Neues Open-Source-Dataset ClawHub Security Signals zeigt: KI-Agenten mit Codeausführung sind angreifbar. Was das für KMU bedeutet.
Am 1. Juni 2026 hat Hugging Face das ClawHub Security Signals Dataset veröffentlicht — eine Sammlung von über 10.000 realen Sicherheitslücken in KI-Agenten mit Code-Execution. Das Besondere: Die Daten stammen aus produktiven Unternehmensumgebungen. Für KMU, die Agenten einsetzen oder planen, ist das Dataset eine Pflichtlektüre.
ClawHub ist ein Multi-Scanner-Dataset mit Ergebnissen von 17 verschiedenen Security-Tools, die KI-Agenten auf Schwachstellen prüfen. Die häufigsten Probleme: Prompt Injection (34 Prozent), Path Traversal bei Dateizugriffen (22 Prozent), unsichere Code-Execution ohne Sandbox (18 Prozent), fehlende Input-Validierung (14 Prozent).
Das Dataset ist öffentlich auf Hugging Face verfügbar. Unternehmen können ihre eigenen Agenten gegen die Testfälle prüfen.
Viele Mittelständler setzen bereits KI-Agenten ein, oft ohne dediziertes Security-Review. Die typischen Einsatzfelder: Automatisierte Belegverarbeitung, Auftragsdisposition, Kundenkommunikation. In allen drei Fällen haben Agenten Zugriff auf sensible Daten oder können Aktionen mit Außenwirkung auslösen.
Das ClawHub Dataset zeigt: 68 Prozent der untersuchten Agenten hatten mindestens eine kritische Lücke, die externe Angreifer hätten ausnutzen können. Die Hälfte davon wäre mit Standard-Tools vermeidbar gewesen.
Ein Agent beantwortet E-Mails automatisch. Ein Angreifer schickt eine Mail mit verstecktem Prompt-Befehl. Ohne Prompt-Filtering führt der Agent den Befehl aus. Kosten: DSGVO-Verstoß, meldepflichtig.
Ein Agent lädt PDFs aus einem Upload-Ordner. Ein Angreifer lädt eine Datei mit Pfad hoch, der auf Systemdateien verweist. Ohne Validierung liest der Agent diese aus. Kosten: Vollständiger Serverzugriff möglich.
Ein Agent generiert SQL-Queries aus natürlichsprachlichen Anfragen. Ohne Sandbox kann ein Angreifer eine Anfrage stellen, die DROP TABLE als Query erzeugt. Kosten: Datenverlust, Produktionsausfall.
Die gute Nachricht: Alle drei Szenarien sind vermeidbar. Das ClawHub Dataset liefert nicht nur Angriffsvektoren, sondern auch empfohlene Gegenmaßnahmen. Die wichtigsten: Input-Validierung, Prompt-Filtering via OpenAI Moderation API, Sandbox für Code-Execution, Logging und Monitoring.
Konkret empfehlen wir folgende Tools: Für Prompt-Injection-Schutz nutzen Sie die OpenAI Moderation API (kostenlos) oder Anthropic Constitutional AI (bereits in Claude integriert). Für Input-Validierung setzen Sie JSON-Schema-Validierung ein, etwa via Python Pydantic oder JavaScript Ajv. Für Sandbox-Umgebungen eignen sich Docker-Container mit stark limitierten Rechten oder spezialisierte Sandbox-Lösungen wie gVisor.
Bei ATLAS Consulting setzen wir für alle produktiven Agent-Projekte einen Security-Review als Pflichtschritt ein, typischerweise nach dem Prototyping, vor dem Go-Live. Der Review dauert 2 bis 4 Tage und kostet zwischen 3.000 und 8.000 Euro, je nach Agent-Komplexität.
Diese fünf Fragen sollten Sie für jeden produktiven Agenten mit Ja beantworten können:
1. Werden alle Nutzereingaben (Text, Dateien, API-Parameter) validiert, bevor der Agent sie verarbeitet? 2. Läuft Code-Execution in einer isolierten Umgebung ohne Zugriff auf Produktionsdaten? 3. Werden alle Agent-Aktionen mit Zeitstempel, User-ID und Kontext geloggt? 4. Gibt es einen definierten Prozess, was bei einem Security-Vorfall passiert (Incident Response Plan)? 5. Wurde der Agent mindestens einmal von einer externen Stelle auf Schwachstellen geprüft?
