Was CISA aufnahm, und warum es eine Premiere ist

CISA hat CVE-2026-55255, einen Zugriffsfehler im Langflow-Framework zum Bau von KI-Agenten, in seinen Katalog aktiv ausgenutzter Schwachstellen aufgenommen und US-Behörden angewiesen, ihn binnen Tagen zu schliessen. Der Defekt ist eine unsichere direkte Objektreferenz im Endpunkt /api/v1/responses und betrifft jede Version vor 1.9.2: Die Autorisierung hing an einer vom Nutzer gelieferten Kennung, die der Server nie erneut prüfte, sodass ein angemeldeter Nutzer die Flows eines anderen aufrufen konnte.

Bemerkenswert ist nicht die Mechanik, sondern die Kategorie. Der Katalog listet seit Langem Betriebssysteme, Netzwerkgeräte und Unternehmensserver unter aktivem Angriff; Langflow ist die erste Plattform zum Bau von KI-Agenten, die je aufgenommen wurde. Das ist eine Wegmarke: Die Werkzeugebene, auf der Firmen Sprachmodelle in ihre eigenen Systeme einbinden, gilt nun als aktiv angegriffene Infrastruktur, nicht als Experimentierkasten.

Wie aus einem Bypass gestohlene Schlüssel wurden

Die Sicherheitsfirma Sysdig verfolgte eine reale Kampagne vom 22. bis 25. Juni, in der ein Akteur CVE-2026-55255 mit einer zweiten Langflow-Lücke, CVE-2026-33017, verkettete, um an fremde Flows zu gelangen und die darin gespeicherten Geheimnisse abzuziehen. Die Beute waren keine Dokumente oder Datenbankzeilen, sondern Zugangsdaten - API-Schlüssel von LLM-Anbietern und Amazon-Web-Services-Schlüssel, über Mandantengrenzen hinweg von geteilten oder aus dem Internet erreichbaren Instanzen entwendet.

Bei diesem Teil sollten Betreiber verweilen. Ein Agentenbaukasten dient dazu, Modelle, Daten und Cloud-Dienste zu verbinden, also speichert er von Natur aus die Schlüssel, die das Verbinden erledigen. Wenn die Zugriffsprüfung versagt, erhält der Angreifer keine verunstaltete Seite, sondern die Schlüssel, die auf Ihr Konto abgerechnet werden, Ihre Modelle betreiben und Ihre Cloud öffnen. Der Exploit machte eine Low-Code-Komfortschicht zu einem Schlüsseltresor mit defektem Schloss.

Warum Ihr Low-Code-KI-Stack jetzt Angriffsfläche ist

Die praktische Lehre lautet: Agenten- und Automatisierungsbaukästen bündeln wertvollste Zugangsdaten wie kaum ein anderes Werkzeug, weil jeder angebotene Konnektor ein Geheimnis zum Funktionieren braucht. Selbstbetrieb entschärft das nicht; eine aus dem Internet erreichbare Instanz eine Version hinter dem Patch genügt, und solche Werkzeuge gehen in einem experimentierenden Team oft schnell und ausserhalb der üblichen Prüfung online. Der Wirkungskreis ist jedes System, das diese gespeicherten Schlüssel erreichen.

Für einen europäischen Betreiber kommt eine Compliance-Kante hinzu. Unter NIS2 und DORA gehören der Vorfall und seine Meldefrist Ihnen, nicht dem Anbieter, wenn geleakte Anbieter-Schlüssel Betrug oder einen Ausfall auf Ihrem Mandanten ermöglichen. Die Massnahme ist also unspektakulär und konkret: jede genutzte Agenten- und Automatisierungsplattform inventarisieren, Langflow auf 1.9.2 oder höher heben, den Zugang beschränken und jeden LLM- und Cloud-Schlüssel rotieren, den die Instanz je hielt. Dann diese Werkzeuge in denselben Schwachstellen-Rhythmus einordnen wie jede andere aus dem Internet erreichbare Anwendung.