KI-Assistent „The Librarian“: Schwere Sicherheitslücken entdeckt

Ein populärer KI-Assistent für Büroaufgaben wies gravierende Schwachstellen auf, die Angreifern Zugriff auf interne Systeme und sensible Daten ermöglicht hätten. Der Vorfall zeigt die wachsenden Sicherheitsrisiken autonomer KI-Agenten.

San Francisco, 21. Januar 2026 – Sicherheitsforscher und die US-Cybersicherheitsbehörde CISA haben eine Serie kritischer Sicherheitslücken im KI-Personalassistenten „The Librarian“ aufgedeckt. Die Schwachstellen hätten es Angreifern ermöglichen können, auf interne Systeme zuzugreifen, sensible Daten zu stehlen und sogar die Kontrolle über Teile der Kerninfrastruktur zu übernehmen. Der Vorfall unterstreicht die enormen Sicherheitsherausforderungen, die die neue Generation autonomer KI-Agenten mit sich bringt.

Das betroffene Produkt des Unternehmens TheLibrarian.Inference Orchestrator (IO) ist darauf ausgelegt, sich nahtlos in Büro-Tools wie Google Workspace, Slack und WhatsApp zu integrieren. Es verwaltet E-Mails, Kalender und Dateien. Eine am 16. Januar 2026 veröffentlichte CISA-Warnung beschreibt mehrere Schwachstellen, die zu schwerwiegenden Sicherheitsverletzungen führen konnten.

Passend zum Thema KI‑Sicherheit: Viele Unternehmen sind derzeit nicht auf Angriffe vorbereitet, die autonome Assistenten ermöglichen — von SSRF‑Exploits bis zum Auslesen interner System‑Prompts. Ein kostenloses Cyber‑Security‑E‑Book erklärt praxisnahe Schutzmaßnahmen, Governance‑Prinzipien und schnelle Schritte zur Härtung Ihrer Cloud‑Integrationen, ohne große Investitionen. Ideal für IT‑Leiter und Sicherheitsverantwortliche, die ihre KI‑Integrationen sofort sicherer machen wollen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Die Sicherheitslücken befanden sich in mehreren internen Hilfs-Tools des Assistenten. Besonders schwerwiegend war eine Server-Side Request Forgery (SSRF)-Schwachstelle (CVE-2026-0613) im Tool web_fetch. Sie hätte es einem Angreifer ermöglicht, unautorisierte Anfragen an interne IP-Adressen und Dienste zu senden. Damit hätte er das interne Cloud-Umfeld des Unternehmens auskundschaften und für weitere Angriffe kartieren können.

Eine weitere kritische Lücke (CVE-2026-0612) im selben Tool hätte zu Informationslecks führen können. Der KI-Assistent hätte so in einen Proxy für bösartige Anfragen von außen verwandelt werden können.

Weitere Schwachstellen offenbarten den vollständigen System-Prompt – also die geheimen Kernanweisungen, die das Verhalten der KI steuern. Andere Lücken hätten Einblick in laufende Prozesse und sogar Zugang zum Login-Interface des internen Backend-Systems ermöglicht. In der Summe bot sich Angreifern eine vielseitige Angriffsfläche.

Ein Weckruf für die KI-Sicherheit

Der Fall ist ein deutliches Warnsignal für die Sicherheitsrisiken, die mit immer autonomer agierenden KI-Agenten einhergehen. Je mehr Berechtigungen diese Systeme erhalten, um mit sensiblen Daten zu interagieren und Aktionen über Plattformen hinweg auszuführen, desto attraktiver werden sie für Angreifer. Experten sagen voraus, dass sich Angriffe von einfachem „Prompt Injection“ hin zu komplexer „Agency Abuse“ verlagern werden. Dabei werden die autonomen Fähigkeiten der KI gegen den Nutzer oder das Unternehmen selbst gewendet.

Die bei „The Librarian“ gefundenen Lücken sind klassische Web-Applikations-Schwachstellen, die im KI-Kontext jedoch eine viel größere Wirkung entfalten. Eine SSRF-Lücke gefährdet nicht nur den unmittelbaren Server, sondern kann das gesamte Cloud-Ökosystem angreifbar machen, auf das der KI-Agent angewiesen ist. Das Auslesen des System-Prompts ist besonders verheerend, da es die interne Logik, Sicherheitsvorkehrungen und Integrationen der KI preisgibt.

Sicherheitsanalysten weisen darauf hin, dass die rasante Einführung von KI-Agenten in Unternehmen oft schneller verläuft als die Implementierung notwendiger Sicherheitskontrollen. Fehlkonfigurierte Tokens, übermäßig berechtigte API-Schlüssel und mangelnde Überwachung können so aus einem hilfreichen Assistenten einen blinden Fleck in der IT-Sicherheit machen.

Reaktion des Anbieters und Lehren für Nutzer

TheLibrarian.IO hat die Schwachstellen inzwischen behoben. Laut CISA hat der Anbieter die Fehler gefixt und die betroffenen Tools außer Betrieb genommen. Das problematische web_fetch-Tool wurde so modifiziert, dass es keine gefährlichen Inhalte mehr abrufen kann; Web-Anfragen werden nun über einen Drittanbieter-Dienst abgewickelt.

Zum Thema der offengelegten System-Prompts merkte das Unternehmen an, dass „Prompt-Inhalte in unserem Bedrohungsmodell keine Geheimhaltungsgrenze darstellen“. Diese Aussage dürfte in der KI-Sicherheitscommunity Diskussionen darüber auslösen, welchen Schutz die Kernanweisungen eines KI-Agenten verdienen.

Für Nutzer von KI-Assistenten und Unternehmen, die sie einsetzen, ist der Vorfall ein Weckruf. Experten empfehlen das Prinzip der geringsten Rechte: KI-Agenten sollten nur auf die Daten und Tools zugreifen können, die für ihre Funktion absolut notwendig sind. Kontinuierliche Überwachung und robuste Governance-Rahmenwerke werden essenziell, um die Risiken des sogenannten „Shadow AI“ zu managen – der Nutzung von KI-Tools durch einzelne Abteilungen ohne zentrale Kontrolle.

PS: Sie wollen Angriffe wie Prompt‑Leak oder SSRF aktiv verhindern? Der kostenlose Cyber‑Security‑Guide zeigt konkrete Erkennungs‑ und Monitoring‑Schritte, Governance‑Checklisten und budget‑sparende Maßnahmen, die IT‑Teams sofort umsetzen können. Er enthält eine 4‑Schritte‑Präventionsmatrix, Vorlagen für Least‑Privilege‑Policies und Hinweise zur Überwachung von autonomen Agenten — ideal, wenn Sie KI‑Integrationen absichern müssen. Jetzt Cyber‑Security‑Guide anfordern