37 Prozent aller KI-Agent-Skills in öffentlichen Registries enthalten mindestens eine Sicherheitslücke. 76 davon sind bestätigte Malware. Und bis März 2026 gab es keinen automatisierten Weg zu prüfen, ob die Skills und MCP-Server auf dem eigenen Rechner sicher sind. Snyk hat das mit agent-scan geändert: ein Open-Source-CLI-Tool, das Agent-Konfigurationen auf der Maschine automatisch erkennt und sie auf über 15 Sicherheitsrisiko-Kategorien prüft. Das Tool erschien zur RSAC 2026 als Teil einer umfassenderen Agent-Security-Suite und füllt eine Lücke, die seit der Verbreitung von MCP auf über 17.000 Server immer größer wurde.
Das ist kein Linting-Tool und kein Best-Practices-Checker. Agent-scan erkennt Tool Poisoning, Prompt Injection in Tool-Beschreibungen, Credential-Leaks, Malware-Payloads und toxische Abläufe in MCP-Servern und installierbaren Agent Skills. Es ist der npm-audit-Moment für KI-Agenten.
Was Agent-Scan konkret macht
Agent-scan arbeitet in zwei Modi. Der CLI-Modus führt snyk-agent-scan auf dem lokalen Rechner aus und liefert sofort Ergebnisse. Der Hintergrund-Modus verbindet sich mit einer Snyk-Evo-Instanz und läuft planmäßig, konzipiert für Sicherheitsteams die Entwicklergeräte über MDM oder CrowdStrike verwalten.
Zuerst erkennt agent-scan automatisch alle Agent-Konfigurationen. Das Tool weiß, wo Claude Code, Claude Desktop, Cursor, Gemini CLI und Windsurf ihre MCP-Server-Configs und Skill-Registries speichern. Man muss nicht auf bestimmte Dateien verweisen. Ein Aufruf genügt, und es kartiert die gesamte Agent-Landschaft auf dem Rechner.
Dann scannt es in zwei Kategorien:
MCP-Server werden auf Prompt Injection in Tool-Beschreibungen, Tool Poisoning (versteckte Anweisungen die das sichtbare Verhalten überschreiben), Tool Shadowing (ein neuer Server ersetzt ein bestehendes Tool stillschweigend) und toxische Abläufe (Sequenzen von Tool-Aufrufen die zu Sicherheitsverletzungen führen könnten) geprüft.
Agent Skills werden auf Prompt Injection, Malware-Payloads, nicht vertrauenswürdige Inhaltsquellen, Credential-Handling-Muster und hartcodierte Secrets geprüft. Das --skills-Flag aktiviert diesen Scan: snyk-agent-scan --skills.
Das Fundament: Invariant Labs
Agent-scan ist nicht aus dem Nichts entstanden. Im Juni 2025 hat Snyk Invariant Labs übernommen, ein Spin-off der ETH Zürich, mitgegründet von den Professoren Martin Vechev und Florian Tramer. Invariant Labs waren die Forscher, die “Tool Poisoning” als Angriffsklasse entdeckt und benannt haben. Sie bauten mcp-scan, den ersten dedizierten MCP-Sicherheitsscanner, und veröffentlichten die Forschung die zeigte, wie ein einzelner bösartiger MCP-Server die gesamte WhatsApp-Chathistorie eines Nutzers exfiltrieren konnte, indem er die Vertrauensgrenzen zwischen MCP-Servern in derselben Sitzung ausnutzte.
Ihre zentrale Innovation ist die Toxic Flow Analysis (TFA): ein hybrides statisch-dynamisches Analyse-Framework das jeden möglichen Ablauf von Tool-Aufrufen modelliert und bewertet, welche Abläufe zu Sicherheitsverletzungen führen könnten. Herkömmliche statische Analyse kann das nicht leisten, weil der Ausführungspfad von der nicht-deterministischen LLM-Reasoning abhängt. TFA behandelt das LLM als Black Box und analysiert stattdessen den Tool-Graphen: Wenn Tool A nicht vertrauenswürdige Eingaben liefert, Tool B privilegierten Zugriff hat und Tool C Daten extern senden kann, wird diese Drei-Tool-Sequenz markiert, unabhängig davon, ob das LLM sie tatsächlich ausführen würde.
Dieser Ansatz treibt jetzt die Toxic-Flow-Erkennung in agent-scan an. Die Pipeline von der Übernahme zum Produkt dauerte neun Monate: Invariant Labs kam im Juni 2025 zu Snyk, der ToxicSkills-Bericht erschien im Februar 2026, und agent-scan wurde im März 2026 auf der RSAC vorgestellt.
ToxicSkills: Die Daten hinter dem Scanner
Der ToxicSkills-Bericht lieferte agent-scan seine empirische Grundlage. Im Februar 2026 veröffentlicht, untersuchte er 3.984 Skills von ClawHub und skills.sh zum Stichtag 5. Februar 2026. Die Ergebnisse waren schlimmer als die meisten Sicherheitsforscher erwartet hatten.
