Den Zeitraum 17.06. bis 24.06.2026 prägen drei Stränge. Das Credential-Harvesting an Netzwerk-Edge-Geräten erreicht mit der FortiBleed-Operation industrielle Größenordnung, ohne dass eine neue Schwachstelle nötig wäre. Mehrere Vorfälle entstehen aus kompromittierten OAuth-Token und vergifteten Paket-Registries statt aus klassischen Exploits. Forschung zu AI-Agenten dokumentiert erstmals praktikable Angriffspfade vom Browserkontext bis zur Host-Code-Execution.
Threat Actors & Campaigns
FortiBleed bezeichnet eine seit mindestens Februar 2026 laufende Credential-Harvesting-Operation gegen internetexponierte FortiGate-Firewalls und FortiOS-SSL-VPN-Gateways. SOCRadar ordnet die Kampagne einem russischsprachigen, finanziell motivierten Initial Access Broker zu, der über 430.000 FortiGate-Firewalls im Visier hat und Zugänge weiterverkauft (SecurityWeek). Laut SOCRadar handelt es sich nicht um die Ausnutzung einer unbekannten Schwachstelle, sondern um Credential-Compromise über zuvor geleakte und nie rotierte Zugangsdaten sowie Brute-Force (BankInfoSecurity). Operativ bedeutet das, dass eine kompromittierte Edge-Appliance die gesamte Identitäts-Ebene einer Organisation exponiert und Patch-Status hier nicht schützt.
FortigateSniffer ist das zentrale Werkzeug der FortiBleed-Operation. SOCRadar beschreibt ein in Golang geschriebenes Tool, das die in FortiOS eingebaute diagnose sniffer packet-Funktion missbraucht, um Authentifizierungsverkehr auf kompromittierten Firewalls mitzuschneiden (BleepingComputer). Das Tool zielt auf Credentials, Passwort-Hashes und Authentifizierungs-Secrets aus Protokollen wie RADIUS, NTLM und Kerberos. Die Abuse einer legitimen Diagnosefunktion macht die Aktivität in Standard-Telemetrie schwer von administrativem Verhalten unterscheidbar.
AryStinger ist eine zuvor undokumentierte Botnet-Familie, die laut Qianxins XLab mindestens 4.300 veraltete Router kompromittiert und in eine verteilte Reconnaissance- und Proxy-Infrastruktur verwandelt (The Hacker News). Betroffen sind vor allem D-Link-Modelle DIR-850L und DIR-818LW über die Altschwachstellen CVE-2013-3307 und CVE-2016-5681, eine zweite Variante zielt über CVE-2025-11837 auf QNAP-NAS-Systeme. Jedes infizierte Gerät dient als Scanning-Node und Relay, das den eigentlichen Angreiferstandort verschleiert (Malwarebytes). Die niedrige Erkennungsrate auf VirusTotal und der Fokus auf End-of-Life-Hardware machen die Aufräumarbeit aufwendig.
Scattered Spider verzeichnet einen justiziellen Einschnitt. Thalha Jubair (20) und Owen Flowers (18) bekannten sich am ersten Verhandlungstag vor dem Woolwich Crown Court schuldig, im September 2024 die Systeme von Transport for London angegriffen zu haben (BleepingComputer). US-Strafverfolger werfen Jubair laut einer 2025 entsiegelten Anklage Beteiligung an 120 Netzwerk-Intrusionen mit 47 betroffenen US-Entitäten vor, mit mindestens 115 Millionen US-Dollar an gezahlten Lösegeldern (Krebs on Security). Die Urteilsverkündung ist für den 16. Juli angesetzt (The Record).
SocGholish wurde durch eine internationale Strafverfolgungsaktion gestört. Behörden aus den Niederlanden, Kanada, den USA und Deutschland nahmen 106 Server vom Netz und bereinigten 14.971 infizierte WordPress-Seiten (The Hacker News). Die Maßnahme ist Teil von Operation Endgame und richtet sich gegen eine seit 2017 aktive Loader-Infrastruktur, die über gefälschte Update-Prompts Initial Access für nachgelagerte Ransomware verkauft (BleepingComputer). Die FBI Cyber Division verknüpft SocGholish mit der russischsprachigen Gruppe Evil Corp (The Record).
