Sysdig dokumentiert den ersten autonomen Angriff durch einen KI-Agenten: CVE-2026-39987 auf Marimo über 4 Pivots

Das Sysdig Threat Research Team (TRT) hat an diesem Donnerstag einen Bericht über einen Vorfall veröffentlicht, der beschreibt, wie die erste autonome Intrusion, die jemals von einem LLM-Agenten durchgeführt wurde, von dem Team dokumentiert wurde: Durch eine kritische vorab authentifizierte Schwachstelle für die Remote-Codeausführung auf Marimo gelang es einem unbekannten Angreifer, innerhalb von vier aufeinanderfolgenden Pivots auf eine interne PostgreSQL-Datenbank zuzugreifen und den Zyklus in weniger als einer Stunde abzuschließen. Das Sysdig TRT hat die Organisation, in deren Umgebung der Angriff erkannt wurde, nicht öffentlich identifiziert.

CVE-2026-39987: CVSS 9,3, vollständige Abwesenheit von Authentifizierung

Die CVE-2026-39987, die vom GitHub Security Lab mit einem CVSS v4.0 von 9,3 eingestuft wurde, befindet sich am WebSocket-Endpunkt /terminal/ws von Marimo. Während andere Endpunkte des Frameworks validate_auth() korrekt aufrufen, validiert /terminal/ws lediglich den Ausführungsmodus und die Unterstützung der Plattform und ignoriert die Authentifizierung vollständig. Eine einzige nicht authentifizierte HTTP-Anfrage gewährt einen vollständigen PTY-Shell-Zugriff. Alle Versionen bis einschließlich 0.20.4 sind betroffen; der Fix ist in Version 0.23.0 verfügbar, die im April veröffentlicht wurde. Die Schwachstelle wurde innerhalb von weniger als 10 Stunden nach der Veröffentlichung des Advisories am 8. April 2026 (GHSA-2679-6mx9-h9xc) erstmals ausgenutzt, und die CISA hat die CVE am 23. April mit einer Frist zur Behebung bis zum 7. Mai für US-Bundesbehörden in das KEV-Katalog aufgenommen.

Die vier dokumentierten Pivots

Der Vorfall wurde am 10. Mai 2026 von den Sensoren des Sysdig TRT erfasst. Der Angreifer folgte folgender Kette: Er kompromittierte ein über das Internet zugängliches Marimo-Notebook über die CVE-2026-39987 und erhielt sofort einen Shell-Zugriff; extrahierte zwei Paare von Cloud-Anmeldeinformationen aus dem kompromittierten Prozess; konsultierte den AWS Secrets Manager unter Verwendung der AWS-Schlüssel, um einen privaten SSH-Schlüssel über einen Ausgangspool in unterschiedlichen IPs abzurufen; und öffnete acht kurze SSH-Sitzungen gegen einen nachgelagerten Bastion-Server. In der Bastion-Phase wurden das gesamte Schema und der Inhalt einer internen PostgreSQL-Datenbank in weniger als zwei Minuten exfiltriert. Die gesamte Kette dauerte weniger als eine Stunde.

Vier Indikatoren, die den KI-Agenten identifizierten

Der Agent führte einen Dump der Datenbank ohne jegliches Vorwissen über das Schema durch, indem er Tabellen auflistete und sofort eine in der Anwendung fehlende Tabelle für Anmeldeinformationen ansteuerte, was das Sysdig TRT als Echtzeiträsonierung aus allgemeinem Wissen interpretiert, nicht als vorab gesammelte Intelligenz. Ein interner Kommentar in Chinesisch, "看还能做什么" (übersetzt: "Schau, was wir noch tun können"), trat direkt im Befehlsfluss auf und wurde von sechs verschiedenen IPs mit Sub-Millisekunden-Takt versendet, eine Schlagfrequenz, die für einen menschlichen Betreiber unmöglich ist. Jeder Befehl wurde für die maschinelle Verarbeitung formuliert: Trennzeichen "---", begrenzte Ausgabeerfassung und systematisches Verwerfen von stderr, um das Parsing-Geräusch zu minimieren. Das Datenbankpasswort wurde aus der Datei .pgpass einige Augenblicke bevor es verwendet wurde, gelesen, was bestätigt, dass der Agent über den Wertfluss zwischen den Schritten nachdenkt und keine vorab geschriebene Logik ausführt.

Risikoschicht in Unternehmens-MLOps-Pipelines

Marimo wird als reaktive Alternative zu Jupyter in Unternehmensdata-Science-Pipelines eingesetzt. Die unbeabsichtigte Exposition gegenüber dem Internet tritt bei MLOps-Deployments über Kubernetes mit öffentlichen LoadBalancer-Diensten auf, einer Konfiguration, die in Entwicklungsumgebungen für Modelle in den Sektoren Finanzen und Telekommunikation dokumentiert ist.

In den Delivery-Zentren in Indien, wo TCS, Infosys und Wipro Zehntausende von Dateningenieuren in gemeinsamen Cloud-Clustern betreiben, kann ein exponiertes Marimo-Notebook als Eingang für die Produktionsanmeldeinformationen von Unternehmenskunden fungieren. Die Abhängigkeit vom AWS Secrets Manager als Repositorium für privilegierte Zugangsgeschäfte, die in diesen Umgebungen weit verbreitet ist, erscheint explizit in der vom Sysdig TRT dokumentierten Angriffskette.

In Europa, wo die DSGVO die Meldung von Vorfällen innerhalb von 72 Stunden nach Kenntnis des Controllers verlangt, stellen MLOps-Umgebungen, die Marimo in betroffenen Versionen (0.20.4 und früher) ausführen, ein direktes regulatorisches Risiko für Firmen wie Capgemini Engineering und Daten-Teams in Banken wie der Deutsche Bank und ING dar, die ML-Zentren in Polen, Deutschland und den Niederlanden unterhalten.

Sofortige Maßnahmen

Das Sysdig TRT empfiehlt, auf Marimo 0.23.0 oder höher zu aktualisieren, extern zugängliche Instanzen zu auditeren, alle Cloud-Anmeldeinformationen und SSH-Schlüssel in Umgebungen, die betroffene Versionen ausgeführt haben, zu rotieren und den Netzwerkverkehr in Notebook-Clustern zu den erforderlichen Endpunkten zu blockieren.

Was der Vorfall markiert, ist nicht nur die Geschwindigkeit des Angriffs, sondern die Fähigkeit des Agenten, adaptiv über eine völlig unbekannte Umgebung nachzudenken: ohne vorab geschriebene Skripte, ohne vorherige Intelligenz, sondern nur Echtzeitinferenz über jeden Pivot. Dieser Grad an operativer Autonomie senkt die Eintrittskosten für einen Angreifer, der über ein fortschrittliches Sprachmodell und eine aktuelle CVE verfügt.