{"id":166160,"date":"2026-03-30T15:15:58","date_gmt":"2026-03-30T13:15:58","guid":{"rendered":"https:\/\/jfrog.com\/blog\/supply-chain-attackers-are-coming-for-your-agents\/"},"modified":"2026-04-28T09:42:05","modified_gmt":"2026-04-28T07:42:05","slug":"supply-chain-attackers-are-coming-for-your-agents","status":"publish","type":"post","link":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/","title":{"rendered":"Von Shai\u2011Hulud zu LiteLLM: Supply\u2011Chain\u2011Angreifer haben es auf Ihre Agents abgesehen"},"content":{"rendered":"<p><img decoding=\"async\" class=\"alignnone wp-image-165577 size-full\" src=\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154732\/Supply-Chain-Attackers_863x300.png\" alt=\"Supply Chain Attackers_863x300\" width=\"863\" height=\"300\" srcset=\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154732\/Supply-Chain-Attackers_863x300.png?speedsize=w_863 863w, https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154732\/Supply-Chain-Attackers_863x300.png?speedsize=w_300 300w, https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154732\/Supply-Chain-Attackers_863x300.png?speedsize=w_768 768w\" sizes=\"(max-width: 863px) 100vw, 863px\" \/><\/p>\n<p>Der Supply-Chain-Angriff auf LiteLLM vom 24. M\u00e4rz 2026 war ein Einzelfall. Er ist das bislang gef\u00e4hrlichste Kapitel in einem sich st\u00e4ndig weiterentwickelnden Angreifer\u2011Playbook, das das <a href=\"http:\/\/research.jfrog.com\">JFrog Security Research Team<\/a> seit Jahren verfolgt. Das Ziel hat sich verschoben: von Entwicklern hin zu den KI-Agenten, auf die sich Entwickler heute beim Bau von Software immer mehr verlassen.<\/p>\n<h2>Der Entwickler war schon immer das Ziel<\/h2>\n<p>Supply-Chain-Angriffe folgen einer einfachen Formel: Ein vertrauensw\u00fcrdiges Open-Source-Paket wird gefunden, vergiftet und das \u00d6kosystem \u00fcbernimmt die Distribution. <a href=\"https:\/\/jfrog.com\/de\/blog\/shai-hulud-npm-supply-chain-attack-new-compromised-packages-detected\/\">Shai-Hulud<\/a>, erstmals im September 2025 gemeldet und vom JFrog Security Research Team eingehend analysiert, ist ein gutes Beispiel daf\u00fcr. Der Angriff basierte auf einem selbst-replizierenden Wurm, der in npm-Pakete eingebettet war und darauf ausgelegt war, Entwickler-Tokens zu stehlen und automatisch andere Pakete zu re-infizieren, die diese Entwickler verwalteten. Da er sich exponentiell ohne direkte Beteiligung des Angreifers verbreitete, gilt er als einer der schwerwiegendsten JavaScript-Supply-Chain-Angriffe, die je dokumentiert wurden.<\/p>\n<p>Um Unternehmen vor dieser Art von Bedrohung zu sch\u00fctzen, bietet <a href=\"https:\/\/jfrog.com\/de\/curation\/\"><b>JFrog Curation <\/b><\/a>eine automatisierte Gatekeeping-Schicht, die b\u00f6sartige und verwundbare Open-Source-Pakete blockiert, bevor sie in Entwicklerumgebungen gelangen.