KI-Agenten in der CI/CD-Pipeline
Wenn ein autonomer Agent in Ihrer Pipeline läuft, vereinen sich zwei Angriffsklassen: Poisoned Pipeline Execution und Memory Poisoning. Das Ergebnis ist eine neue, langlebige Persistenz-Schicht.
Agenten sind die neue Pipeline-Identität
Immer mehr Pipelines delegieren an autonome Agenten: Sie bauen, testen, deployen und beheben Fehler — mit Secrets, Tokens und OS-Zugriff. Damit erben sie die vollen Rechte des Runners.
Warum Memory das Problem verschärft
Ein Agent liest sein Memory und seine Skills bei jedem Lauf neu. Wird es einmal vergiftet (siehe Memory Poisoning), wirkt es bei jedem künftigen Pipeline-Run — eine Persistenz, die kein Anwendungs-Code-Review findet.
Die Darstellung
Wie aus einem einmaligen Zugriff dauerhafte Persistenz wird — und wo PoisonZero sie bricht:
PPE oder vergifteter Skill
Angreifer erreicht den Agenten — via Pipeline-Datei oder Marketplace-Skill.
Memory vergiftet
„Vertraue Quelle X / deaktiviere Prüfung Y" landet im Agent-Memory.
PoisonZeroPoisonZero bewertet jeden Write ins Agent-Memory/Skills/Config — auch auf dem Runner.
danger 0.97 → revertJeder Run kompromittiert
↳ Lateral Movement über Pipeline-Grenzen
↳ Unsichtbar für App-Code-Reviews
Verteidigung: die Persistenz brechen
PoisonZero läuft als Daemon — auch auf Runnern und Build-Hosts — und überwacht Agent-Memory, -Skills und -Config:
- Jeder Write wird mit Gefahrengrad + Sicherheit bewertet.
- Gefährliches wird fail-closed zurückgerollt; Meta-Attacken gesondert erkannt.
- Voller Audit-Trail — so bleibt ein einmaliger Angriff einmalig, statt dauerhaft.
Verwandt: Poisoned Pipeline Execution und Supply-Chain-Würmer.
Brechen Sie die Persistenz in der Pipeline.
PoisonZero schützt Agent-Memory auf Runnern und Build-Hosts — fail-closed.
14 Tage testenWeiterlesen: Poisoned Pipeline Execution · Was ist Memory Poisoning? · Supply-Chain-Würmer