The Gentlemen betreibt ein zentralisiertes EDR-Killer-Programm, das ESET unter dem Namen GentleKiller dokumentiert. Die Ransomware-as-a-Service-Gruppe entwickelt und pflegt das Framework selbst und reichert es mit Drittanbieter- oder geleakten Tools wie HexKiller, ThrottleBlood und HavocKiller an (WeLiveSecurity). Laut ESET operationalisiert die Gruppe neu veröffentlichte BYOVD-PoCs ungewöhnlich schnell, teils innerhalb von Tagen (The Hacker News). Die Viktimologie umfasst Südostasien, Südamerika und Westeuropa und weicht damit vom üblichen US-Schwerpunkt ab (BankInfoSecurity).
DragonForce setzte laut Broadcom-Symantec und Carbon Black einen Go-basierten Backdoor namens Backdoor.Turn ein, der C2-Verkehr in Microsoft-Teams-Relay-Infrastruktur versteckt (The Hacker News). Der Backdoor bezieht ein anonymes Teams-Visitor-Token aus Microsofts Skype-gestützten Identity-Services, baut über ein legitimes TURN-Relay eine Verbindung auf und führt eine QUIC-Session zum eigentlichen C2-Server. Den Researchern zufolge ist dies der erste öffentlich dokumentierte Missbrauch der TURN-Relay-Infrastruktur auf diese Weise (SecurityWeek). Für Verteidiger erscheint nur ausgehender Verkehr zu legitimen Microsoft-Servern, was netzbasierte Erkennung erschwert.
ShinyHunters setzte seine datengetriebene Erpressung fort. Die Gruppe nannte Kodak auf ihrer Leak-Seite, beanspruchte über 2,2 Millionen Datensätze und setzte eine Veröffentlichungsfrist zum 18. Juni (SecurityWeek). Kodak bestätigte einen Vorfall, beschrieb ihn aber als begrenzt und eingedämmt (Malwarebytes). Das Muster zeigt eine Verlagerung von Verschlüsselung hin zu reinem Datendiebstahl mit Veröffentlichungsdruck.
OXLOADER ist ein zuvor undokumentierter Windows-Loader, der laut Elastic Security Labs den Infostealer CASTLESTEALER über bösartige Google-Anzeigen verteilt (Elastic Security Labs). Der Loader nutzt mehrere Obfuskationsschichten wie Control-Flow-Flattening und opake Prädikate, selbstmodifizierende Decryption-Stubs und missbraucht die Windows-.reloc-Section zum Staging von Shellcode. CIS-Region- und Sprachprüfungen deuten laut Elastic auf einen russischsprachigen, finanziell motivierten Akteur (The Hacker News).
Tools & Techniques
AutoJack ist eine von Microsoft beschriebene Exploit-Kette, die einen browsenden AI-Agenten in ein Auslieferungsfahrzeug für Remote Code Execution verwandelt (Microsoft Security Blog). Untrusted Web-Content, der vom Agenten gerendert wird, erreicht einen lokalen Model-Context-Protocol-WebSocket und kann beliebige Prozesse auf dem Host starten, ausgelöst durch einen platzierten Link oder eine Prompt Injection (The Hacker News). Die betroffene WebSocket-Oberfläche in AutoGen Studio war laut Microsoft nie Teil eines PyPI-Release, das Muster zeigt aber, dass die Loopback-Grenze zur Angriffsfläche wird, sobald ein Agent untrusted Seiten lädt und mit privilegierten lokalen Diensten spricht.
macOS.Gaslight dreht Prompt Injection gegen den Analysten statt gegen die Sandbox. SentinelLABS analysierte ein in Rust geschriebenes macOS-Implant, das einen 3,5 KB großen Payload aus 38 fabrizierten System-Nachrichten einbettet, um eine LLM-gestützte Triage-Pipeline zum Abbruch ihrer Analyse zu bewegen (SentinelOne). Die C2-Kommunikation läuft über eine Telegram-Bot-API-Polling-Schleife mit AES-GCM-Payloads über certificate-pinned TLS und das Implant redigiert seinen eigenen Bot-Token in der Laufzeitausgabe. SentinelLABS ordnet das Sample mit hoher Konfidenz einem DPRK-affinen macOS-Cluster zu.