<\/p>\n<h2>Der SDLC ver\u00e4ndert sich \u2013 und damit auch die Angriffsfl\u00e4che<\/h2>\n<p>Neben den Entwicklern selbst entdecken b\u00f6swillige Akteure zunehmend Schwachstellen in KI-generiertem Code. Software-Developer verlassen sich nicht mehr ausschlie\u00dflich auf ihre eigenen Programmierkenntnisse, sondern orchestrieren gleichzeitig mehrere KI-Agenten f\u00fcr Code-Generierung, Testing, Recherche und Deployment. Der Entwicklungslebenszyklus hat sich von einem linearen, menschlich gesteuerten Ablauf zu einer verteilten Multi-Agenten-Pipeline entwickelt.<\/p>\n<p><em>Vor KI-generiertem Code:<\/em><\/p>\n<p><img decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/30131006\/Agentic-Supply-Chain-Attackers-image3-1024x238.png\" alt=\"Agentic Supply Chain Attackers - image3\" width=\"812\" height=\"189\" \/><\/p>\n<p><em>Nach KI-generiertem Code:<\/em><\/p>\n<p><img decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/30130959\/Agentic-Supply-Chain-Attackers-image1-1024x327.png\" alt=\"Agentic Supply Chain Attackers - image1\" width=\"812\" height=\"259\" \/><\/p>\n<p>Jeder Entwickler kann nun mehrere Agenten parallel betreiben, die jeweils mit KI-Paketen, MCP-Servern, Modellen und Skills interagieren \u2013 was zu einer rapide wachsenden Angriffsfl\u00e4che f\u00fchrt.<\/p>\n<p>Um diese neue Angriffsfl\u00e4che zu verstehen, ist es entscheidend zu verstehen, wie ein Agent funktioniert. Ein KI-Agent ist kein Modell, sondern eine Komposition aus KI-Assets:<\/p>\n<ul>\n<li aria-level=\"1\">Das LLM als Kern<\/li>\n<li aria-level=\"1\">Die Regeln und der Speicher, die sein Verhalten bestimmen<\/li>\n<li aria-level=\"1\">Die Agent Skills, die er ausf\u00fchren kann<\/li>\n<li aria-level=\"1\">Die MCP-Server, die ihn mit externen Systemen und Daten verbinden<\/li>\n<\/ul>\n<p>Jede dieser Komponenten stellt einen potenziellen Angriffsvektor bzw. Risikobereich dar.<\/p>\n<p><img decoding=\"async\" class=\"wp-image-164980 size-full aligncenter\" src=\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/30131003\/Agentic-Supply-Chain-Attackers-image2.png\" alt=\"Agentic Supply Chain Attackers - image2\" width=\"792\" height=\"352\" srcset=\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/30131003\/Agentic-Supply-Chain-Attackers-image2.png?speedsize=w_792 792w, https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/30131003\/Agentic-Supply-Chain-Attackers-image2.png?speedsize=w_300 300w, https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/30131003\/Agentic-Supply-Chain-Attackers-image2.png?speedsize=w_768 768w\" sizes=\"(max-width: 792px) 100vw, 792px\" \/><\/p>\n<p style=\"text-align: center;\"><i><span style=\"font-weight: 400;\">Anatomie eines KI\u2011Agenten<\/span><\/i><\/p>\n<h2>Agenten sind das neue Ziel<\/h2>\n<p>Als Supply-Chain-Kontrollen das Vergiften von Entwicklerumgebungen erschwerten, \u00e4nderten Angreifer ihre Taktik. Wenn der direkte Weg \u00fcber den Entwickler versperrt ist \u2013 warum dann nicht dessen Tools ins Visier nehmen?<\/p>\n<p><b>September 2025 \u2013 postmark-mcp: Der erste b\u00f6sartige MCP-Server in freier Wildbahn.