Apps & Mobile Entwicklung
Claude Code und Co.: Wie sich autonome KI-Agenten im Web angreifen lassen
Je mehr sich KI-Agenten verbreiten, die autonom durch das Web steuern, desto relevanter werden die Sicherheitsrisiken, die von entsprechenden Systemen ausgehen. DeepMind-Forscher geben in einer Studie (via Decoder) nun einen systematischen Überblick über Angriffsmuster, die sie als Agenten-Fallen beschreiben.
Was sich mit den autonomen Agenten verändert, sind grundlegende Charakteristika des Webs, heißt es in dem Paper. Bislang war das Web für menschliche Augen gebaut, nun erfolgt der Wandel zum maschinellen Lesen.
Es gibt verschiedene Möglichkeiten, die KI-Agenten zu attackieren. Angreifer können etwa Inhalte ins Web stellen, die manipulierte Prompts enthalten. Möglich ist aber auch, die Wissensbasis oder die Reasoning-Fähigkeiten der Modelle zu attackieren, sodass der Output kompromittiert wird, ohne dass ein schadhafter Prompt-Befehl nötig wäre. Und die Menschen, die Agenten bedienen, können ebenso das Ziel von Angreifern sein.
Insgesamt sind es sechs Angriffstypen für Agenten-Fallen („AI Agent Traps“) im Web, die die DeepMind-Forscher in ihrem Framework beschreiben:
- Content Injection Traps
Ziel: Wahrnehmung
Angriffsart: Eingebettete Befehle in Bereichen wie CSS, HTML, Metadaten oder Syntax-Masken, die für Menschen unsichtbar, aber für den Agenten auswertbar sind. - Semantic Manipulation Traps
Ziel: Reasoning
Angriffsart: Input-Daten so manipulieren, dass das Schlussfolgern eines Agenten verzerrt wird, ohne dass entsprechende Prompt-Eingaben nötig sind. - Cognitive State Traps
Ziel: Speicher und Lernen
Angriffsart: Schadhafte Informationen in das interne Gedächtnis, die Wissensbasis und die gelernten Verhaltensweisen eines Agenten einschleusen, sodass diese dauerhaft korrumpiert sind. - Behavioural Control Traps
Ziel: Aktionen
Angriffsart: Explizite Anweisungen, die die Handlungsfähigkeiten eines Agenten ausnutzen, um Ziele des Angreifers zu verfolgen. - Systemic Traps
Ziel: Multi-Agent-Systeme
Angriffsart: Eine Umgebung so manipulieren, dass über korrelierendes Verhalten großskalige Fehlfunktionen von mehreren Agenten ausgelöst werden. - Human in the Loop
Ziel: Menschlicher Aufseher
Angriffsart: Agenten so manipulieren, dass kognitive Fehleinschätzungen menschlicher Aufseher ausgenutzt werden.
In der Praxis überschneiden sich die einzelnen Agenten-Fallen oder Angreifer nutzen mehrere Mechanismen, um ihre Ziele zu erreichen. Noch sind nicht alle Bereiche gleichermaßen erforscht oder relevant. Während Content Injections oder Beavioural Control Taps besser verstanden sind (und häufiger auftreten), sind Angriffsfelder wie Human-in-the-Loop bislang eher eine theoretische Angriffsfläche, die die Forscher antizipieren.
Welche Probleme in der Praxis auftreten, hat der IT-Sicherheitsforscher Johann Rehberger auf dem Hacker-Kongress 39C3 im Dezember 2025 beschrieben. Bei den Sicherheitslücken handelte es sich um Content Injections, also manipulierte Prompt-Eingaben. Anbieter schließen zwar solche Schwachstellen, schon heute ist es aber ein Katz-und-Maus-Spiel zwischen Angreifern und Entwicklern.
