MITRE ATLAS enthält jetzt 14 neue Angriffstechniken für KI-Agenten, die Zenity Labs im ersten Update 2026 beigesteuert hat. Das sind keine theoretischen Risiken. Es geht um konkrete, dokumentierte Angriffsmuster: Agent Context Poisoning (AML.T0080), Exfiltration über Tool-Aufrufe (AML.T0086) und Datenzerstörung über Agenten-Tools (AML.T0101). Parallel dazu hat die OpenClaw-Untersuchung 7 weitere agentenspezifische Techniken aus realen Vorfällen dokumentiert, darunter eine CVSS-8.8-Schwachstelle, die 17.500 Agenteninstanzen offenlegte. Wer KI-Agenten im SOC noch wie normale Anwendungen behandelt, hat spätestens jetzt ein Problem.
Die OWASP Top 10 for Agentic Applications ist eine Risiko-Checkliste für Entwickler. ATLAS ist das taktische Framework im ATT&CK-Stil, das SOC-Teams, Red Teams und Threat Hunter für Erkennungsregeln brauchen. Beides gehört zusammen, aber die Zielgruppen sind verschieden.
Was MITRE ATLAS ist (und was nicht)
MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) entstand 2020 aus einer Zusammenarbeit zwischen MITRE und Microsoft, ursprünglich als Adversarial ML Threat Matrix. Stand Oktober 2025 umfasst ATLAS 15 Taktiken, 66 Techniken, 46 Sub-Techniken, 26 Gegenmaßnahmen und 33 dokumentierte Praxisfälle. Das Agentic-Update 2026 schraubt diese Zahlen weiter hoch.
Wie ATLAS mit ATT&CK zusammenhängt
ATLAS übernimmt 13 seiner 15 Taktiken direkt aus ATT&CK (Reconnaissance, Initial Access, Execution, Persistence usw.) und wendet sie auf KI- und ML-Systeme an. Zwei Taktiken sind ATLAS-exklusiv: ML Model Access (AML.TA0004) für den Zugriff auf Inferenz-APIs oder Modellartefakte und ML Attack Staging (AML.TA0012) für Trainingsdaten-Poisoning und Backdoor-Einbau.
Vereinfacht: ATT&CK zeigt, wie Angreifer sich durch Netzwerke bewegen. ATLAS zeigt, wie sie sich durch KI-Systeme bewegen. Ein SOC mit beiden Frameworks deckt die gesamte Angriffsfläche ab. Ein SOC nur mit ATT&CK hat einen blinden Fleck, der mit jedem neuen Agenten wächst.
Warum das 2026-Update alles verändert
Vor 2026 ging es in ATLAS hauptsächlich um Angriffe auf Modellebene: Adversarial Examples, Trainingsdaten-Poisoning, Model Extraction. Das 2026-Update verschiebt den Fokus auf die Ausführungsebene. Die Frage ist nicht mehr nur “Kann ein Angreifer das Modell täuschen?”, sondern “Kann ein Angreifer die Tools, den Speicher und die Konfiguration des Agenten als Waffe nutzen?”
Das spiegelt die Realität wider. 88 % der Unternehmen meldeten im vergangenen Jahr KI-Agenten-Sicherheitsvorfälle. Die Angriffe sind keine Prompt-Injections gegen Chatbots. Es sind Prompt-Injections, die Tool-Aufrufe auslösen, Daten über legitime Agentenaktionen exfiltrieren und sich über Memory-Manipulation sitzungsübergreifend festsetzen.
Die 14 neuen Angriffstechniken im Detail
Zenitys Beiträge zum ATLAS-Update 2026 decken den gesamten Angriffslebenszyklus ab. Hier jede Technik mit ihrer ATLAS-ID.
Kontext- und Memory-Manipulation
AI Agent Context Poisoning (AML.T0080) ist die Basistechnik. Ein Angreifer manipuliert das Kontextfenster des LLM, um dessen Verhalten zu ändern. Zwei Sub-Techniken konkretisieren das:
Memory Poisoning (AML.T0080.000): Veränderung des persistenten Speichers eines Agenten über Sitzungsgrenzen hinweg. Einmal vergiftet, ist jede zukünftige Interaktion kompromittiert. Die ZombieAgent-Forschung zeigte genau dieses Muster: Eine einzelne bösartige Interaktion implantiert Anweisungen, die Sitzungsgrenzen überleben und sich auf andere Agenten ausbreiten.
Thread Poisoning (AML.T0080.001): Einschleusung bösartiger Anweisungen innerhalb eines aktiven Chat-Threads. Anders als Memory Poisoning ist dies flüchtig, aber für die Ausnutzung innerhalb einer Sitzung wirksam.
