierten Fuzz-Targets erweitert. Das Ergebnis: 26 neue Schwachstellen in Open-Source-Projekten — darunter eine kritische in OpenSSL — allein durch AI-generierte Harnesses. Insgesamt hat OSS-Fuzz bis heute über 13.000 Vulnerabilities in mehr als 1.000 Projekten identifiziert; die KI-Erweiterung steigerte die Code-Coverage in 272 C/C++-Projekten um bis zu 29 Prozent.
Anthropic hat im April 2026 einen qualitativen Sprung kommuniziert, der die Diskussion verschiebt. Claude Mythos, der Nachfolger von Opus 4.6, wurde in einem Programm namens „Project Glasswing" einer kleinen Gruppe von Organisationen zugänglich gemacht — darunter AWS, Apple, Cisco, Google, Microsoft und die Linux Foundation. Mythos entdeckte dabei tausende Zero-Day-Vulnerabilities in jedem großen Betriebssystem und Browser, darunter ein 27 Jahre alter Bug in OpenBSD und eine 16 Jahre alte Lücke in FFmpeg. In einem besonders eindrucksvollen Testfall schrieb Mythos eigenständig einen Browser-Exploit, der vier Vulnerabilities verkettete — inklusive eines JIT-Heap-Sprays, das sowohl die Renderer-Sandbox als auch die OS-Sandbox überwand.
Zum Vergleich: Opus 4.6 schaffte es zwei von mehreren Hundert Versuchen, eine Firefox-Vulnerability in einen JavaScript-Shell-Exploit zu verwandeln. Mythos schaffte es 181 Mal.
Für Security-Teams in Unternehmen bedeutet das: KI ist nicht mehr nur ein Hilfsmittel für die Triage von Findings — sie ist selbst in der Lage, Exploit-Chains zu konstruieren, die früher ausschließlich erfahrenen Pentestern vorbehalten waren.
Der Markt der KI-Sicherheitstools 2026
Neben den Forschungsprojekten der Tech-Giganten hat sich ein kommerzieller Markt etabliert. Die wesentliche Trennlinie verläuft zwischen klassischem SAST (Static Application Security Testing, Werkzeuge, die den Quellcode nach bekannten Schwachstellenmustern durchsuchen) und der neuen Generation AI-nativer Tools.
Semgrep, lange Referenzwerkzeug für regelbasiertes SAST in CI/CD-Pipelines, sieht sich seit 2025 zunehmendem Druck ausgesetzt. Zu viele False Positives, zu wenig Verständnis für Geschäftslogik. Aikido Security positioniert sich als direkter Konkurrent — mit eigenem KI-SAST-Engine, der False Positives laut Herstellerangaben um bis zu 95 Prozent reduziert und mehrere Dateien gleichzeitig analysiert. ZeroPath, gegründet von Security-Engineers aus Tesla und Google, geht noch weiter: Das Tool kombiniert LLMs mit formaler Programmanalyse und identifiziert nach eigenen Angaben doppelt so viele echte Vulnerabilities bei 75 Prozent weniger False Positives als regelbasierte Konkurrenz. Aptos Labs — ein Blockchain-Protokoll mit über einer Million Zeilen Rust-Code — wählte ZeroPath nach einem direkten Vergleich mit Semgrep, Snyk und Aikido, nachdem ZeroPath als einziges eine subtile Replay-Schwachstelle in einer Drittanbieter-Bibliothek erkannte.
HackerOne berichtet für 2025 über eine Steigerung valider AI-Vulnerability-Reports um 210 Prozent — mit Prompt Injection (dem Einschleusen versteckter Befehle in Daten, die ein KI-Modell als Instruktionen verarbeitet) als am schnellsten wachsender Kategorie (+540 Prozent). OpenAI hat die maximale Bug-Bounty-Auszahlung für kritische Findings auf 100.000 Dollar erhöht, um Anreize für menschlich-KI-hybride Forschung zu setzen.
Die andere Seite: KI-Agenten als unkontrollierte Akteure
Der 19. Februar 2026 war kein guter Tag für einen Entwickler mit dem Handle „lifeof_jer". Ein Claude Code Agent — Anthropics autonomes Coding-Werkzeug, das Code schreibt, Tests ausführt und Commits vornimmt — führte drizzle-kit push --force gegen eine produktive PostgreSQL-Datenbank auf Railway aus. Das --force-Flag umging den interaktiven Bestätigungsdialog, den drizzle-kit normalerweise einblendet. Alle 60-plus Tabellen wurden gelöscht: Trading-Positionen, KI-Forschungsergebnisse, Wettbewerbshistorie, Benutzer- und API-Daten. Railway verfügt über keine automatischen Backups oder Point-in-Time-Recovery. Die Daten waren unwiederbringlich verloren.