Von 3.984 Skills: 1.467 (36,8%) hatten mindestens eine Sicherheitslücke, 534 (13,4%) hatten kritische Probleme, und 76 (1,9%) enthielten bestätigte bösartige Payloads. Die 76 Malware-Skills waren nicht subtil. 100 Prozent enthielten schädliche Code-Muster. 91 Prozent nutzten gleichzeitig Prompt Injection um den Host-Agenten zu manipulieren. Ein Nutzer namens zaycv veröffentlichte einen gefälschten ClawHub-CLI-Skill mit einer Reverse Shell.
Die Credential-Diebstahl-Zahlen sind besonders besorgniserregend. Rund 434 Skills (10,9%) enthielten hartcodierte Secrets, und 283 (7,1%) leakten aktiv Zugangsdaten. 156 Credential-stehlende Skills hatten zusammen über 10.000 Downloads. Acht bösartige Skills waren zum Zeitpunkt der Veröffentlichung noch öffentlich auf ClawHub verfügbar.
Warum die niedrige Einstiegshürde gefährlich ist
Um einen Skill auf ClawHub zu veröffentlichen, braucht man eine SKILL.md-Markdown-Datei und einen GitHub-Account, der eine Woche alt ist. Kein Code-Signing. Kein Security-Review. Keine Sandbox standardmäßig. Kein Verified-Publisher-Programm. Das sind exakt die Bedingungen, die den event-stream-Angriff auf npm 2018 ermöglichten, nur dass Agent Skills etwas haben, das npm-Pakete nie hatten: Der KI-Agent hat bereits Shell-Zugriff, Dateisystem-Berechtigungen und Netzwerkzugang. Der Skill muss keine erhöhten Rechte anfordern, weil der Agent sie bereits besitzt.
Der Vergleich mit dem frühen npm ist nicht hypothetisch. Skill-Einreichungen stiegen von unter 50 pro Tag Mitte Januar auf über 500 pro Tag Anfang Februar 2026. Diese Wachstumsrate, kombiniert mit null automatisiertem Security-Review, schuf die Bedingungen die ToxicSkills dokumentierte.
Die Agent-Security-Landschaft auf der RSAC 2026
Snyk war nicht der einzige Anbieter, der auf der RSAC 2026 Agent-Security-Tooling vorstellte. Die Konferenz am 23. und 24. März 2026 brachte eine Welle konkurrierender Produkte:
SentinelOne startete Prompt AI Agent Security für Echtzeit-Agent-Governance, inklusive MCP-Server-Abdeckung und automatischer Behebung. Dazu kam Prompt AI Red Teaming zum Testen intern gebauter KI-Anwendungen.
Cisco veröffentlichte DefenseClaw, ein Open-Source-Framework das Skills Scanner, MCP Scanner, AI-BOM (AI Bill of Materials) und CodeGuard in einem Toolkit bündelt.
Endor Labs stellte AURI vor, eine agentische Sicherheitsplattform die KI-Reasoning mit deterministischer Programmanalyse kombiniert.
Dass vier große Sicherheitsanbieter in derselben Woche Agent-Security-Produkte vorstellten, zeigt wo der Markt steht. Gartner prognostiziert ein jährliches Wachstum der KI-Cybersicherheitsausgaben von 73,9% CAGR von 2024 bis 2029. Ciscos Umfrage fand, dass 85% der Unternehmen mit KI-Agenten experimentieren, aber nur 5% sie in Produktion haben. Für europäische Unternehmen, die unter dem EU AI Act und der DSGVO ohnehin strengere Sicherheitsanforderungen erfüllen müssen, ist diese Lücke zwischen Experiment und Produktion noch kritischer.
Was Agent-Scan von der Konkurrenz unterscheidet
Open Source an erster Stelle
Agent-scan ist Open Source auf GitHub unter einer permissiven Lizenz. SentinelOnes Angebot ist proprietär. Ciscos DefenseClaw ist ebenfalls Open Source. Das ist relevant, weil Sicherheitstools die nicht auditierbar sind ein grundsätzliches Vertrauensproblem haben, besonders wenn sie Konfigurationen scannen die API-Schlüssel und Zugangsdaten enthalten.
Integration in die Lieferkette
Snyk hat eine Partnerschaft mit Vercel geschlossen, um agent-scan in den skills.sh-Marktplatz zu integrieren. Jeder Skill, der über npx skills installiert wird, wird vor der Installation durch Snyks API gescannt. Das Skills-Ökosystem wächst aktuell um rund 147 neue Skills pro Tag. Pre-Installations-Scanning ist der einzige Ansatz der bei dieser Wachstumsrate skaliert, denn Post-Installations-Scanning bedeutet, dass bösartige Skills bereits ausgeführt wurden, bevor man sie erkennt.
Enterprise-Deployment
Der Hintergrund-Modus unterscheidet agent-scan von Punkt-in-Zeit-Scannern. Sicherheitsteams können es über MDM deployen, mit CrowdStrike verbinden und kontinuierliche Sichtbarkeit darüber bekommen, welche MCP-Server und Skills auf jedem Entwicklerrechner in der Organisation laufen. Für Unternehmen im DACH-Raum, die ihre Agent-Deployments über die Experimentierphase hinaus skalieren, ist dieses operative Modell wichtiger als der Scan selbst.