<\/b><\/p>\n<p>Ein Bedrohungsakteur klonte das legitime <a href=\"https:\/\/thehackernews.com\/2025\/09\/first-malicious-mcp-server-found.html\">Postmark-MCP-Repository<\/a> und ver\u00f6ffentlichte ein nahezu identisches npm-Paket. \u00dcber f\u00fcnfzehn Versionen hinweg funktionierte es einwandfrei und genoss das Vertrauen von Entwicklern in Hunderten von Workflows. Dann f\u00fcgte Version 1.0.16 eine einzige Codezeile ein \u2013 ein verstecktes BCC \u2013, das jede \u00fcber den MCP-Server gesendete E-Mail still und heimlich an eine vom Angreifer kontrollierte Domain weiterleitete. Passwort-Resets, Rechnungen und interne Memos wurden alle unbemerkt aus KI-Agenten-Workflows exfiltriert, denen der Connector volles Vertrauen einger\u00e4umt worden war.<\/p>\n<p>Besonders gef\u00e4hrlich war dabei, dass MCP-Server innerhalb von Agenten-Toolchains mit hohen Privilegien und weitreichenden Berechtigungen laufen. Ein kompromittierter MCP-Server vergiftet nicht nur eine einzelne Codebase \u2013 er wird zu einer persistenten Upstream-Steuerungsebene, die in der Lage ist, einen gesamten KI-gesteuerten Workflow und alle verbundenen Systeme zu manipulieren.<\/p>\n<p><b>Der Angriff auf postmark\u2011mcp war ein Warnschuss. Die Kompromittierung von LiteLLM war die Eskalation.<\/b><\/p>\n<h2>Der LiteLLM\u2011Angriff: Eine neue Stufe der Raffinesse<\/h2>\n<p><a href=\"https:\/\/github.com\/BerriAI\/litellm\">LiteLLM <\/a>ist eines der kritischsten Pakete im KI-\u00d6kosystem und fungiert als universelles Gateway zu \u00fcber 100 LLM-APIs, darunter OpenAI, Anthropic, AWS Bedrock und Google VertexAI. Das Paket verzeichnet t\u00e4glich rund <a href=\"https:\/\/strobes.co\/blog\/litellm-pypi-supply-chain-attack-ai-infrastructure\/\">3,4 Millionen Downloads<\/a> und ist in 36 % aller Cloud-Umgebungen pr\u00e4sent. Es ist zudem eine weit verbreitete transitive Abh\u00e4ngigkeit in MCP-Plugins und KI-Agenten-Frameworks \u2013 genau deshalb wurde es zum Ziel. Die <a href=\"https:\/\/research.jfrog.com\/post\/litellm-compromised-teampcp\/\">vollst\u00e4ndige technische Analyse des Angriffs<\/a> durch JFrog Security Research liefert alle Details.<\/p>\n<p>Der Angriff wurde von <b>TeamPCP<\/b> durchgef\u00fchrt \u2013 derselben Gruppe, die zuletzt den Trivy-Scanner von Aqua Security und die KICS GitHub Action von Checkmarx kompromittiert hatte. Dies war kein opportunistischer Angriff, sondern eine koordinierte, kaskadierende Kampagne.<\/p>\n<h3>So lief der Angriff ab<\/h3>\n<p>Die CI\/CD-Pipeline von LiteLLM f\u00fchrte Trivy als Teil ihres Build-Prozesses ohne gepinnte Version aus. Am 19. M\u00e4rz hatte TeamPCP die GitHub Action von Trivy bereits kompromittiert. Als der LiteLLMs Build ausgef\u00fchrt wurde, exfiltrierte die kompromittierte Trivy-Action den PyPI-Publish-Token des Projekts vom GitHub Actions Runner. Mit diesem Credential ver\u00f6ffentlichten die Angreifer am Morgen des 24. M\u00e4rz die LiteLLM-Versionen 1.82.7 und 1.82.8 \u2013 beide enthielten b\u00f6sartige Payloads, die den normalen Release-Workflow von LiteLLM vollst\u00e4ndig umgingen.