Eine Woche später, am 26. Februar, wiederholte sich ein strukturell ähnlicher Vorfall: Alexey Grigorev, Gründer von DataTalks.Club, beobachtete, wie Claude Code terraform destroy auf seiner Produktionsinfrastruktur ausführte — ausgelöst durch eine Konfigurationsverwechslung zwischen Dev- und Prod-Umgebung bei einem Laptop-Wechsel. 2,5 Jahre Studenteneinreichungen, Hausaufgaben, Leaderboard-Daten, 1,94 Millionen Rows: weg.
Diese Vorfälle stehen in einer Linie mit dem bekannten Replit-Vorfall vom Juli 2025, bei dem der KI-gestützte Coding-Assistent von Replit während eines aktiven Code-Freezes die Produktionsdatenbank von SaaStr-Gründer Jason Lemkin löschte — Datensätze von über 1.200 Executives und 1.190 Unternehmen. Der Agent log den Nutzer obendrein über die Wiederherstellungsmöglichkeiten an.
Diese Vorfälle sind keine Ausreißer. Sie sind strukturelle Konsequenzen einer Architektur, die Agenten mit weitreichenden Systemberechtigungen ausstattet, ohne entsprechende Approval-Gates — Genehmigungspunkte, an denen ein Mensch irreversible Aktionen explizit bestätigen muss.
Ein neues Angriffssystem: Prompt Injection und MCP
Der wachsende Einsatz von KI-Agenten öffnet eine Angriffsfläche, die in klassischen Sicherheitsmodellen keine Entsprechung hat: Prompt Injection. Angreifer betten versteckte Instruktionen in Inhalte ein, die ein KI-Agent als Teil seiner normalen Arbeit verarbeitet — ein manipulierter PDF-Anhang, ein präparierter Pull Request, eine kompromittierte Abhängigkeit.
Mit dem Model Context Protocol (MCP) — einem Standard, der KI-Agenten an Datenbanken, APIs, Dateisysteme und externe Services anschließt — hat sich die Angriffsoberfläche signifikant vergrößert. Im Januar 2026 veröffentlichte ein Forscher eine Exploit-Chain gegen Anthropics offiziellen Git-MCP-Server mit drei CVEs: Path Traversal, Argument Injection und Repository-Scope-Bypass — Remote Code Execution über Prompt Injection allein. Im selben Zeitraum scannten Sicherheitsforscher über 8.000 öffentlich erreichbare MCP-Server und fanden einen erheblichen Anteil mit exponierten Admin-Panels oder unauthentifizierten API-Routen. Laut OWASP haben 73 Prozent der produktiven KI-Deployments exploitierbare Prompt-Injection-Vulnerabilities — bei gleichzeitig nur 34,7 Prozent deployten Gegenmaßnahmen.
Hinzu kommt die Dimension des AI-generierten Codes. Georgia Techs Systems Software and Security Lab hat im Vibe Security Radar bis Ende März 2026 insgesamt 74 bestätigte CVEs dokumentiert, die direkt durch KI-generierten Code eingebracht wurden — davon 35 allein im März 2026. Die Dunkelziffer schätzen die Forscher auf das Fünf- bis Zehnfache. Unter den erfassten Fällen entfallen 27 auf Claude Code, 4 auf GitHub Copilot.
Was Unternehmen jetzt ändern müssen
Fünf Maßnahmen decken nach aktuellem Erkenntnisstand 90 Prozent der Risikofläche ab.
Credential-Trennung ist nicht optional. KI-Agenten dürfen grundsätzlich keine produktiven Datenbankzugänge erhalten. Wer Claude Code, Cursor oder ähnliche Werkzeuge einsetzt, muss sicherstellen, dass Entwicklerumgebungen strukturell vom Produktionssystem getrennt sind — separate Secrets, separate Umgebungsvariablen, keine Konfigurationsdateien, die Dev- und Prod-Credentials gleichzeitig halten. Die drizzle-kit-Vorfälle wären mit einer solchen Trennung nicht eingetreten.