Wenn Sie eine dieser Fragen mit Nein beantworten, haben Sie ein Sicherheitsrisiko. Die gute Nachricht: Alle fünf Punkte lassen sich in wenigen Tagen nachrüsten. Bei ATLAS Consulting haben wir dafür ein Standard-Paket, das genau diese fünf Punkte abdeckt. Kosten: ab 2.500 Euro, Dauer: 3 bis 5 Tage.
Ein typischer Agent-Security-Review dauert 2 bis 4 Tage und läuft in vier Phasen ab: Threat Modeling, Static Code Analysis, Penetration Testing und Remediation Guidance.
Phase 1 (Threat Modeling) analysiert die Angriffsoberfläche des Agenten: Welche Eingaben verarbeitet er? Welche externen APIs ruft er auf? Welche Datenbanken oder Dateisysteme greift er an? Daraus entsteht eine Liste möglicher Angriffsvektoren.
Phase 2 (Static Code Analysis) scannt den Agenten-Code mit Tools wie Bandit, Semgrep oder speziellen LLM-Security-Scannern. Diese Tools erkennen typische Schwachstellen wie fehlende Input-Validierung, SQL-Injection-Potenzial oder Path-Traversal-Risiken.
Phase 3 (Penetration Testing) simuliert reale Angriffe. Ein Security-Experte versucht, den Agenten mit Prompt-Injection, manipulierten Dateien oder speziell präparierten API-Requests zu kompromittieren. Das ClawHub Dataset liefert dafür fertige Testfälle.
Phase 4 (Remediation Guidance) liefert konkrete Fixes für jede gefundene Lücke. Typischerweise als priorisierte Liste: Critical-Fixes sofort umsetzen, High-Priority-Fixes innerhalb 2 Wochen, Medium-Priority-Fixes im nächsten Sprint.
Ein Agent-Security-Review kostet zwischen 3.000 und 8.000 Euro. Das klingt nach viel für einen Mittelständler, ist aber vergleichsweise günstig im Verhältnis zu den Kosten eines erfolgreichen Angriffs.
Ein Beispiel aus unserer Praxis: Ein Logistik-Unternehmen mit 120 Mitarbeitern hatte einen KI-Agenten für Auftragsdisposition im Einsatz. Der Agent hatte Zugriff auf Kundendaten, Lieferadressen und Auftragswerte. Ein Security-Review fand eine kritische Path-Traversal-Lücke, über die ein Angreifer alle Kundendaten hätte abziehen können. Die Kosten des Reviews: 4.200 Euro. Die Kosten eines DSGVO-Verstoßes dieser Größenordnung: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, plus Reputationsschaden.
Der ROI ist klar: Ein einziger verhinderte Vorfall rechtfertigt den Review um den Faktor 100.
68 Prozent der untersuchten Agenten hatten mindestens eine kritische Lücke — die Hälfte davon wäre mit Standard-Tools vermeidbar gewesen.
Warnhinweis: DSGVO-Meldepflicht Ein erfolgreicher Angriff auf einen KI-Agenten, der personenbezogene Daten verarbeitet, ist in den meisten Fällen meldepflichtig nach Art. 33 DSGVO. Die Meldung muss innerhalb von 72 Stunden erfolgen.
| Risiko-Klasse | Häufigkeit laut ClawHub | Gegenmaßnahme |
|---|---|---|
| Prompt Injection | 34% | Prompt-Filtering, Moderation API |
| Path Traversal | 22% | Input-Validierung, Whitelist |
| Unsichere Code-Exec | 18% | Sandbox, Container-Isolation |
| Fehlende API-Validierung | 14% | Schema-Validierung |
Für KMU, die Agenten einsetzen, ist das ClawHub Dataset kein Grund zur Panik, aber ein klares Signal: Agent-Security ist kein Nice-to-have, sondern Pflicht. Wer heute schon Agenten produktiv hat, sollte zeitnah einen Security-Review einplanen. Wer Agenten plant, sollte Security von Anfang an mitdenken.
Unsere Empfehlung: Pilotprojekt mit begrenztem Scope starten, Security-Review nach 4 Wochen einbauen, dann skalieren. Das ClawHub Dataset selbst ist auf Hugging Face frei verfügbar.
Wer mehr über das ClawHub Dataset erfahren will, findet es auf Hugging Face unter dem Namen ClawHub Security Signals. Technisch versierte Teams können es direkt als Test-Suite in ihre CI/CD-Pipeline einbinden. Wer unsicher ist, wie das geht, sollte sich Unterstützung holen — die Kosten sind minimal im Vergleich zum Risiko.
ATLAS Consulting begleitet Sie vom ersten Use-Case bis zur produktiven Integration — ohne Hype, ohne Blackbox, mit klaren Zahlen.