Andrew Ng, KI-Unternehmer und Stanford-Professor, lancierte Anfang März 2026 Context Hub — einen Service, der Coding Agents mit aktueller API-Dokumentation versorgt. Das Problem: Der Service hat keine Content-Sanitization. Und das macht ihn zur Angriffsplattform.
Das Problem
"Coding Agents nutzen oft veraltete APIs und halluzinieren Parameter", schrieb Ng bei LinkedIn. Context Hub soll das lösen, indem es aktuelle Dokumentation über einen MCP-Server an KI-Agenten ausliefert. Contributors reichen Dokumentation als GitHub Pull Requests ein, Maintainer mergen sie, Agenten rufen den Inhalt on-demand ab.
Security-Forscher Mickey Shmueli (Entwickler des alternativen Dienstes lap.sh) hat einen Proof-of-Concept-Angriff publiziert, der zeigt: Die Pipeline hat in jedem Stadium null Content-Sanitization.
Der Angriff
Ein Angreifer erstellt einen Pull Request mit Dokumentation, die gefälschte Abhängigkeiten vorschlägt. Wird der PR gemergt, ist die Vergiftung komplett. Ein Coding Agent, der diese Dokumentation abruft, fügt die bösartigen Pakete in requirements.txt oder package.json ein — automatisch, ohne menschliche Prüfung.
Die Merge-Rate ist hoch: Von 97 geschlossenen PRs wurden 58 gemergt. Die Review priorisiert Dokumentationsvolumen über Sicherheitsprüfung.
Neues Angriffsmuster
Der Angriff braucht keine Malware im klassischen Sinn. Keine ausführbaren Dateien, keine Exploits. Nur Text — vergiftete Dokumentation, die ein KI-Agent unkritisch befolgt. Es ist die nächste Evolution von Supply-Chain-Angriffen: statt Code zu kompromittieren, wird die Informationsquelle kompromittiert.
Quellen: The Register (25.03.2026), Mickey Shmueli/Medium, GitHub PoC Repository.