Universal Bucket Hijacking ist eine von Unit 42 beschriebene Technik zur Cloud-Datenexfiltration über einen architektonischen Fehler im globalen Namensraum von Storage-Buckets (Unit 42). Weil ein Bucket-Name global eindeutig ist, kann ein Angreifer einen gelöschten Bucket unter demselben Namen im eigenen Account neu anlegen und so aktive Datenströme samt Logs in die eigene Umgebung umleiten. Unit 42 teilte die Erkenntnisse mit Google Cloud, AWS und Microsoft Azure und beobachtete bislang keinen realen Akteur, der die Technik einsetzt.
Crypto Clipper kombiniert laut Microsoft Clipboard-Diebstahl mit einer leichtgewichtigen Backdoor. Die seit Februar 2026 aktive Windows-Kampagne setzt auf Windows Script Host und ActiveX-Logik, startet einen portablen Tor-Client und pollt einen Hidden-Service-C2 über einen lokalen SOCKS5-Proxy (Microsoft Security Blog). Zur Verbreitung scannt die Malware angeschlossene USB-Geräte und ersetzt Dokumente durch gleichnamige bösartige Shortcuts (BleepingComputer). SecurityWeek führt dieselbe Kampagne unter der Bezeichnung CryptoBandits (SecurityWeek).
Reports & Research
Skill-Marktplätze für AI-Agenten erweisen sich als neue Supply-Chain-Schwachstelle. Unit 42 identifizierte zwischen Februar und Mai 2026 fünf bösartige, ungeblockte Skills auf ClawHub, dem Marktplatz des Agenten OpenClaw, darunter zwei macOS-Infostealer und ein Skill mit aufgeblähter Dateigröße zur Umgehung von Scanner-Schwellen (Unit 42). Ergänzend zeigte die Sicherheitsfirma AIR mit einem harmlosen Test-Skill, dass dieser jeden getesteten Scanner passierte und rund 26.000 Agenten erreichte, teils auf Firmen-Accounts (The Hacker News). Ein Skill wird mit der Autorität eines User-Prompts in den Agentenkontext geladen, weshalb Vertrauenssignale wie GitHub-Stars oder Scanner-Verdikte hier wenig aussagen.
INC entwickelte sich laut Acronis von einer jungen Ransomware-as-a-Service-Operation zu einer der aktivsten Gruppen des Jahres 2026 mit über 830 beanspruchten Opfern seit August 2023 (The Hacker News). Acronis verknüpft das Wachstum mit dem Wegfall von LockBit und BlackCat, deren Affiliates zu alternativen Operationen migrierten. US-Organisationen stellen über 65 Prozent der gelisteten Opfer, die Windows- und Linux/ESXi-Encryptoren wurden in Rust neu geschrieben.
Gamaredon betreibt laut Nextron Research eine seit Februar 2026 laufende und bis Juni 2026 anhaltende Kampagne gegen Ukraine-Ziele, die CVE-2025-8088 in WinRAR weaponisiert (AlienVault OTX). Die als RAR-Archive verteilten Köder nutzen militär- und einberufungsbezogene Dokumente, wobei NTFS-Alternate-Data-Streams mit Path-Traversal-Sequenzen beim Entpacken LNK-Dateien in den Windows-Startup-Ordner platzieren. Die Shortcuts führen versteckte PowerShell-Stager mit Anti-Analyse-Techniken wie Debugger-Checks und Sleep-Delays aus.
Active Exploitation
Cisco Unified CM wird laut der Exploit-Intelligence-Firma Defused aktiv angegriffen, nachdem Cisco am 3. Juni Patches für CVE-2026-20230 bereitgestellt hatte (SecurityWeek). Die Lücke erlaubt einem unauthentifizierten, entfernten Angreifer SSRF-Angriffe und das Schreiben beliebiger Dateien ins zugrunde liegende Betriebssystem mit Eskalation zu root, setzt aber den standardmäßig deaktivierten WebDialer-Dienst voraus. Defused beobachtete die Ausnutzung von einer einzelnen Quelle mit einem ungeprüften PoC, Cisco bestätigte die In-the-Wild-Ausnutzung in seinem Advisory bislang nicht (BleepingComputer).
Splunk Enterprise wird über CVE-2026-20253 nur Tage nach der Offenlegung angegriffen, weshalb CISA Bundesbehörden zum Patchen anwies (BleepingComputer). Die Schwachstelle erlaubt unauthentifizierten Angreifern das Erstellen oder Truncaten beliebiger Dateien über einen PostgreSQL-Sidecar-Service-Endpoint ohne Authentifizierungskontrollen. Zwei Tage nach Disclosure veröffentlichte WatchTowr PoC-Code, der die Lücke demonstriert (SecurityWeek).