Die möglichen Motive für den Einsatz von Agent-Traps sind vielfältig. Kommerzielle Akteure könnten versuchen, heimlich für Produkte zu werben, kriminelle Akteure könnten private Nutzerdaten abgreifen, und staatliche Stellen könnten darauf abzielen, Falschinformationen in großem Umfang zu verbreiten.
Studie AI A“gent Traps“
Solche Vorkehrungen sind bedeutsam, denn die Schäden können weitreichend sein. Denkbar ist etwa, dass manipulierte Agenten sensible Daten preisgeben oder finanzielle Überweisungen vornehmen, ohne dass Nutzer etwas merken. Laut den Forschern könnten Unternehmen die Agenten für heimliche Produktwerbung korrumpieren und staatliche Akteure könnten diese für Fake News einsetzen.
Agenten-Entwickler arbeiten an neuen Sicherheitskonzepten
Anbieter arbeiten an Sicherheitsvorkehrungen. Anthropic beschreibt in der Dokumentation, wie man etwa mit Sandboxing-Maßnahmen und Rechtemanagement verhindern will, dass Claude Code etwa manipulierte Befehle ausführt. Google hatte bereits im November 2025 ein Konzept für das Absichern von Agenten-Browsern vorgestellt. Bei diesem ist ein zweites KI-Modell tätig, das ausschließlich kontrollieren soll, ob das zentrale Modell die eigentlichen Aufgaben erfüllt.
Erst in dieser Woche hat Foxit ein Sicherheitssystem für PDF-Reader präsentiert, das das Auslesen manipulierten Codes unterbinden soll. Ein PDF-Aktionsinspektor prüft Dokumente proaktiv auf eingebettetes JavaScript und selbstmodifizierendes Verhalten. Dabei handelt es sich um Bedrohungen, die Schwärzungen umgehen, sensible Daten offenlegen oder die Dokumentausgabe unbemerkt verändern können.
Schon das Modelltraining ist für Absicherung entscheidend
Die DeepMind-Forscher beschreiben in dem Paper ebenfalls, dass es schon beim Modelltraining nötig ist, auf die Robustheit zu achten. Die KI-Systeme müssen in der Lage sein, manipulierte Anweisungen zu erkennen, schadhafte Inhalte zu filtern und den Output zu prüfen. Weil sich viele Angriffsmuster nicht standardisiert testen lassen, gewinnen automatisierte Red-Teaming-Methoden an Bedeutung.
Ebenso angepasst werden müsste laut den DeepMind-Forschern das Ökosystem im Web. Möglich ist das etwa durch Trusted-Content, also für KI-Agenten freigegebene Inhalte, die sich standardmäßig als vertrauenswürdige Quelle verifizieren lassen.
Apps & Mobile Entwicklung
Chatkontrolle: EU-Staaten halten weiter an anlassloser Überwachung fest
Die EU-Mitgliedstaaten wollen die bereits als gescheitert geltende Regelung zur freiwilligen Chatkontrolle erneut auf die politische Agenda setzen, gleichzeitig wächst im Europäischen Parlament der Widerstand. Nach der Sommerpause werden zudem die Verhandlungen über die langfristig geplante Chatkontrolle-Verordnung fortgesetzt.
Der Versuch, ein totes Pferd zu reiten
Nachdem sich im März 2026 überraschend bereits das EU-Parlament gegen die anlasslose Überwachung von Messenger-Nachrichten ausgesprochen hatte und anschließend auch die Trilog-Verhandlungen ohne Ergebnis geblieben waren, galt die Chatkontrolle trotz eines laut dem ehemaligen EU-Parlamentarier der Piratenpartei Patrick Breyer „demokratisch hochbedenklichen Manöver“, mit dem eine neue Abstimmung erzwungen werden sollte, im Grunde als gescheitert.
