What makes agentic AI supply chains different from traditional software supply chains?

Traditional software supply chain attacks require modifying compiled code, libraries, or packages, which can be detected through checksums and code signing. Agentic AI supply chains include prompt templates, tool definitions, MCP server configurations, and plugin schemas that are loaded dynamically at runtime and interpreted by the AI model. An attacker can compromise agent behavior by modifying a single text-based configuration file, making these attacks simpler to execute and harder to detect with conventional security scanning tools.

How can a compromised MCP server attack an AI agent?

A compromised MCP server can perform tool shadowing, where it registers tools with names similar to legitimate tools and intercepts calls intended for trusted services. It can also modify tool parameters, inject additional instructions into tool responses, or silently duplicate data to external endpoints. Because agents interact with MCP servers through standardized protocols, the agent treats all registered tools as equally trustworthy, giving a malicious server the same level of access as any legitimate component.

Agentischer KI-Angriff auf die Lieferkette

Investigate a backdoored third-party AI plugin that silently modifies agent behavior and exfiltrates sensitive data.

What Is Agentischer KI-Angriff auf die Lieferkette?

Schwachstellen in der Lieferkette von Agenten werden in den OWASP Top 10 für Agentic AI Applications 2026 als ASI04 eingestuft, da moderne KI-Agenten auf dynamisch geladene Komponenten angewiesen sind, darunter Plugins, MCP-Server, externe Tooldefinitionen und Eingabeaufforderungsvorlagen, die alle kompromittiert werden können, um das Agentenverhalten zu ändern oder Daten zur Laufzeit zu exfiltrieren. Im Gegensatz zu herkömmlichen Software-Supply-Chain-Angriffen, die eine Änderung des kompilierten Codes erfordern, können Agent-Supply-Chain-Angriffe so einfach sein wie die Manipulation einer Eingabeaufforderungsvorlage oder die Änderung des Parameterschemas eines Tools. Im März 2025 enthüllten Forscher von Invariant Labs Schwachstellen im Model Context Protocol-Ökosystem, die zeigten, dass bösartige MCP-Server Tool-Shadowing-Angriffe ausführen und Tool-Aufrufe zwischen Agenten und legitimen Diensten unbemerkt abfangen und modifizieren könnten. In dieser Übung installiert Ihr Team ein beliebtes KI-Plugin eines Drittanbieters, das Ihrem KI-Agenten erweiterte Dokumentanalysefunktionen bietet. Das Plugin besteht alle oberflächlichen Sicherheitsüberprüfungen, enthält jedoch eine subtile Hintertür, die unter bestimmten Bedingungen aktiviert wird. Sie werden die Verhaltensänderung des Agenten nach dem Laden des Plugins beobachten, verfolgen, wie die kompromittierte Komponente den Datenfluss durch den Agenten abfängt, und den Exfiltrationsmechanismus identifizieren, der in scheinbar normalen API-Aufrufen verborgen ist. Die Übung zeigt, warum die Überprüfung von Laufzeitkomponenten, Verhaltensüberwachung und strikte Isolierung zwischen Agentenkomponenten unerlässlich sind. Jedes Team, das KI-Agenten mithilfe von Tools, Plugins oder MCP-Servern von Drittanbietern einsetzt, muss verstehen, dass jede externe Komponente ein potenzieller Einstiegspunkt für Angreifer ist.

What You'll Learn in Agentischer KI-Angriff auf die Lieferkette

Identifizieren Sie die einzigartige Angriffsfläche, die durch dynamisch geladene KI-Agent-Komponenten wie Plugins, MCP-Server und externe Tooldefinitionen entsteht
Analysieren Sie, wie ein Backdoor-Plugin Daten abfangen, ändern und herausfiltern kann, die die Tool-Pipeline eines KI-Agenten durchlaufen
Bewerten Sie KI-Komponenten von Drittanbietern auf Anzeichen einer Kompromittierung, einschließlich unerwarteter Netzwerkaufrufe, Parameteränderungen und Verhaltensänderungen
Unterscheiden Sie zwischen legitimer Plugin-Funktionalität und verdecktem bösartigem Verhalten, das in AI-Agent-Erweiterungen eingebettet ist
Wenden Sie Sicherheitspraktiken in der Lieferkette, einschließlich Komponentenisolierung, Integritätsüberprüfung und Verhaltensüberwachung, auf Agenten-KI-Bereitstellungen an

