Ein fest einprogrammiertes Geheimnis, eine E-Mail-Adresse und ein konversationsfähiger KI-Agent reichten aus, um vollständigen Admin-Zugriff auf ServiceNow-Instanzen zu erlangen, die 85% der Fortune 500 nutzen. CVE-2025-12420, genannt BodySnatcher, erreichte CVSS 9.3 und gilt als die schwerwiegendste agentenbasierte KI-Schwachstelle, die bisher offengelegt wurde. Angreifer konnten sich unauthentifiziert als beliebiger ServiceNow-Nutzer ausgeben, MFA und SSO umgehen und anschließend die plattformeigenen KI-Agenten nutzen, um per natürlichsprachigem Befehl Backdoor-Admin-Konten zu erstellen.
Das war kein theoretischer Angriff gegen ein Nischentool. ServiceNow verarbeitet IT-Workflows, HR-Daten, Finanzdaten und personenbezogene Kundendaten für 8.800 Organisationen weltweit, darunter etwa 60% der Global 2000. Die Schwachstelle lag in der Interaktion zweier Kernkomponenten: der Virtual Agent API und dem Now Assist AI Agents-Modul.
Wie die BodySnatcher-Angriffskette funktionierte
Aaron Costello, Chef der SaaS-Sicherheitsforschung bei AppOmni, entdeckte und meldete die Schwachstelle im Oktober 2025. ServiceNow veröffentlichte am 30. Oktober 2025 einen Patch für gehostete Instanzen. Die technischen Details zeigen ein Lehrbuchbeispiel dafür, wie klassische Authentifizierungsfehler katastrophal werden, sobald KI-Agenten im Spiel sind.
Schritt 1: Das fest einprogrammierte Geheimnis
Die Virtual Agent API (sn_va_as_service) verwendete einen statischen, plattformweiten geheimen Schlüssel zur Authentifizierung externer Integrationen. Dieser Schlüssel, servicenowexternalagent, war auf allen ServiceNow-Instanzen identisch. Jeder, der ihn kannte (und er war nicht schwer zu finden), konnte API-Anfragen als legitimer externer Agent authentifizieren.
Fest einprogrammierte Geheimnisse sind ein bekanntes Anti-Pattern. OWASP listet sie unter ASI03 (Identity & Access Control) im Sicherheitsframework für agentische Anwendungen. Wenn das Geheimnis aber den Zugang zu einem KI-Agenten mit Admin-Ausführungsrechten schützt, wächst der Wirkungsradius von “unautorisierter API-Aufruf” zu “vollständiger Organisationskompromittierung.”
Schritt 2: E-Mail-basiertes Auto-Linking
Die Now Assist AI Agents-Anwendung (sn_aia) enthielt eine Funktion namens Auto-Linking, die einen externen Nutzer automatisch mit einem ServiceNow-Konto verknüpfte, basierend auf einem einzigen Abgleich: der E-Mail-Adresse des Nutzers. Keine Passwortprüfung. Keine MFA-Abfrage. Keine SSO-Weiterleitung. Nur die E-Mail.
Ein Angreifer, der sich mit dem fest einprogrammierten Geheimnis authentifizierte und die E-Mail-Adresse eines beliebigen Nutzers angab, wurde von der gesamten ServiceNow-Plattform als dieser Nutzer behandelt. Das schloss Systemadministratoren ein.
Schritt 3: Agentic Hijacking
Hier unterschied sich BodySnatcher von einer herkömmlichen Authentifizierungsumgehung. Nachdem der Angreifer einen Admin imitierte, musste er weder die ServiceNow-Oberfläche manuell bedienen noch spezifische API-Payloads konstruieren. Er gab dem Record Management AI Agent einen natürlichsprachigen Befehl, etwa “Erstelle ein neues Admin-Konto mit diesen Anmeldedaten.”
Der Agent führte die Anfrage pflichtbewusst aus. Er übersetzte die natürlichsprachige Anweisung in die entsprechenden hochprivilegierten API-Aufrufe, erstellte das Backdoor-Konto und wies ihm vollständige Admin-Rechte zu. CSO Online berichtete, dass dieser einzelne konversationelle Befehl ganze Unternehmenssysteme kompromittieren konnte.
Warum KI-Agenten diese Schwachstelle verschlimmerten
Ohne die KI-Komponente ist BodySnatcher ein Fehler in der Authentifizierung: fest einprogrammierte Zugangsdaten plus fehlende Identitätsprüfung. Ernsthaft, aber nicht beispiellos. Was daraus CVSS 9.3 machte, war die KI-Agenten-Schicht darüber.