Konfigurations- und Credential-Angriffe
Modify AI Agent Configuration (AML.T0081) zielt auf die Konfigurationsdateien, die definieren, was ein Agent tun kann. Sobald ein Angreifer die Konfiguration ändert, bleibt die Modifikation bestehen, ohne das Modell erneut ausnutzen zu müssen. Das KI-Äquivalent zum Bearbeiten eines Cron-Jobs.
Credentials from AI Agent Configuration (AML.T0083) extrahiert API-Keys, Service-Tokens und Datenbank-Credentials aus den Agenten-Einstellungen. Agenten brauchen typischerweise Zugangsdaten für jedes angebundene Tool und speichern sie häufig im Klartext.
AI Agent Tool Credential Harvesting (AML.T0098) geht noch weiter und greift Geheimnisse aus den Tools selbst ab. Ein Agent mit CRM-, E-Mail- und Cloud-Anbindung hält möglicherweise Credentials für alle drei. Die Kompromittierung des Agenten öffnet den Zugang zu allem.
Aufklärung und Erkundung
Discover AI Agent Configuration (AML.T0084) ist die Aufklärungstechnik mit drei Sub-Techniken:
- Embedded Knowledge (AML.T0084.000): Identifikation zugänglicher Datenquellen
- Tool Definitions (AML.T0084.001): Enumeration aller verfügbaren Agent-Tools
- Activation Triggers (AML.T0084.002): Auffinden von Schlüsselwörtern oder Workflows, die bestimmte Agentenverhaltensweisen auslösen
Das ist das KI-Agenten-Äquivalent zum Port-Scanning. Bevor ein Angreifer Daten über Tool-Aufrufe exfiltrieren kann, muss er wissen, welche Tools existieren und was sie auslöst.
Datenzugriff und Exfiltration
Data from AI Services (AML.T0085) deckt die Extraktion sensibler Informationen über die normalen Zugriffsmuster des Agenten ab, mit zwei Sub-Techniken für RAG-Datenbanken und Agent-Tools.
Exfiltration via AI Agent Tool Invocation (AML.T0086) ist besonders tückisch. Der Agent schleust Daten über seine eigenen legitimen Tools heraus: E-Mails versenden, CRM-Einträge aktualisieren, in Slack posten. Aus Sicht der Netzwerküberwachung sieht der Traffic normal aus, weil er normales Agentenverhalten IST. Die AgentFlayer-Forschung von der Black Hat 2025 demonstrierte genau dieses Muster gegen Microsoft 365 Copilot, Salesforce Einstein und ChatGPT.
AI Service API (AML.T0096) ist die “Living off the Land”-Technik für KI. Der SesameOp-Backdoor, entdeckt von Microsoft DART, nutzte die OpenAI Assistants API monatelang als C2-Kanal, bevor er entdeckt wurde.
Datenmanipulation und -zerstörung
AI Agent Tool Data Poisoning (AML.T0099) platziert bösartige Inhalte dort, wo Agenten sie aufrufen: vergiftete Datenbankeinträge, manipulierte API-Antworten oder präparierte Dokumente in geteilten Laufwerken.
AI Agent Clickbait (AML.T0100) zielt auf agentengesteuerte Browser. Agenten, die das Web durchsuchen, können durch UI-Elemente in unbeabsichtigte Aktionen gelockt werden. Wie Zenitys Forscher anmerkten: “Agenten fehlt die menschliche Intuition, Skepsis und das Situationsbewusstsein.”
Data Destruction via AI Agent Tool Invocation (AML.T0101) nutzt die Tool-Berechtigungen des Agenten zur Datenzerstörung: Dateien löschen, Datenbanken droppen, Datensätze vernichten. Der Agent hat die Berechtigungen. Der Angreifer liefert die Absicht.
Die OpenClaw-Untersuchung: Agentenangriffe in freier Wildbahn
Im Februar 2026 veröffentlichte MITREs Center for Threat-Informed Defense die OpenClaw-Untersuchung, die 4 bestätigte Angriffsfälle auf das OpenClaw-Agentenframework analysierte. Die Untersuchung dokumentierte 7 neue Techniken und drei kritische Angriffsketten.
CVE-2026-25253: Agent-Übernahme mit einem Klick
Der schwerste Fund war CVE-2026-25253 (CVSS 8.8): eine One-Click-RCE in OpenClaw. Der Angriff funktionierte in drei Schritten: bösartiger Link mit gatewayUrl-Parameter, WebSocket-Verbindung mit Auth-Token und anschließend beliebige Befehlsausführung über das system.run-Tool.