Der SANDWORM_MODE-Weckruf
Falls die ToxicSkills-Zahlen abstrakt wirken, macht der SANDWORM_MODE-Vorfall vom Februar 2026 die Bedrohung greifbar. Sicherheitsforscher entdeckten einen npm-Wurm, der gezielt KI-Coding-Assistenten angreift. Er enthält ein “McpInject”-Modul, das Rogue-MCP-Server in die Konfigurationen von Claude Code, Cursor, VS Code Continue und Windsurf einschleust.
Der Angriffsablauf: Ein Entwickler installiert ein scheinbar legitimes npm-Paket. Das postinstall-Skript des Pakets schreibt eine bösartige MCP-Server-Definition in die Agent-Konfigurationsdateien. Beim nächsten Öffnen des KI-Coding-Assistenten verbindet sich dieser mit dem Rogue-MCP-Server, der nun Prompts abfangen, Code exfiltrieren und bösartige Anweisungen in die Tool-Antworten des Agenten injizieren kann.
Genau diese Art von Supply-Chain-Angriff ist es, für die agent-scan gebaut wurde. Der Rogue-MCP-Server würde mehrere Risikokategorien auslösen: Prompt Injection in Tool-Beschreibungen, nicht vertrauenswürdige Inhaltsquellen und verdächtige Konfigurationsänderungen.
Erste Schritte mit Agent-Scan
Agent-scan einzurichten dauert weniger als eine Minute:
# Global installieren
npm install -g @snyk/agent-scan
# MCP-Server auf dem Rechner scannen
snyk-agent-scan
# Auch installierte Agent Skills scannen
snyk-agent-scan --skills
# Eine bestimmte Konfigurationsdatei scannen
snyk-agent-scan --config ~/.cursor/mcp.json
Die Ausgabe kategorisiert Funde nach Schweregrad und Risikotyp. Für jeden Fund erhält man die betroffene Datei, die Risikokategorie, eine Beschreibung des Problems und eine empfohlene Behebung. Kritische Funde (bestätigte Malware, aktive Credential-Exfiltration) werden separat von Warnungen (hartcodierte Secrets, zu permissive Tool-Beschreibungen) hervorgehoben.
Für Teams die Agent-Security-Tooling evaluieren, ist agent-scan der Startpunkt: kostenlos, Open Source und in CI-Pipelines integrierbar. Die kommerzielle Snyk-Evo-Plattform ergänzt kontinuierliches Monitoring, Fleet-Management und Integration mit bestehenden SIEM/SOAR-Workflows.
Häufig gestellte Fragen
Was ist Snyk agent-scan?
Snyk agent-scan ist ein Open-Source-CLI-Tool, das KI-Agent-Konfigurationen (Claude Code, Cursor, Gemini CLI, Windsurf) automatisch erkennt und MCP-Server sowie Agent Skills auf über 15 Sicherheitsrisiko-Kategorien prüft, darunter Tool Poisoning, Prompt Injection, Malware-Payloads und Credential-Leaks.
Was hat der ToxicSkills-Bericht ergeben?
Der ToxicSkills-Bericht untersuchte im Februar 2026 insgesamt 3.984 KI-Agent-Skills von ClawHub und skills.sh. Er fand, dass 36,8% mindestens eine Sicherheitslücke aufwiesen, 13,4% kritische Probleme hatten und 76 Skills bestätigte bösartige Payloads enthielten, darunter Reverse Shells, Credential-Diebstahl und Datenexfiltration.
Was ist der Unterschied zwischen Tool Poisoning und Prompt Injection?
Prompt Injection manipuliert den KI-Agenten über nutzerseitige Texteingaben. Tool Poisoning versteckt bösartige Anweisungen in MCP-Tool-Beschreibungen, die das LLM liest, die aber dem Nutzer normalerweise nicht angezeigt werden. Ein vergiftetes Tool kann das Verhalten des Agenten manipulieren, ohne dass der Nutzer die bösartigen Anweisungen jemals sieht.
Warum hat Snyk Invariant Labs übernommen?
Snyk übernahm Invariant Labs im Juni 2025, um deren Expertise in der MCP-Sicherheitsforschung zu gewinnen, einschließlich des mcp-scan-Tools und des Toxic-Flow-Analysis-Frameworks. Invariant Labs, ein ETH-Zürich-Spin-off, hat die Entdeckung von Tool-Poisoning-Angriffen vorangetrieben und die grundlegende Technologie gebaut, die agent-scan antreibt.
Wie führe ich Snyk agent-scan auf meinem Rechner aus?
Installieren Sie agent-scan global mit npm install -g @snyk/agent-scan, dann führen Sie snyk-agent-scan aus, um MCP-Server zu scannen, oder snyk-agent-scan --skills, um auch installierte Agent Skills zu prüfen. Es erkennt automatisch Konfigurationen für Claude Code, Cursor, Gemini CLI und Windsurf.