<\/p>\n<h3>Was die Malware tat<\/h3>\n<p>Nach der Aktivierung f\u00fchrte der Payload einen dreistufigen Angriff durch:<\/p>\n<ul>\n<li aria-level=\"1\"><b>Credentials Harvesting: <\/b>SSH-Keys, AWS-, GCP- und Azure-Cloud-Tokens, Kubernetes Secrets, Crypto-Wallets und .env-Dateien wurden gestohlen.<\/li>\n<li aria-level=\"1\"><b>Lateral Movement: <\/b>\u00dcber Kubernetes-Cluster hinweg wurden privilegierte Pods auf jeden Node deployed.<\/li>\n<li aria-level=\"1\"><b>Persistente Backdoor:<\/b> Ein systemd-Backdoor wurde installiert, der regelm\u00e4\u00dfig zus\u00e4tzliche Binaries von einer Angreifer-kontrollierten Infrastruktur abfragt. Alle gesammelten Daten wurden verschl\u00fcsselt und an models.litellm.cloud exfiltriert \u2013 eine Domain, die die legitime LiteLLM-Infrastruktur imitiert und am selben Tag wie der Angriff registriert wurde.<\/li>\n<\/ul>\n<p>Version 1.82.8 war besonders aggressiv: Sie missbrauchte den .pth-Datei-Mechanismus von Python, der bei jedem Python-Interpreter-Start ausgel\u00f6st wird \u2013 unabh\u00e4ngig davon, ob LiteLLM explizit importiert wurde. Der Payload war doppelt Base64-kodiert, um statische Analysen zu umgehen.<\/p>\n<h3>Wie es entdeckt wurde \u2013 innerhalb eines Agents<\/h3>\n<p>Der Angriff wurde erstmals entdeckt, als das Paket als transitive Dependency von einem in Cursor laufenden MCP\u2011Plugin eingezogen wurde. Der Rechner eines Researchers wurde durch \u00dcberlastung unbenutzbar \u2013 ein Nebeneffekt eines eigenen Fork\u2011Bomb\u2011Bugs der Malware. Das b\u00f6sartige Paket hatte die Runtime eines AI\u2011Agents erreicht, bevor es ein Mensch wissentlich installiert hatte.<\/p>\n<h3>Die Auswirkungen auf die Organisation<\/h3>\n<p>Da LiteLLM typischerweise direkt zwischen Anwendungen und mehreren KI-Service-Providern sitzt, h\u00e4lt es API-Keys, Umgebungsvariablen und sensible Konfigurationsdaten f\u00fcr den gesamten KI-Stack einer Organisation. Eine einzige kompromittierte Installation legt die Credentials f\u00fcr jeden KI-Service offen, den eine Organisation nutzt \u2013 \u00fcber alle Umgebungen hinweg, in denen LiteLLM betrieben wird:\u00a0 Developer\u2011Maschinen, CI\/CD-Pipelines, Staging und Production. Die b\u00f6sartigen Versionen waren rund drei Stunden auf PyPI verf\u00fcgbar. Angesichts des Download\u2011Volumens des Pakets war die potenzielle Exposure in diesem Zeitfenster ernorm.<\/p>\n<h2>Das Muster ist eindeutig<\/h2>\n<table>\n<thead>\n<tr>\n<th>Attacke<\/th>\n<th>Vektor<\/th>\n<th>Ziel<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Shai-Hulud (npm)<\/td>\n<td>Sich selbst replizierender Wurm in Open\u2011Source\u2011Paketen<\/td>\n<td>Developer environments<\/td>\n<\/tr>\n<tr>\n<td>postmark-mcp (npm)<\/td>\n<td>B\u00f6sartiger MCP\u2011Server<\/td>\n<td>AI agent workflows<\/td>\n<\/tr>\n<tr>\n<td>LiteLLM (PyPI)<\/td>\n<td>Vergiftetes AI\u2011Infrastruktur\u2011Package \u00fcber kompromittiertes CI\u2011Tool<\/td>\n<td>Agent runtimes + CI\/CD<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Die Angriffsfl\u00e4che ist nicht nur gr\u00f6\u00dfer geworden \u2013 sie wurde mit der Anzahl der Agenten, die jeder Entwickler betreibt, multipliziert. Eine einzige kompromittierte KI-Abh\u00e4ngigkeit kann sich \u00fcber jede Umgebung ausbreiten, in der Agenten gleichzeitig operieren.