Joomla Content Editor wird über CVE-2026-48907 aktiv und automatisiert ausgenutzt, was CISA zu einer Patch-Anweisung an Bundesbehörden veranlasste (BleepingComputer). Die Improper-Access-Control-Lücke erlaubt unauthentifizierten Angreifern das Anlegen von Editor-Profilen und damit den Upload und die Ausführung von PHP-Code. Joomla warnte, dass funktionierender Exploit-Code öffentlich ist und auch Seiten ohne öffentliche Registrierung betroffen sind (SecurityWeek).
Gravity SMTP wird über CVE-2026-4020 aktiv ausgenutzt, eine Information-Disclosure-Lücke im WordPress-Plugin mit rund 100.000 Installationen. Ein REST-API-Endpoint mit einem permission_callback, der stets true zurückgibt, gibt unauthentifiziert einen umfangreichen System-Report aus, der API-Keys, Secrets und OAuth-Token für konfigurierte E-Mail-Integrationen enthalten kann (BleepingComputer). Wordfence blockierte nach eigenen Angaben über 17 Millionen Versuche gegen geschützte Kunden (The Hacker News).
FortiSandbox steht laut Defused mit drei kürzlich gepatchten Schwachstellen unter Beschuss, darunter CVE-2026-39808, CVE-2026-39813 und CVE-2026-25089 (SecurityWeek). CVE-2026-39808 ist eine OS-Command-Injection zur Codeausführung, CVE-2026-39813 ein Authentication-Bypass. KEVIntel beobachtete die Ausnutzung von CVE-2026-39808 unabhängig am 12. Juni, Defused und KEVIntel meldeten Angriffe auf CVE-2026-39813 am 15. Juni.
Critical Vulnerabilities
FFmpeg PixelSmash ist eine von JFrog gemeldete Heap-Out-of-Bounds-Write-Lücke im MagicYUV-Decoder der libavcodec-Bibliothek, tracked als CVE-2026-8461 mit CVSS 8.8 (SecurityWeek). Die Lücke entsteht durch eine Inkonsistenz zwischen Frame-Allocator und Decoder bei der Berechnung der Chroma-Plane-Höhen und lässt sich über eine präparierte Videodatei in den Formaten AVI, MKV oder MOV auslösen. Remote Code Execution ist laut BleepingComputer möglich, wenn ASLR deaktiviert ist oder über eine zweite Schwachstelle umgangen wird (BleepingComputer). Da FFmpeg in zahllosen Media-Pipelines steckt, ist die Angriffsfläche breit.
NGINX HTTP/3 erhielt von F5 außerplanmäßige Patches für zwei kritische Lücken. CVE-2026-42530 mit CVSS-v4-Score 9.2 ist eine Use-after-free im ngx_http_v3_module, die ein unauthentifizierter Angreifer über eine präparierte HTTP/3-Session auslösen kann (The Hacker News). CVE-2026-42055 ist ein Heap-based Buffer Overflow in den Modulen ngx_http_proxy_v2_module und ngx_http_grpc_module. Beide erlauben in Nicht-Standardkonfigurationen DoS und Codeausführung auf Systemen mit deaktiviertem oder umgehbarem ASLR (BleepingComputer).
Squidbleed ist eine von Calif.io offengelegte Memory-Leak-Lücke im Squid-Proxy, tracked als CVE-2026-47729 und seit einer FTP-Parsing-Änderung von 1997 vorhanden (SecurityWeek). Der FTP-Parser liest über eine Puffergrenze hinaus in einen Bereich, der unbereinigte HTTP-Request-Daten eines vorherigen Nutzers enthalten kann und exponiert so Cleartext-HTTP-Verkehr samt Credentials oder Session-Tokens. Squid stuft dies als Angriff durch einen bereits zugelassenen Client ein, was das Risiko in geteilten Proxy-Umgebungen wie Schulen, Büros und öffentlichen WLANs konzentriert (The Hacker News).
RoguePlanet ist eine von Microsoft bestätigte Privilege-Escalation-Lücke in der Microsoft Malware Protection Engine von Defender, tracked als CVE-2026-50656 mit CVSS 7.8 (The Hacker News). Der Forscher Nightmare Eclipse veröffentlichte einen PoC, der die Lücke als Race Condition beschreibt und eine SYSTEM-Shell verschafft. Microsoft arbeitet nach eigenen Angaben an einem Update, ein Patch lag zum Zeitpunkt des Advisories noch nicht vor (SecurityWeek).