Nun wollen mehrere Regierungen von EU-Mitgliedstaaten die bereits als erledigt betrachtete gesetzliche Grundlage für die freiwillige Chatkontrolle erneut auf den Weg bringen und eine Übergangsregelung schaffen. Diese soll es Anbietern von Kommunikationsdiensten weiterhin ermöglichen, Nachrichten und Dateien freiwillig auf Darstellungen sexuellen Kindesmissbrauchs sowie entsprechende Verdachtsmomente zu durchsuchen und Funde an Strafverfolgungsbehörden zu melden. Darüber berichtet Netzpolitik.org unter Berufung auf veröffentlichte Verhandlungsdokumente.
Der erneute Vorstoß erfolgt zu einem Zeitpunkt, an dem die Verhandlungen über die dauerhaft geplante Chatkontrolle-Verordnung trotz zahlreicher Kompromissvorschläge weiterhin festgefahren sind. Für die langfristige Regelung konnte bislang keine Mehrheit gefunden werden. Sie steht seit geraumer Zeit in der Kritik, weil sie weitreichende Eingriffe in die private digitale Kommunikation ermöglichen könnte.
Keine Annäherung in Sicht
Die Positionen der beteiligten Institutionen liegen dabei weiterhin weit auseinander. Während die EU-Kommission Hosting-Dienste und Kommunikationsplattformen verpflichten möchte, die Inhalte sämtlicher Nutzer auf Hinweise zu Straftaten im Zusammenhang mit sexuellem Kindesmissbrauch zu durchsuchen, spricht sich das Europäische Parlament lediglich für gezielte Durchsuchungen verdächtiger Nutzer aus und lehnt eine allgemeine Überwachung sämtlicher Kommunikationsinhalte weiterhin ab. Die Mitgliedstaaten bevorzugen dagegen bislang überwiegend freiwillige Scans durch die Anbieter und sprechen sich ebenfalls gegen eine generelle Verpflichtung aus. Damit steht die EU-Kommission mit ihrem Vorhaben nach wie vor allein da.
An Vorschlägen der verschiedenen Ratspräsidentschaften mangelte es in den vergangenen Monaten dagegen nicht. Zuletzt stand ein Kompromiss zur Debatte, der freiwillige und verpflichtende Maßnahmen miteinander kombinieren sollte. Dabei könnten unterschiedliche Regelungen für öffentlich zugängliche und private Inhalte gelten, doch auch dieser Vorschlag fand keine Mehrheit. Zwar zeichnet sich eine gewisse Gesprächsbereitschaft innerhalb der verschiedenen Institutionen ab, gleichzeitig wird aber ebenso deutlich, dass für die meisten Beteiligten Ende-zu-Ende-verschlüsselte Kommunikation nicht unter die Verordnung fallen darf. Eine anlasslose Massenüberwachung aller Nutzer wird daher weiterhin mehrheitlich abgelehnt.
Neue Regierung in Deutschland für Kontrollen
Im Gegensatz zur deutschen Vorgängerregierung, die das Vorhaben seinerzeit noch weitestgehend ablehnte, drängt die aktuelle Koalition auf eine schnelle Wiedereinführung der Kontrolle. So soll das Bundesinnenministerium die deutsche Delegation in Brüssel angewiesen haben, die Wiederherstellung der Rechtslage vor dem Auslaufen der Interimsverordnung mit höchster Priorität voranzutreiben, sofern diese freiwillige Maßnahmen ergänzt und nicht ersetzt. Auch innerhalb der EU-Kommission wird auf eine rasche Wiedereinführung gedrängt, da einzelne Unternehmen ihre freiwilligen Scans nach der Sommerpause einstellen könnten, falls keine neue Rechtsgrundlage geschaffen wird.
Der Versuch der derzeitigen Parlamentspräsidentin Roberta Metsola, trotz der deutlichen Ablehnung in der Vergangenheit einen neuen Anlauf zur Verlängerung im Sinne der Befürworter der Chatkontrolle zu unternehmen, stieß erwartungsgemäß auf scharfe Kritik im Europäischen Parlament. Die zuständige Berichterstatterin Birgit Sippel (SPD) bezeichnete das Vorgehen der Mitgliedstaaten als „unlauteres Manöver“ und kündigte an, einer Verlängerung unter den vorgeschlagenen Bedingungen nicht zuzustimmen.
