Die Regel wurde nie gebrochen

Am 30. Juni 2026 veröffentlichte das Sicherheitsteam von Microsoft eine Warnung zu den Tools, mit denen Ihre KI-Agenten verbunden sind. Das Problem ist kein Virus und keine ungepatchte Lücke. Es ist die kurze Klartext-Beschreibung, die jedem Tool beiliegt, um dem Agenten zu sagen, was das Tool tut und wann es einzusetzen ist. Ein Agent liest diesen Text und vertraut ihm. Ändert ein Angreifer ihn, folgt der Agent der Änderung.

Microsofts Beispiel ist bewusst unauffällig. Ein Finanz-Agent soll die letzten dreissig unbezahlten Rechnungen zusammenstellen und an einen Server senden. Jeder einzelne Schritt sieht legitim aus, also löst nichts einen Alarm aus. Der Agent wird nicht gehackt. Er wird angewiesen, an einer Stelle, die niemand zu bewachen dachte.

Es ist bereits passiert

Das ist kein Laborszenario. Im September 2025 fanden Forscher ein npm-Paket namens postmark-mcp, das ein legitimes E-Mail-Tool durch fünfzehn saubere Versionen gespiegelt hatte. Version 1.0.16 schmuggelte eine einzige Zeile ein, die heimlich jede E-Mail, die der Agent versendete, an eine externe Adresse kopierte. Teams, die das Tool Monate zuvor freigegeben hatten, waren in dem Moment ungeschützt, in dem sie es aktualisierten.

Diese Art von Angriff funktioniert weiterhin, weil die meisten Kontrollen das Modell überwachen, nicht den Werkzeugkasten. Ein Prompt-Filter liest, was der Nutzer tippt. Er liest nicht erneut die Beschreibung eines Tools, dem der Agent seit sechs Monaten vertraut, und genau dort versteckt sich nun die Anweisung.

Behandeln Sie Ihre Tools als Lieferkette

Microsofts eigener Leitfaden ist der richtige Rahmen für einen Unternehmer. Jedes angebundene Tool ist Teil Ihrer Lieferkette. Führen Sie eine Liste freigegebener Tool-Herausgeber, schalten Sie Alles-erlauben ab und lassen Sie jeden Agenten nur die konkreten Tools nutzen, die er braucht. Behandeln Sie die Beschreibung eines Tools wie einen System-Prompt, prüfen Sie jede Änderung daran so, wie Sie eine Code-Änderung prüfen würden, und markieren Sie Befehle, die in einem Hilfetext nichts zu suchen haben.

Nichts davon erfordert ein neues Produkt. Es erfordert zu wissen, womit Ihre Agenten verbunden sind, wer es geschrieben hat und was sich seit Ihrer Freigabe geändert hat. Die meisten Firmen, die Agenten in Finanzwesen, Einkauf und Support ausrollen, können diese drei Fragen heute nicht beantworten, und das ist die eigentliche Gefahr.