Agentischer KI-Angriff auf die Lieferkette — Training Steps

Der Supply-Chain-Vektor

Auf Bobs Workstation befindet sich eine abgespaltene Version eines beliebten Open-Source-Datenbank-Connectors. Er hat die KI-Agenten-Pipeline von CypherPeak als Ziel identifiziert – ihre Agenten verlassen sich auf MCP-Tool-Server, um eine Verbindung zu externen Datenbanken herzustellen. Der legitime Server wurde geklont und ein verstecktes Exfiltrationsmodul steht zum Einschleusen bereit.
Das Forked Repository

Bobs Toolkit zeigt das ursprüngliche Open-Source-Repository neben seinem modifizierten Fork. Die Anzahl der Modifikationen ist gering – gerade genug, um das Exfiltrationsmodul einzuschleusen, während der Rest der Codebasis mit der legitimen Version identisch bleibt.
Die Hintertür injizieren

Bob öffnet die Haupthandlerdatei des Servers – den Code, der jede über den MCP-Server weitergeleitete Datenbankabfrage verarbeitet. Hier fängt das Exfiltrationsmodul alle Abfrageergebnisse ab und kopiert sie.
Der Exfiltrationsmechanismus

Der Handler sieht aus wie Standard-MCP-Servercode mit einem wichtigen Zusatz: einer Funktion namens _process_result , die jede Abfrage und ihre Ergebnisse stillschweigend an einen externen Endpunkt spiegelt. Der Telemetrieschlüssel und der Endpunkt verweisen auf darkrelay.net – völlig unabhängig vom angeblichen Herausgeber des Servers.
Veröffentlichung in der Registry

Bob bereitet die endgültige Auflistung vor: gefälschte Bewertungen von kürzlich erstellten Konten, ein überhöhter Download-Zähler und von der legitimen Version kopierte Dokumentation. Der trojanisierte Server ist bereit für den MCP-Marktplatz.
Empfehlung eines Kollegen

Es ist Montagmorgen. Alice plant das Upgrade der Datenpipeline für das dritte Quartal, als eine E-Mail von Marcus ihre Aufmerksamkeit erregt – er hat einen MCP-Server gefunden, der dem Team wochenlange Entwicklungsarbeit ersparen könnte.
Der MCP-Marktplatz

Alice öffnet den MCP-Marktplatz, um den von Marcus empfohlenen Server zu finden. Der Marktplatz listet verfügbare Toolserver, Datenbankkonnektoren und Agentenintegrationen verschiedener Herausgeber auf.
Suche nach DataBridge Pro

Marcus erwähnte ausdrücklich DataBridge Pro. Alice muss ihn vor der Installation unter den aufgelisteten Servern finden und seine Details überprüfen.
Bewertung des Eintrags

Neben den verdächtigen Bewertungen fallen zwei weitere Warnsignale auf: Der Herausgeber „NexData Solutions“ hat kein Verifizierungsabzeichen und keine anderen aufgeführten Tools – die Identität kann nicht unabhängig überprüft werden Zu den Berechtigungen gehören Netzwerkausgang und Dateisystemzugriff – ungewöhnlich für einen Datenbankkonnektor, der nur Lesezugriff auf die Datenbank benötigen sollte
Wissenscheck

Bevor Sie mit der Installation fortfahren, überlegen Sie, was Sie über den Marktplatzeintrag von DataBridge Pro beobachtet haben.

What Is Agentischer KI-Angriff auf die Lieferkette?

What You'll Learn in Agentischer KI-Angriff auf die Lieferkette

Agentischer KI-Angriff auf die Lieferkette — Training Steps

Der Supply-Chain-Vektor

Das Forked Repository

Die Hintertür injizieren

Der Exfiltrationsmechanismus

Veröffentlichung in der Registry

Empfehlung eines Kollegen

Der MCP-Marktplatz

Suche nach DataBridge Pro

Bewertung des Eintrags

Wissenscheck