Im September soll es weitergehen
In dieser Legislaturperiode dürfte allerdings kaum noch mit einer Einigung zu rechnen sein, denn mit dem Wechsel der EU-Ratspräsidentschaft von Zypern zu Irland verschiebt sich der weitere Zeitplan erneut. Mitte Juli sollen die technischen Verhandler noch einmal zusammentreffen, bevor die Sommerpause beginnt. Die nächsten Trilog-Verhandlungen sind für den 29. September 2026 angesetzt, vor dem Herbst ist damit nicht mit einer grundsätzlichen Einigung über die künftige Chatkontrolle in der Europäischen Union zu rechnen. Angesichts der weiterhin verhärteten Positionen ist die Wahrscheinlichkeit einer Einigung zudem als gering anzusehen.
Kinderschutz auch ohne anlasslose Kontrolle wirksam
Die ursprüngliche Regelung untersagte grundsätzlich die Überwachung elektronischer Kommunikation ohne Einwilligung der betroffenen Nutzer. Zwischen 2021 und April galt jedoch eine zeitlich befristete Ausnahme, die freiwillige Scans durch Plattformbetreiber erlaubte. Netzpolitik.org berichtet zudem, dass das Auslaufen dieser Ausnahme bislang nicht zu einem Rückgang der Meldungen an Strafverfolgungsbehörden geführt habe. Mehrere große Technologieunternehmen setzen die freiwillige Erkennung von Missbrauchsinhalten weiterhin fort und berufen sich dabei auf andere datenschutzrechtliche Grundlagen. Damit erscheinen auch die Argumente der Befürworter der Regelung widerlegt, wonach ohne die Ausnahmeregelung deutlich weniger Fälle von Kindesmissbrauch entdeckt würden.
Wir danken Foren-Teilnehmer Flutefox für den Hinweis!
Apps & Mobile Entwicklung
Company of Heroes 3: Final Stand kommt Ende Juli
Relic Entertainment kündigt mit Company of Heroes 3: Final Stand einen eigenständigen Ableger der Echtzeitstrategieserie an. Statt klassischer Kampagne oder Gefechte gegen andere Spieler steht ein Überlebensmodus im Mittelpunkt, der alleine oder zu zweit im Koop gespielt werden kann.
Company of Heroes als Wellenverteidigung
Final Stand übernimmt die Grundidee von Company of Heroes, verschiebt den Fokus aber deutlich. Spieler bauen Stellungen auf, halten ihre Linie und müssen immer stärker werdende Angriffswellen abwehren. Hinzu kommen Bossgegner und dynamische Ereignisse auf dem Schlachtfeld, die einzelne Durchläufe voneinander unterscheiden sollen.
Der Company-of-Heroes-3-Ableger wird zur Roguelite-Erfahrung. Gemeint ist damit, dass Spieler ihre Strategie von Runde zu Runde anpassen und mit Fortschritt, Upgrades und wechselnden Situationen umgehen müssen. Der Modus soll damit stärker auf Wiederholbarkeit ausgelegt sein als eine klassische Einzelspieler-Kampagne.
Vier Fraktionen und eigenständiger Release
Zum Start stehen vier Fraktionen zur Auswahl: US Forces, Wehrmacht, British Forces und Deutsches Afrikakorps. Jede Fraktion soll eigene Strategien, Fähigkeiten und Fortschrittswege bieten. Der Ableger richtet sich damit nicht nur an erfahrene Company-of-Heroes-Spieler, sondern soll auch ohne Vorwissen funktionieren.