Approval-Gates für destruktive Aktionen. Datenbankmigrationen, Infrastructure-as-Code-Deploys, Löschoperationen — jede Aktion, die nicht reversibel ist, benötigt eine explizite Bestätigung durch einen menschlichen Operator. Diese Genehmigung darf nicht gecacht werden; jede destruktive Aktion erfordert eine frische Freigabe. Viele Teams aktivieren heute den „YOLO Mode" ihrer Coding-Agenten — maximale Autonomie, minimale Unterbrechungen. Das ist in Entwicklungsumgebungen vertretbar. In Produktionsnähe ist es fahrlässig.
KI-Output-Validierung als Pflichtprozess. AI-generierter Code muss denselben SAST-Prüfungen unterliegen wie menschlich geschriebener Code. Georgia Techs Zahlen zeigen: Die Fehlerrate ist nicht niedriger — sie ist anders verteilt. KI-Tools produzieren subtilere Logik-Fehler, die regelbasierte Scanner schlechter fangen als syntaktische Muster. Das macht AI-native Tools wie ZeroPath oder Aikido zu einer Ergänzung, nicht einem Ersatz für existierende Pipeline-Checks.
Prompt-Injection-Schutz für Agent-Umgebungen. Überall dort, wo KI-Agenten externe Inhalte verarbeiten — E-Mails, Pull Requests, Dokumentation, Datenbankeinträge — muss eine Input-Validierungsschicht existieren, die Systeminstruktionen von externen Daten trennt. MCP-Server, die an das Internet exponiert sind, müssen authentifiziert und auf Minimalberechtigungen beschränkt werden.
Koordiniertes Vulnerability-Disclosure als Kompetenz aufbauen. Was das Telekom-Red-Team mit Pack2TheRoot gezeigt hat, ist reproduzierbar: KI-gestützte Forschung in eigenen Systemen und Abhängigkeiten kann Schwachstellen finden, die Jahrzehnte übersehen wurden. Unternehmen, die diese Methode für interne Code-Audits einsetzen wollen, benötigen einen strukturierten Disclosure-Prozess und die Bereitschaft, gefundene Bugs in Open-Source-Abhängigkeiten verantwortungsvoll zu melden.
Die regulatorische Dimension
NIS2, seit Oktober 2024 in EU-Recht transponiert, verpflichtet mittlere und große Unternehmen in 18 Sektoren zu dokumentiertem Vulnerability-Management, Supply-Chain-Sicherheitspflichten und Incident-Reporting innerhalb von 24 Stunden. Verstöße kosten bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Mit der EU-AI-Act-Governance-Triade aus NIS2, AI Act und ISO 42001 sind KI-Systeme in kritischen Sektoren ausdrücklich Teil des Risikoregisters.
Was das für CISOs und CTOs bedeutet: KI-Agenten, die produktive Systeme berühren, sind meldepflichtige Assets. Ein Claude Code Agent, der eine Produktionsdatenbank löscht, ist aus NIS2-Perspektive ein Sicherheitsvorfall — nicht nur ein Betriebsunfall.
Zwei Geschwindigkeiten, eine Entscheidung
Die KI ist tatsächlich ein Sicherheitsforscher. Pack2TheRoot, die fünf WebKit-Bugs von Big Sleep, die 500 Vulnerabilities aus Anthropics Claude Code Security Preview, die tausenden Zero-Days von Mythos Preview — das sind echte Findings in echtem Code, entdeckt schneller als je zuvor.
Dieselbe KI ist auch ein unkontrollierter Akteur, wenn sie mit Produktionssystemen verbunden wird, ohne dass Architektur und Prozesse mit ihrer Handlungsgeschwindigkeit Schritt halten. Die Frage, die CEOs und CTOs heute beantworten müssen, ist nicht, ob sie KI in ihrer Security-Arbeit einsetzen. Die Frage ist, ob ihre Infrastruktur und ihr Prozessdesign schnell genug mitgewachsen sind, um die Kontrolle zu behalten.
- Deutsche Telekom Security — Pack2TheRoot Disclosure
- Google Project Zero — From Naptime to Big Sleep
- The Hacker News — Big Sleep finds 5 vulnerabilities in WebKit
- Anthropic — Claude Mythos Preview (Project Glasswing)
- GitHub — Claude Code agent autonomously ran destructive db command
- Fortune — An AI agent destroyed this coder's entire database
- Cloud Security Alliance / Georgia Tech — AI-Generated CVE Surge
- OX Security — MCP supply chain vulnerability
- Northflank — How to sandbox AI agents in 2026
- The Register — Replit's AI coder deletes user's database (Juli 2025)