Natürliche Sprache als Angriffsschnittstelle
Traditionelle Exploits erfordern, dass der Angreifer die API-Struktur, Parameterformate und Endpoint-Adressen des Zielsystems versteht. Mit einem KI-Agenten als Vermittler muss der Angreifer nur beschreiben, was er will. Der Agent übernimmt die Übersetzung in spezifische API-Aufrufe, Parameterkonstruktion und Ausführungssequenzierung. Das senkt die Einstiegshürde für die Ausnutzung drastisch.
Privilegien-Eskalation durch Agent-Kontext
Der KI-Agent führte Aktionen im Kontext des gekaperten Admin-Kontos aus. Er las nicht nur Daten oder lieferte Informationen zurück. Er konnte Datensätze auf der gesamten Plattform erstellen, ändern und löschen. Jede Aktion, die der Admin durchführen konnte, konnte auch der Agent durchführen, nur schneller und ohne die Audit-Trail-Muster, die Sicherheitsteams von menschlicher Admin-Aktivität erwarten.
Vervielfachung des Wirkungsradius
Ein menschlicher Angreifer, der einen Authentifizierungsfehler ausnutzt, müsste manuell identifizieren, auf welche Daten er zugreifen und wie er seinen Zugriff aufrechterhalten will. Der KI-Agent komprimierte diese gesamte Kill-Chain in konversationelle Befehle. Sozialversicherungsnummern, Gesundheitsdaten, Finanzdaten, geistiges Eigentum: alles über dieselbe konversationelle Schnittstelle zugänglich, die legitime Nutzer für IT-Support-Tickets verwendeten.
Was ServiceNow gefixt hat und was offen bleibt
ServiceNow adressierte die Schwachstelle am 30. Oktober 2025. Der Patch umfasst:
- Now Assist AI Agents (sn_aia): Versionen 5.1.18 oder höher und 5.2.19 oder höher
- Virtual Agent API (sn_va_as_service): Versionen 3.15.2 oder höher und 4.0.4 oder höher
ServiceNow verteilte den Fix automatisch an die Mehrheit der gehosteten Instanzen und teilte die Patches mit Partnern und selbst gehosteten Kunden. Zum Zeitpunkt der Offenlegung gab ServiceNow an, keine Ausnutzung in freier Wildbahn festgestellt zu haben.
Der Fix adressiert aber die spezifische Schwachstelle, nicht das architektonische Muster, das sie verursacht hat. Jede SaaS-Plattform, die KI-Agenten auf bestehende Authentifizierungsinfrastruktur aufschraubt, steht vor demselben Risiko: Eine einzelne Auth-Umgehung, die früher “unautorisierter Datenzugriff” bedeutete, wird zu “natürlichsprachiger Befehlsausführung mit vollen Plattformrechten.”
Organisationen, die ServiceNow einsetzen, sollten prüfen, ob sie gepatchte Versionen verwenden, und zusätzlich ihre Virtual-Agent-Konfigurationen auditieren. TechInformed merkte an, dass die tiefere Lektion die Geschwindigkeit betrifft, mit der KI-Integrationen ohne entsprechende Sicherheitsarchitektur-Reviews eingesetzt werden.
Handlungsempfehlungen für Unternehmen mit KI-Agenten
BodySnatcher war kein ServiceNow-spezifisches Problem. Es war das erste prominente Beispiel eines Musters, vor dem Sicherheitsforscher warnen: KI-Agenten erben und verstärken die Sicherheitslage der Plattform, auf der sie laufen. Hat die Plattform eine Schwachstelle, macht der Agent ein Scheunentor daraus.
Agent-Authentifizierung separat prüfen
Standard-Penetrationstests prüfen die API-Authentifizierung. Sie testen selten den spezifischen Authentifizierungsfluss zwischen externen Integrationen und KI-Agenten-Modulen. BodySnatcher lebte in der Lücke zwischen Virtual-Agent-API-Auth und der Now-Assist-Identitätsauflösung. Diese Nahtstellen zwischen Komponenten sind es, wo agentenbasierte Schwachstellen sich verstecken.
Für DACH-Unternehmen gilt: Die DSGVO verlangt technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Ein KI-Agent, der ohne Authentifizierungsprüfung auf Personalakten oder Kundendaten zugreift, ist ein klarer Verstoß gegen Art. 32 DSGVO. Der EU AI Act, der ab August 2026 greift, stuft hochriskante KI-Systeme mit Zugang zu kritischer Infrastruktur entsprechend streng ein.