Samsung KNOX war über CVE-2026-20971 mit CVSS 7.8 betroffen, eine acht Jahre alte Lücke, die laut SecurityWeek nahezu alle Geräte vom Galaxy S9 bis S25 erreicht (SecurityWeek). Die Schwachstelle entsteht im Zusammenspiel der Subsysteme PROCA und FIVE im Kernel, wo ein execve()-Aufruf in Androids preemptivem Kernel ein kurzes Zeitfenster für eine Use-after-free-Race-Condition öffnet. Erfolgreiche Ausnutzung zielt auf Kernel-Ebene.
Supply Chain
Klue erlitt einen OAuth-getriebenen Vorfall, der zum Diebstahl von Salesforce-CRM-Daten mehrerer Organisationen führte. Klue entdeckte am 12. Juni unautorisierte Aktivität, nachdem ein Angreifer über eine kompromittierte Legacy-Credential OAuth-Token für angebundene Plattformen erlangt hatte (BankInfoSecurity). Laut ReliaQuest missbrauchten die Angreifer die Salesforce-REST-API und exfiltrierten über rund 24 Stunden große CRM-Datenmengen, darunter ein Burst von fast tausend Queries in 15 Minuten (SecurityWeek). Salesforce deaktivierte am 17. Juni die Klue-Battlecards-Integration (The Hacker News). Betroffene Unternehmen umfassen LastPass, Huntress und Recorded Future, die Erpressergruppe nennt sich Icarus (BleepingComputer).
Mastra wurde über eine npm-Supply-Chain-Kompromittierung von mehr als 140 Paketen im @mastra-Scope angegriffen, die Microsoft mit hoher Konfidenz dem nordkoreanischen Akteur Sapphire Sleet zuschreibt (BleepingComputer). Die Angreifer übernahmen den npm-Maintainer-Account ehindero und schleusten am 17. Juni die bösartige Abhängigkeit easy-day-js ein, einen Typosquat der dayjs-Bibliothek (Microsoft Security Blog). Beim Install führte ein postinstall-Hook einen obfuskierten Dropper aus, der TLS-Zertifikatsprüfung deaktivierte und eine Second-Stage-Payload nachlud, sodass jede CI/CD-Pipeline mit npm install im Zeitfenster exponiert war (The Hacker News).
ShapedPlugin wurde laut Wordfence über eine Kompromittierung der Build- und Distributionspipeline angegriffen, die Backdoor-Code in Pro-Plugin-Releases einschleuste (The Hacker News). Betroffen sind ausschließlich die über die offizielle Easy-Digital-Downloads-Infrastruktur verteilten Pro-Builds von Product Slider Pro for WooCommerce, Real Testimonials Pro und Smart Post Show Pro, nicht die kostenlosen Versionen auf WordPress.org. Die Backdoor wurde laut Defiant am 21. Mai injiziert und installiert ein gefälschtes Plugin, das WooCommerce-Komponenten imitiert und Credentials stiehlt (BleepingComputer).
picklescan weist eine Serie von Detection-Bypass-Lücken auf, durch die manipulierte Pickle-Dateien die Sicherheitsvalidierung umgehen und Code ausführen. CVE-2026-56315 beschreibt, dass picklescan vor Version 1.0.4 mindestens sieben Python-Standardbibliotheksmodule nicht blockt und so acht Funktionen mit direkter Command-Execution exponiert (cvefeed.io). Da picklescan als Schutzschicht beim Laden von Machine-Learning-Artefakten dient, untergräbt jeder Bypass das Vertrauen in Modell-Pipelines.
Patches & Advisories
Oracle veröffentlichte mit dem Critical Security Patch Update vom Juni 2026 insgesamt 245 neue Patches, das zweite monatliche Update seit Einführung dieser Kadenz (SecurityWeek). Rund 120 Schwachstellen tragen ein kritisches CVSS-Rating, 100 lassen sich laut Oracle remote ohne Authentifizierung ausnutzen, über 100 entfallen auf Fusion Middleware. Der Umfang erzwingt eine Priorisierung nach exponierten, remote ausnutzbaren Komponenten.