<\/p>\n<h2>Das Problem mit Open-Source-KI-Gateways<\/h2>\n<p>Die Rolle von LiteLLM im \u00d6kosystem verdient eine genauere Betrachtung. Im Kern ist es ein Open-Source-KI-Gateway \u2013 eine einzelne Routing-Schicht zwischen Ihren Anwendungen und allen LLM-APIs, die Sie nutzen. Diese Position innerhalb der Architektur ist m\u00e4chtig. Sie ist auch genau das, was es zu einem so attraktiven und verheerenden Angriffsvektor macht.<\/p>\n<p>Wenn Sie den gesamten KI-Traffic \u00fcber ein einziges Open-Source-Paket routen, setzen Sie au\u00dferordentliches Vertrauen in die Integrit\u00e4t dieses Pakets, in die Sicherheitspraktiken seiner Maintainer und in die Pipeline, die es ver\u00f6ffentlicht. Die LiteLLM-Kompromittierung hat gezeigt, wie fragil dieses Vertrauen sein kann. Eine einzige ungepinnte Abh\u00e4ngigkeit in einem CI-Workflow reichte aus, um Angreifern die Schl\u00fcssel zur gesamten KI-Infrastruktur eines Unternehmens zu \u00fcberlassen \u2013 inklusive aller Model-API-Keys, aller Cloud-Credentials und aller Secrets in der Umgebung.<\/p>\n<p>Wir empfehlen ausdr\u00fccklich nicht, auf die Nutzung von KI-Gateways zu verzichten. Wir pl\u00e4dieren jedoch nachdr\u00fccklich daf\u00fcr, diese auf einem soliden, sicheren Fundament\u00a0 aufzubauen. Ein KI-Gateway, das im Zentrum Ihrer Agentic Supply Chain steht, muss mit enterprise-grade Controls verwaltet werden \u2013 und darf nicht einfach aus einer \u00f6ffentlichen Registry bezogen werden, in der Hoffnung, dass schon nichts passiert.<\/p>\n<h2>Eine vertrauensw\u00fcrdige Agentic Supply Chain aufbauen<\/h2>\n<p>Die Antwort lautet also nicht, die KI-Adoption zu verlangsamen oder zu unterbinden. Es geht darum, der KI-Schicht nicht l\u00e4nger blind zu vertrauen und sie stattdessen mit derselben Sorgfalt zu steuern, die auch auf den Rest der Software Supply Chain angewendet wird.<\/p>\n<p>Genau aus diesem Grund haben wir den <a href=\"https:\/\/jfrog.com\/de\/ai-catalog\/\">JFrog AI Catalog<\/a> und dessen AI Gateway eingef\u00fchrt \u2013 von Grund auf nach dem Prinzip aufgebaut, dass Ihre Agenten nur so vertrauensw\u00fcrdig sind wie das, was sie konsumieren, bauen und ausliefern.<\/p>\n<h3>Das AI Gateway: Trust by Design<\/h3>\n<p>Anders als ein Open-Source-Gateway, das Traffic routet und das Beste hofft, ist das JFrog AI Gateway als sichere, Policy-gesteuerte Verbindungsschicht konzipiert. Es routet den gesamten KI-Konsum \u2013 Modelle, MCP-Server, Agent Skills \u2013 \u00fcber einen einzigen, zentralisierten Control Point und bringt Ihren gesamten KI-Footprint unter einheitliche Governance. Dar\u00fcber hinaus stellt es sicher, dass jede Anfrage authentifiziert und jedes nachgelagerte Asset gr\u00fcndlich gepr\u00fcft wird, bevor Zugriff gew\u00e4hrt wird.<\/p>\n<p>Dies ist der architektonische Unterschied, der z\u00e4hlt: Das JFrog AI Gateway proxyt nicht nur Traffic \u2013 es erzwingt Vertrauen am Verbindungspunkt, bevor ein Agent jemals ein ungepr\u00fcftes Modell oder einen MCP-Server ber\u00fchrt.