Wichtig ist dabei: Final Stand benötigt kein installiertes oder gekauftes Company of Heroes 3. Es handelt sich um eine eigenständige Veröffentlichung für den PC via Steam. Der Start ist für den 29. Juli 2026 geplant. Parallel dazu soll auch Update 2.5.0 für Company of Heroes 3 erscheinen.
Relic experimentiert mit der Marke
Mit Final Stand probiert Relic einen ungewöhnlichen Weg aus. Company of Heroes steht traditionell für taktische Echtzeitstrategie mit Deckungssystem, Einheitenmanagement und Frontverläufen. Der neue Ableger nutzt diese Grundlagen, verpackt sie aber in ein schnelleres und leichter zugängliches Format.
Das kann auch als Versuch gelesen werden, die Marke für neue Spieler zu öffnen, ohne die Kernmechaniken vollständig aufzugeben. Wellenverteidigung und Roguelite-Elemente sind bekannte Muster aus anderen Genres, treffen hier aber auf das taktische Fundament von Company of Heroes. Ob dieser Ansatz bei der bestehenden Community ankommt, dürfte stark davon abhängen, wie viel strategische Tiefe Final Stand trotz des kompakteren Formats bewahrt.
Laut der Ankündigung soll Final Stand 28,99 Euro kosten. Zum Start ist ein Rabatt von 10 Prozent geplant, Besitzer von Company of Heroes 3 sollen zusätzlich 20 Prozent Bundle-Rabatt erhalten.
Apps & Mobile Entwicklung
GeForce Now: Zwölf neue Spiele im Juli

Zum Start in den Juli erweitert Nvidia den Cloud-Gaming-Dienst GeForce Now um weitere Titel. Den Anfang machen Monopoly: Star Wars Heroes vs. Villains und Meccha Chameleon, im Laufe des Monats folgen zehn weitere Spiele aus unterschiedlichen Genres.
Star Wars auf dem Spielbrett
Im Mittelpunkt des aktuellen GFN-Thursdays steht Monopoly: Star Wars Heroes vs. Villains. Die Neuauflage des Brettspiel-Klassikers setzt auf bekannte Schauplätze, Fraktionen und Fähigkeiten aus dem Star-Wars-Universum. Gespielt wird wahlweise auf der hellen oder dunklen Seite.
Für GeForce Now ist der Titel seit dieser Woche über Steam und Ubisoft verfügbar. Ebenfalls neu hinzugekommen ist Meccha Chameleon, das auch bei der Redaktion gut ankam. Wie üblich setzt der Dienst voraus, dass die Nutzer die jeweiligen Spiele in einem unterstützten Store besitzen.
Weitere Spiele folgen im Monatsverlauf
Für den restlichen Juli nennt Nvidia zehn weitere Neuzugänge. Zu den bekannteren Namen zählt Assassin’s Creed Black Flag Resynced, das am 9. Juli über Steam und Ubisoft Connect folgen soll. Am 15. Juli sind Denshattack! und The Mound: Omen of Cthulhu vorgesehen, einen Tag später soll Heave Ho 2 starten. Außerdem kommen im Juli:
- FogpiercerJuly – 17. Juli
- ZeroSpace July – 20. Juli
- The Planet Crafter – 21. Juli
- Carnival Hunt – 23. Juli
- The Ranchers – 30. Juli
- Corsair Cove – 31. Juli
Nachträge aus dem Juni und Rabattaktion
Neben der Juli-Liste nennt Nvidia auch zehn Spiele, die im Juni zusätzlich zur zuvor angekündigten Auswahl auf GeForce Now gelandet sind. Dazu gehören unter anderem Doom Eternal aus dem Epic Games Store, The Elder Scrolls Online über Xbox und World of Tanks: Heat.
Weiterhin läuft noch bis zum 8. Juli der Summer Sale für GeForce Now. Auf Premium- und Ultimate-Jahrses-Abo wird ein Rabatt von 35 Prozent gewährt.
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
