Ein unbekannter Angreifer nutzt einen Large Language Model (LLM) Agenten, um nach der Kompromittierung Aktionen durchzuführen, nachdem er durch Ausnutzung einer kürzlich bekannt gewordenen Schwachstelle in einem öffentlich zugänglichen Marimo-Netzwerk initialen Zugriff erlangt hat.  "Der Angreifer kompromittierte ein internetfähiges Marimo-Notebook über CVE-2026-39987, extrahierte zwei Cloud-Anmeldeinformationen vom kompromittierten Host, spielte diese über einen verteilten Egress-Pool erneut ab, um einen privaten SSH-Schlüssel aus **AWS Secrets Manager** abzurufen, und nutzte diesen Schlüssel, um acht kurze SSH-Sitzungen gegen einen nachgeschalteten SSH-Bastion-Server zu initiieren", sagte **Sysdig** [hier](https://www.sysdig.com/blog/ai-agent-at-the-wheel-how-an-attacker-used-llms-to-move-from-a-cve-to-an-internal-database-in-4-pivots). "Die Bastion-Phase exfiltrierte das Schema und den vollständigen Inhalt einer internen PostgreSQL-Datenbank in weniger als zwei Minuten." ### CVE-2026-39987: Eine kritische RCE-Schwachstelle **CVE-2026-39987** bezeichnet eine kritische, vorauthentifizierte Remote Code Execution (RCE)-Schwachstelle, die alle Marimo-Versionen vor und einschließlich 0.20.4 betrifft. Sie ermöglicht einem nicht authentifizierten Angreifer die Ausführung beliebiger Systembefehle. Das Problem wurde in Version 0.23.0 behoben, die letzten Monat veröffentlicht wurde. Die Sicherheitslücke wird seitdem aktiv ausgenutzt, wobei Angreifer sie nutzen, um manuelle Erkundungen gegen Honeypot-Systeme zu starten und zu versuchen, sensible Daten zu stehlen. ### LLM-Agent automatisiert Post-Exploitation Die neueste von Sysdig dokumentierte Aktivität folgt demselben Muster, wobei der Hauptunterschied darin besteht, dass ein LLM-Agent zur Steuerung der Post-Exploitation-Aktivitäten verwendet wurde. Der Vorfall, so die Cloud-Sicherheitsfirma, wurde am 10. Mai 2026 aufgezeichnet, wobei der Angreifer Anmeldeinformationen aus der Umgebung sammelte und dann den geernteten AWS-Zugriffsschlüssel verwendete, um API-Aufrufe gegen AWS Secrets Manager durchzuführen und einen privaten SSH-Schlüssel abzurufen. Minuten später soll der Angreifer die erste SSH-Authentifizierung auf dem SSH-Bastion-Server mit dem abgerufenen Schlüssel durchgeführt haben, gefolgt von der Initiierung von acht parallelen SSH-Sitzungen gegen den nachgeschalteten Server, um eine interne PostgreSQL-Datenbank abzuzapfen. Die End-to-End-Angriffskette dauerte etwas mehr als eine Stunde.  ### Indikatoren für LLM-Beteiligung Sysdig gab an, vier Indikatoren gefunden zu haben, dass ein LLM-Agent hinter der Aktivität steckte: 1. Der Angreifer improvisierte einen Datenbank-Dump ohne Vorkenntnisse des Schemas. 2. Ein chinesischsprachiger Plan-Kommentar, "看还能做什么" (was "Sehen wir, was wir noch tun können" bedeutet), wurde direkt im Befehlsstrom bei der Ausführung einer Anmeldeinformationssuche geleakt. "Der Datenbank-Hostname war undurchsichtig, ohne Anwendungsidentifikator auf der Festplatte und ohne vorab bereitgestellten Schema-Dump, dennoch landete die Kette innerhalb von Minuten auf einer Anmeldetabelle", sagte Sysdig. "Der Angreifer muss Ihre Umgebung nicht mehr sehen, um darin zu agieren." 3. Jeder Befehl ist für die Maschinenverarbeitung konzipiert, wobei jeder Befehl durch einen "---"-Delimiter getrennt ist, zusammen mit begrenzten Ausgabenerfassungen, Deaktivierung des "less"-Befehls und Verwerfen des Fehlerstroms (stderr), um Rauschen zu minimieren. 4. Die Übergabe von Werten erfolgt aus der Ausgabe vorheriger Tools. Mit anderen Worten, die Art und Weise, wie bestimmte Werte, z. B. Datenbankpasswörter, extrahiert wurden, impliziert, dass ein KI-Agent seine eigene vorherige Ausgabe – die Ausführung eines `cat`-Befehls der Datei `~/.pgpass` – in die nächste Aktion einspeist. In einem anderen Fall wird ein `cat`-Befehl zum Drucken des Inhalts einer bestimmten Datei (`cat ~/.ssh/id_ed25519`) ein `ls` (`list`)-Befehl vorangestellt, der dasselbe Dateimuster als Eingabe übergibt (`ls -la ~/.ssh/id_ed25519*`), um zu bestätigen, dass der SSH-Schlüssel existiert. ### Auswirkungen für Verteidiger "Wenn ein geskripteter Operator ein zielgerichtetes Playbook erstellt und wiederverwendet, ist die Hürde für das Hinzufügen eines neuen Ziels die Entwicklungszeit", schloss Sysdig. "Ein Agent-Operator verfügt jedoch über allgemeine Vorkenntnisse über eine Klasse von Anwendungen und stellt die Kette live zusammen, um sie am besten an sein Ziel anzupassen. Hier wird die Hürde zum Inferenzbudget, nicht zur Playbook-Erstellung." "Die für Verteidiger relevante Eigenschaft eines Agenten im Loop ist die Anpassungsfähigkeit. Ein geskripteter Angreifer stößt auf eine fehlende Datei, ein unerwartetes Schema oder einen Authentifizierungsfehler und bricht entweder ab oder fällt auf einen hartcodierten Fallback zurück. Ein Agent liest die Überraschung, entscheidet, was als Nächstes versucht werden soll, und macht weiter." ### Empfehlungen Um diese Bedrohung abzuwehren, wird empfohlen, auf die neueste Version von Marimo zu aktualisieren, Umgebungen auf öffentlich zugängliche Instanzen zu überprüfen und Anmeldeinformationen, API-Schlüssel und SSH-Schlüssel zu rotieren.