Vibe-Coding-Falle: Wie KI-Agenten gefährliche Sicherheitslücken mitlieferten
TL;DR
Ein Entwickler fand auf seinem Server einen laufenden Kryptominer – Ursache war CVE-2025-29927, eine kritische Next.js-Schwachstelle, die Middleware-Schutz komplett umgeht.
Key Points
- Der Angreifer erreichte interne Endpunkte, die eigentlich geschützt sein sollten, und führte dort ein Script aus, das einen Mining-Binary nachlud.
- Erstes Anzeichen war CPU-Auslastung nahe 100 % – auch bei niedrigem Traffic. Erst eine manuelle Prozessanalyse deckte den Miner auf.
Nauti's Take
'Vibe Coding' ist ein treffender Name – man surft auf einer Welle aus KI-generiertem Code und fühlt sich produktiv, bis der Kater kommt. Das hier ist kein Einzelfall, sondern ein strukturelles Problem: KI-Tools wissen nicht, welche Pakete heute verwundbar sind, und sie werden auch nicht gefragt.
Der Output klingt kompetent, ist aber ein Schnappschuss aus Trainingsdaten, der keine Live-Threat-Intelligence enthält. Wer ernsthaft mit KI-Coding-Agenten arbeitet, sollte 'npm audit', Dependabot oder Snyk genauso zur Pflicht machen wie einen Linter – nicht als Option, sondern als hartes Gate im CI/CD.
Der Kryptominer war in diesem Fall noch das harmlosere Szenario.
Hintergrund
KI-Coding-Tools beschleunigen Entwicklung enorm, aber sie reproduzieren bekannte Muster aus ihren Trainingsdaten – inklusive veralteter Bibliotheksversionen und unsicherer Architekturentscheidungen. CVE-2025-29927 war zum Zeitpunkt des Angriffs bereits öffentlich bekannt und gepacht. Das eigentliche Problem ist nicht die KI, sondern dass 'Vibe Coding' Entwickler dazu verleitet, generierte Abhängigkeiten als gegeben hinzunehmen, ohne Dependency-Audits oder Security-Reviews einzuplanen.
Wer KI-generierten Code produktiv einsetzt, braucht zwingend automatisierte Vulnerability-Scanning-Pipelines.
Quellen