Codewall berichtet, ein autonomer KI‑Agent habe in rund einer Stunde mehrere Schwachstellen verknüpft und Adminzugang bei Jack & Jill erhalten. Jack & Jill meldet Patches; unabhängige Prüfung fehlt.
In Kürze
- Agent verknüpfte vier Schwachstellen (CVSS 9.8) und erhielt Adminzugang
- Voice‑Räume ohne Authentifizierung ermöglichten TTS‑Social‑Engineering‑Versuche
- Alle Angaben stammen von Codewall; unabhängige Verifikation fehlt
Ein autonomer KI‑Agent hat nach Angaben der Sicherheitsfirma Codewall innerhalb von rund einer Stunde kritische Schwachstellen der Londoner Recruiting‑Plattform Jack & Jill ausgenutzt und sich volle Administratorrechte für Unternehmenskonten verschafft. Jack & Jill sagte dem Bericht nachgehend Lücken geschlossen; eine unabhängige Bestätigung der Vorfälle gibt es bislang nicht.
Was Jack & Jill ist
Jack & Jill ist ein KI‑Startup mit einem 20‑Millionen‑Dollar‑Seedinvestment, das zwei Assistenz‑Agenten anbietet: „Jack“ für Bewerbende und „Jill“ für Unternehmen. Beide Seiten nutzen getrennte Logins. Laut Firmenangaben sollen Kunden Firmen wie Anthropic, Stripe, Monzo und Cursor sein.
Wie der Angriff laut Codewall funktionierte
Codewall berichtet, sein autonomer Agent habe vier Sicherheitslücken verknüpft — bewertet mit CVSS 9.8 (sehr kritisch) — und so eine vollständige Übernahme einer Organisation erreicht. Die Schwachstellen in einfachen Worten:
- öffentlich erreichbare API‑Informationen,
- ein Testmodus des Anmeldesystems mit festem Einmalcode (erlaubt Anmeldung ohne echte Nutzerprüfung),
- fehlende Prüfungen beim Unternehmens‑Onboarding,
- ein Endpunkt, der Nutzer allein anhand ihrer E‑Mail‑Domain einer Firma zuordnet.
Mit dieser Kette habe der Agent dem Bericht zufolge ein Konto mit einer fremden Firmen‑Domain erstellt, sich über den Testmodus eingeloggt, wurde automatisch der Firma zugeordnet und erhielt nach dem Onboarding Admin‑Rechte. Mit diesen Rechten sollen Teamnamen und E‑Mails einsehbar gewesen sein; außerdem ließ sich ein unterzeichneter Vertrag lesen, Stellenanzeigen verändern und auf den KI‑Assistenten der Firma zugreifen.
Voice‑Interaktion und Rollen‑Imitation
Ein besonderes Ergebnis der Tests betrifft die Sprachfunktion der Plattform: Codewall sagt, der Agent habe festgestellt, dass für Voice‑Räume keine Nutzer‑Authentifizierung notwendig sei. Er erzeugte synthetische Sprachclips (Text‑to‑Speech), trat einem Voice‑Raum bei und führte 28 Gesprächsrunden mit „Jack“. Die Interaktionen eskalierten von harmlosen Fragen bis zu Social‑Engineering‑ und Jailbreak‑Versuchen. Laut Bericht hielten Schutzmechanismen größtenteils stand, trotzdem halluzinierte „Jack“ an einigen Stellen stark: Als der Agent sich als Donald Trump ausgab und eine große Übernahme behauptete, reagierte „Jack“ mit „Mr. President“, ohne die Prämisse zu hinterfragen.
Keine unabhängige Verifizierung — und ein früherer Fall
Alle Details stammen bisher ausschließlich aus dem Codewall‑Bericht; unabhängige Prüfungen oder Bestätigungen liegen nicht vor. Codewall hatte zuvor einen ähnlichen Bericht über McKinseys interne KI‑Plattform Lilli veröffentlicht. Dort behauptete die Firma, in rund zwei Stunden Lese‑ und Schreibzugriff auf eine Produktionsdatenbank mit 46,5 Millionen Chat‑Nachrichten erhalten zu haben. McKinsey patchte damals die Lücke und erklärte, eine forensische Untersuchung habe keinen unbefugten Zugriff auf Kundendaten ergeben.
Der Sicherheitsanalyst Edward Kiledjian kommentierte, die Angriffskette könne technisch plausibel sein, aber Codewall könnte in seinen Berichten den nachgewiesenen Umfang überzeichnen und bloßen Zugang mit tatsächlichem Datenabfluss (Exfiltration) vermischen.
Was das für KI‑Agenten und Sicherheit bedeutet
Sicherheitsforscher sehen in autonomen KI‑Agenten neue Angriffsflächen: Je mehr Autonomie und Zugriff ein Agent hat, desto größer sind potenzielle Missbrauchsmöglichkeiten. Ein typisches Problem ist „Prompt Injection“ — also das Einschleusen von Anweisungen in Eingabetexte, die den Agenten zu falschem oder schädlichem Verhalten bringen können, ohne dass ein Nutzer es sofort merkt. Unternehmen stehen vor einem Spannungsfeld: Risiken lassen sich durch restriktivere Einstellungen, strengere Regeln, begrenzte Tool‑Nutzung und mehr menschliche Prüfungen reduzieren; gleichzeitig können KI‑Werkzeuge auch zur Abwehr eingesetzt werden, etwa indem sie große Log‑ und Netzwerkdatenmengen schnell analysieren und Anomalien erkennen.
Quellen
Alle hier wiedergegebenen Informationen stammen aus dem Bericht von Codewall; eine unabhängige Verifikation der Vorfälle liegt nicht vor.
Quellen
- Quelle: Codewall / Jack & Jill
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