Hunt.io identifizierte über 17.500 exponierte Instanzen, darunter OpenClaw, Clawdbot und Moltbot. Diese Instanzen speicherten Credentials für Claude, OpenAI und Google AI. Die Grundursache war simpel: Code in Gateway.ts vertraute einem URL-Parameter ohne die Gateway-Herkunft zu prüfen.
Drei kritische Angriffsketten
Skill-basierter Credential-Diebstahl: Bösartigen Skill im Marketplace veröffentlichen, Moderation umgehen, Credentials der Nutzer abgreifen. Das gleiche Muster wie Supply-Chain-Angriffe auf npm und PyPI, nur auf KI-Agenten-Skill-Stores übertragen.
Prompt-Injection zu RCE: Adversarische Anweisungen einschleusen, den Freigabemechanismus des Agenten durch Befehlsverschleierung umgehen, dann beliebige Systembefehle ausführen. Die OpenClaw-Untersuchung zeigte mehrere Wege, die Human-in-the-Loop-Bestätigung auszuhebeln.
Indirekte Injection über Content Poisoning: Eine URL oder ein Dokument kompromittieren, das der Agent regelmäßig abruft, adversarische Anweisungen einbetten und warten, bis der Agent ihnen folgt. Der normale Workflow des Agenten wird zum Angriffsvektor.
ATLAS vs. OWASP: Verschiedene Werkzeuge für verschiedene Teams
Beide Frameworks adressieren die Sicherheit von KI-Agenten, dienen aber grundlegend verschiedenen Zwecken.
| Dimension | MITRE ATLAS | OWASP Agentic Top 10 |
|---|---|---|
| Ansatz | Angreiferzentrisches TTP-Framework | Entwicklerzentrisches Risikoverzeichnis |
| Zielgruppe | SOC-Teams, Red Teams, Threat Hunter | Entwickler, Architekten, AppSec |
| Granularität | 66+ spezifische Techniken mit IDs | 10 übergeordnete Risikokategorien |
| Einsatzzweck | Erkennungsregeln, Bedrohungsmodellierung | Sichere Entwicklung, Code Review |
| Praxisfälle | 33+ dokumentierte Realwelt-Vorfälle | Leitfaden-orientiert, weniger Fallstudien |
Die praktische Implikation: OWASP während der Entwicklung, um Agenten sicher zu bauen. ATLAS im Betrieb, um Angriffe auf eingesetzte Agenten zu erkennen. Ein Sicherheitsprogramm, das nur eines der Frameworks nutzt, ist unvollständig.
Für DACH-Unternehmen kommt eine weitere Ebene dazu: Der EU AI Act tritt am 2. August 2026 in Kraft. Agenten, die in Hochrisikobereichen arbeiten (HR-Screening, Kreditvergabe, kritische Infrastruktur), fallen unter strenge Compliance-Anforderungen. ATLAS liefert die Bedrohungsmodellierung, die Auditoren sehen wollen. OWASP liefert die Entwicklungsrichtlinien. Beides zusammen bildet die Grundlage für eine DSGVO- und EU-AI-Act-konforme Agenten-Governance.
Was SOC-Teams jetzt tun sollten
Das ATLAS-Update 2026 ist sofort umsetzbar. Hier ein priorisierter Fünf-Schritte-Fahrplan.
1. Jeden KI-Agenten und seine Berechtigungen inventarisieren
Man kann nicht schützen, was man nicht sieht. Erfassen Sie jeden Agenten in der Produktion, einschließlich Shadow-Agenten, die Fachabteilungen ohne IT-Freigabe eingesetzt haben. 80 % der IT-Fachleute haben erlebt, dass Agenten nicht autorisierte Aktionen durchführen, meist weil niemand vom Agenten wusste, bis er etwas kaputt machte.
2. ATLAS-Techniken auf die eigene Infrastruktur mappen
Nutzen Sie den ATLAS Navigator, um zu visualisieren, welche Techniken auf Ihre Agentendeployments zutreffen. Nicht jede Technik ist für jede Organisation relevant. Wenn Ihre Agenten das Web nicht durchsuchen, ist AI Agent Clickbait (AML.T0100) keine Priorität. Wenn Ihre Agenten auf CRM-Daten zugreifen, ist Exfiltration via Tool Invocation (AML.T0086) kritisch.