Cisco ISE erhielt einen Fix für die kritische Command-Execution-Lücke CVE-2026-20181 mit CVSS 9.1 (SecurityWeek). Improper validierter User-Input erlaubt einem authentifizierten, entfernten Angreifer mit gültigen Admin-Credentials das Ausführen beliebiger Befehle auf dem Betriebssystem und die Eskalation zu root. In Single-Node-Deployments lässt sich die Lücke alternativ für einen DoS-Zustand nutzen.
Splunk AI Toolkit wurde gegen die kritische Lücke CVE-2026-20266 mit CVSS 9.1 gepatcht, die authentifizierten Angreifern mit Admin-Rolle OS-Command-Execution erlaubt (SecurityWeek). Ursache ist ein unsicheres Shell-Execution-Pattern im btool-Configuration-Helper, der OS-Command-Strings aus dynamischen Parametern ohne Deaktivierung der Shell-Interpretation baut. Splunk empfiehlt als Mitigation die Deinstallation des AI Toolkit, falls ein Upgrade nicht möglich ist.
Chrome und Firefox erhielten Updates für über 70 Schwachstellen, darunter kritische und hochstufige Memory-Safety-Bugs mit RCE-Potenzial (SecurityWeek). Chrome wurde auf 149.0.7827.155/.156 aktualisiert und behebt 33 Defekte, davon sieben kritisch und sechs als Use-after-free klassifiziert. Diese Klasse kann in Kombination mit OS- oder Browser-Prozess-Lücken zu Sandbox-Escape führen.
Beats Studio Buds erhielten von Apple ein Firmware-Update gegen CVE-2025-20701 mit CVSS 8.8, eine Incorrect-Authorization-Lücke im Airoha-Bluetooth-Audio-SDK (The Hacker News). Ein Angreifer in Bluetooth-Reichweite kann ein ungepairtes, aktiv pairing-suchendes Gerät ohne Nutzerzustimmung koppeln und über dessen Mikrofon mithören. Der Fix liegt im Beats Firmware Update 1B211 vor.
Policy & Regulation
Post-Quantum-Cryptography rückt in den USA per Executive Order in den Fokus. Präsident Trump unterzeichnete die Executive Order 14409, die das Risiko von Harvest-now-decrypt-later adressiert und OMB, NIST, NSA, DHS und CISA mit einer Roadmap zur beschleunigten PQC-Migration beauftragt (SecurityWeek). Für Betreiber langlebiger verschlüsselter Datenbestände verschiebt das die Dringlichkeit der Krypto-Inventur nach vorn.
Android Developer Verification erhält von Google einen Stichtag. Ab dem 30. September 2026 blockieren zertifizierte Android-Telefone in Brasilien, Indonesien, Singapur und Thailand reguläre Installationen von Apps, deren Entwickler keine Identität bei Google registriert haben (The Hacker News). Die Regel gilt auch für Stores von Samsung, Xiaomi, OPPO, vivo, Honor und Transsion und trifft vor allem unabhängige und Open-Source-Vertriebswege. Apps verifizierter Entwickler installieren wie bisher.
Take-Aways
Der größte operative Hebel liegt diesen Zeitraum nicht bei einzelnen CVEs, sondern bei Identität und Edge-Telemetrie. FortiBleed und der Klue-Vorfall zeigen, dass kompromittierte Credentials und OAuth-Token Organisationen ohne jede neue Schwachstelle aufbrechen, weshalb Token-Rotation, Credential-Hygiene an exponierten Firewalls und die Überwachung legitimer Diagnosefunktionen Vorrang vor reinem Patch-Management haben. Die Mastra- und ShapedPlugin-Kompromittierungen verlagern das Risiko in die Build- und Distributionspipeline, was Pinning, postinstall-Kontrolle und Provenienzprüfung in CI/CD zur Pflicht macht. Mit AutoJack, macOS.Gaslight und den vergifteten Skill-Marktplätzen entsteht eine eigene Angriffsklasse gegen AI-Agenten, bei der untrusted Content und geladene Skills mit der Autorität des Nutzers agieren und lokale Trust-Grenzen wie Loopback authentifiziert und isoliert werden müssen. In unserer Lagebeobachtung verschärfen automatisierte Massenausnutzung kurz nach Disclosure, etwa bei Splunk und der Joomla-JCE-Lücke, das Zeitfenster zwischen Advisory und Angriff weiter.