Agent-Aktionen als privilegierte Operationen behandeln
Jede Aktion, die ein KI-Agent ausführen kann, sollte dieselben Autorisierungsprüfungen erfordern wie ein direkter API-Aufruf. Wenn das Erstellen eines Admin-Kontos über die UI eine MFA-Bestätigung erfordert, muss eine gleichwertige Verifizierung gelten, wenn der Befehl über einen konversationellen Agenten kommt. AppOmnis Forschung betonte, dass die Fähigkeit des Agenten, natürliche Sprache in hochprivilegierte API-Aufrufe zu übersetzen, selbst ein Risikomultiplikator ist.
Fest einprogrammierte Geheimnisse in Agent-Pipelines eliminieren
Das sollte selbstverständlich sein, aber BodySnatcher beweist, dass es wiederholt werden muss. Plattformweite statische Geheimnisse für die Agent-Authentifizierung sind keine Geheimnisse. Stattdessen: instanzspezifische, rotierende Zugangsdaten mit kurzer Gültigkeitsdauer verwenden. Das OWASP-Framework für agentische Anwendungen listet fest einprogrammierte Zugangsdaten unter ASI03 (Identity & Access Control) als Risiko der höchsten Stufe.
Agent-Ausführungsmuster überwachen
Menschliche Admins erstellen keine neuen Admin-Konten um 3 Uhr morgens über einen Virtual-Agent-Chat. Verhaltensanomalieeerkennung für KI-Agenten-Aktionen ist keine Option mehr, sondern Pflicht. Wenn Ihr SIEM nicht zwischen einem legitimen Agent-Workflow und einem Angreifer unterscheiden kann, der Befehle über eine gekaperte Agent-Sitzung erteilt, fliegen Sie blind.
Häufig gestellte Fragen
Was ist die ServiceNow BodySnatcher-Schwachstelle (CVE-2025-12420)?
BodySnatcher (CVE-2025-12420) ist eine kritische Schwachstelle (CVSS 9.3) in ServiceNows Virtual Agent API und Now Assist AI Agents. Sie erlaubte unauthentifizierten Angreifern, sich als beliebiger ServiceNow-Nutzer auszugeben, einschließlich Administratoren, indem nur deren E-Mail-Adresse verwendet wurde. Die Schwachstelle kombinierte ein fest einprogrammiertes plattformweites Geheimnis mit E-Mail-basiertem Auto-Linking, das MFA und SSO umging.
Wie viele Unternehmen waren von der ServiceNow BodySnatcher-Schwachstelle betroffen?
ServiceNow wird von etwa 85% der Fortune 500 und 60% der Global 2000 genutzt, insgesamt rund 8.800 Organisationen weltweit. Alle Instanzen mit ungepatchten Versionen von Now Assist AI Agents und der Virtual Agent API waren potenziell verwundbar. ServiceNow verteilte Patches am 30. Oktober 2025 an gehostete Instanzen.
Wurde die ServiceNow BodySnatcher-Schwachstelle behoben?
Ja. ServiceNow hat CVE-2025-12420 am 30. Oktober 2025 gepatcht. Der Fix ist in Now Assist AI Agents ab Version 5.1.18 bzw. 5.2.19 und Virtual Agent API ab Version 3.15.2 bzw. 4.0.4 enthalten. ServiceNow verteilte den Patch automatisch an die meisten gehosteten Instanzen.
Was unterschied BodySnatcher von einer typischen Authentifizierungsumgehung?
Im Gegensatz zu herkömmlichen Authentifizierungsumgehungen, die manuelle Ausnutzung erfordern, gab BodySnatcher Angreifern Zugang zu ServiceNows KI-Agenten. Nach der Übernahme einer Admin-Identität konnte ein Angreifer natürlichsprachige Befehle wie “Erstelle ein neues Admin-Konto” erteilen, und der KI-Agent führte die entsprechenden hochprivilegierten API-Aufrufe automatisch aus.
Welche Bedeutung hat BodySnatcher für die DSGVO und den EU AI Act?
Unter der DSGVO sind Unternehmen verpflichtet, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu implementieren (Art. 32). Ein KI-Agent, der ohne Authentifizierungsprüfung auf sensible Daten zugreifen kann, stellt einen Verstoß dar. Der EU AI Act, der ab August 2026 greift, stellt zusätzliche Anforderungen an hochriskante KI-Systeme mit Zugang zu kritischer Infrastruktur.