3. Erkennungsregeln für die Top-5-Techniken bauen
Beginnen Sie mit diesen fünf, gereiht nach Häufigkeit in dokumentierten Angriffen:
- AML.T0080 (Agent Context Poisoning): Ungewöhnliche Änderungen im Agenten-Memory oder Thread-State überwachen
- AML.T0086 (Exfiltration via Tool Invocation): Alarme bei Tool-Aufrufen, die Daten an unerwartete Ziele senden
- AML.T0084 (Discover Agent Configuration): Systematisches Sondieren von Agentenfähigkeiten erkennen
- AML.T0081 (Modify Agent Configuration): Jede Konfigurationsänderung außerhalb genehmigter Change-Fenster melden
- AML.T0083 (Credentials from Agent Config): Credential-Zugriffsmuster überwachen, die vom normalen Agentenbetrieb abweichen
4. Red-Team-Übungen mit ATLAS durchführen
MITRE stellt Arsenal bereit, ein CALDERA-Plugin für automatisierte Red-Team-Übungen gegen KI-Systeme. Führen Sie diese quartalsweise durch. Das Framework entwickelt sich weiter, und Ihre Erkennungsabdeckung muss Schritt halten.
5. Verhaltensbaselines für Agenten etablieren
Statische Regeln fangen bekannte Angriffe. Verhaltensbaselines fangen neue. Erfassen Sie, wie normales Agentenverhalten aussieht: welche Tools aufgerufen werden, in welcher Reihenfolge, mit welcher Frequenz, mit welchen Datenvolumina. Abweichungen von der Baseline sind Ihr Frühwarnsystem.
Häufig gestellte Fragen
Was ist der Unterschied zwischen MITRE ATLAS und MITRE ATT&CK?
ATT&CK bildet Angreifertaktiken und -techniken für klassische IT-Infrastruktur ab (Endpunkte, Netzwerke, Cloud). ATLAS bildet Taktiken und Techniken spezifisch für KI- und ML-Systeme ab, einschließlich Modellangriffe, Trainingsdaten-Poisoning und Agentic-AI-Exploitation. ATLAS übernimmt 13 von 15 Taktiken aus ATT&CK, ergänzt aber zwei KI-spezifische: ML Model Access und ML Attack Staging.
Welche neuen Agentic-AI-Techniken enthält MITRE ATLAS 2026?
Zenity hat 14 neue Techniken im ersten ATLAS-Update 2026 beigesteuert. Zentrale Ergänzungen sind Agent Context Poisoning (AML.T0080), Modify AI Agent Configuration (AML.T0081), Exfiltration via AI Agent Tool Invocation (AML.T0086), AI Agent Clickbait (AML.T0100) und Data Destruction via AI Agent Tool Invocation (AML.T0101). Diese decken den gesamten Angriffslebenszyklus von der Aufklärung über die Ausführung bis zur Datenzerstörung ab.
Wie unterscheidet sich MITRE ATLAS von den OWASP Top 10 for Agentic Applications?
ATLAS ist ein angreiferzentrisches Framework mit 66+ spezifischen Techniken, konzipiert für SOC-Teams, Red Teams und Threat Hunter zum Erstellen von Erkennungsregeln und für Bedrohungsmodellierung. OWASPs Agentic Top 10 ist eine entwicklerzentrierte Liste mit 10 übergeordneten Risikokategorien für sichere Entwicklung und Code Review. OWASP in der Entwicklung nutzen, ATLAS im Betrieb.
Was war die MITRE ATLAS OpenClaw-Untersuchung?
Die im Februar 2026 veröffentlichte OpenClaw-Untersuchung analysierte 4 bestätigte Angriffsfälle auf das OpenClaw-Agentenframework. Sie dokumentierte 7 neue agentenspezifische Techniken und identifizierte CVE-2026-25253 (CVSS 8.8), eine One-Click-RCE, die über 17.500 Agenteninstanzen offenlegte. Die Untersuchung kartierte drei kritische Angriffsketten: Skill-basierten Credential-Diebstahl, Prompt-Injection zu RCE und indirekte Injection über Content Poisoning.
Welche Bedeutung hat MITRE ATLAS für den EU AI Act?
Der EU AI Act tritt am 2. August 2026 in Kraft und verlangt von Unternehmen eine nachweisbare Bedrohungsmodellierung für Hochrisiko-KI-Systeme. MITRE ATLAS liefert genau die strukturierte Bedrohungstaxonomie, die Auditoren und Regulierungsbehörden erwarten. In Kombination mit den OWASP-Entwicklungsrichtlinien bildet ATLAS die Grundlage für eine EU-AI-Act-konforme Agenten-Governance im DACH-Raum.