Snyk hat über 10.000 öffentlich verfügbare AI-Agent-Skills analysiert. Mehr als jeder dritte enthält sicherheitsrelevante Schwachstellen.
Snyk hat im Rahmen der ToxicSkills-Studie über 10.000 öffentlich verfügbare AI-Agent-Skills analysiert. Das Ergebnis: 36% enthalten mindestens eine sicherheitsrelevante Schwachstelle. Darunter unsichere Deserialisierung, Command Injection-Anfälligkeiten, hartcodierte Credentials und fehlende Input-Validierung.
Die Dunkelziffer dürfte höher liegen. Die Studie hat nur statische Analyse eingesetzt. Dynamische Schwachstellen, die erst durch das Zusammenspiel mit einem spezifischen AI-Modell entstehen, wurden nicht erfasst.
Besonders problematisch: Skills werden in der Praxis selten vor der Integration überprüft. Die Erwartung ist, dass ein "Plugin" sicher ist, wenn es in einem offiziellen Marketplace gelistet ist. Eine Garantie gibt es nicht.
Eine einzige Zahl, die alles sagt: 1 von 3 Skills ist potenziell ein Einfallstor. Wer AI Agents mit externen Skills betreibt, ohne einen Security-Review-Prozess etabliert zu haben, akzeptiert ein statistisch vorhersehbares Risiko.
Ist Ihr Unternehmen betroffen?
Wir prüfen, ob und wie dieser Angriffsvektor Ihre KI-Systeme betrifft. Im AI Security Quick Check in wenigen Tagen.
Jetzt anfragen