<\/p>\n<h3>JFrog MCP Registry: Schluss mit blindem Vertrauen<\/h3>\n<p>Die <a href=\"https:\/\/jfrog.com\/de\/ai-catalog\/mcp-registry\/\">JFrog MCP Registry<\/a>\u00a0 ist eine direkte Antwort auf genau die Klasse von Angriffen, die postmark-mcp und LiteLLM repr\u00e4sentieren. Sie behandelt MCP-Server als vollst\u00e4ndig verwaltete Artefakte \u2013 so wie JFrog Software-Pakete stets verwaltet und abgesichert hat: mit integriertem Scanning, Policy Enforcement und Versionierung.<\/p>\n<p>Im Kern bietet die MCP Registry:<\/p>\n<ul>\n<li><b>Native Security by Design<br \/>\n<\/b>B\u00f6sartige oder nicht-konforme MCP-Server werden proaktiv blockiert, bevor sie von Agenten heruntergeladen oder ausgef\u00fchrt werden \u2013 nicht erst nach einer Kompromittierung erkannt.<\/li>\n<li><b>Zentralisierte Governance<br \/>\n<\/b>Entwickler greifen direkt aus ihren IDEs (Cursor, Claude Code, VS Code) auf ein Registry von vorab genehmigten MCP-Servern zu, ohne auf \u00f6ffentliche Registries zur\u00fcckgreifen zu m\u00fcssen.<\/li>\n<li><b>Enterprise\u2011Grade Policy Enforcement<br \/>\n<\/b>Blindes Vertrauen wird durch granulare, projektspezifische Berechtigungen ersetzt, die pr\u00e4zise steuern, mit welchen MCP-Servern Agenten verbunden werden d\u00fcrfen.<\/li>\n<li><b>Ein lokales MCP Gateway<br \/>\n<\/b>Ein leichtgewichtiger Proxy, der Authentifizierung und Berechtigungspr\u00fcfungen transparent auf der Entwicklermaschine \u00fcbernimmt und sicherstellt, dass Coding-Agenten nur mit vorab gepr\u00fcften Servern kommunizieren.<\/li>\n<\/ul>\n<p>Der postmark-mcp-Angriff war erfolgreich, weil ein Entwickler einen MCP-Server aus einer \u00f6ffentlichen Registry bezog und ihm volles Vertrauen einr\u00e4umte. Der LiteLLM-Angriff war erfolgreich, weil eine Build-Pipeline einem ungepinnten Open-Source-Paket implizit vertraute. Die JFrog MCP Registry ist so konzipiert, dass keiner dieser F\u00e4lle eintreten kann, ohne den Entwickler zu alarmieren \u2013 denn jeder MCP-Server ist ein verwaltetes Artefakt, und nicht genehmigte Server werden am Gate blockiert.<\/p>\n<p>Die JFrog MCP Registry ist so konzipiert, dass Angriffe \u00e4hnlich wie postmark-mcp oder LiteLLM nicht unbemerkt bleiben \u2013 jeder MCP-Server ist ein verwaltetes Artefakt, und nicht genehmigte Server werden am Gate blockiert, bevor Entwicklungs- und Operations-Teams in Mitleidenschaft gezogen werden.<\/p>\n<h3>Ein einheitliches System of Record f\u00fcr die gesamte Agentic Supply Chain<\/h3>\n<p>Die \u00fcbergeordnete Vision ist ein einheitliches System of Record, das jede Schicht dessen verwaltet, was Agenten konsumieren und produzieren: Modelle, MCP-Server, Agent Skills, KI-generierten Code und assemblierte Artefakte \u2013 alles an einem Ort, unter denselben Sicherheits- und Compliance-Controls wie die gesamte Software Supply Chain.<\/p>\n<p>Dies bezeichnet JFrog als <b>Trusted Agentic Supply Chain<\/b>. Sie \u00fcbertr\u00e4gt dieselben Prinzipien, die Software Supply Chains seit Jahrzehnten regieren \u2013 Unver\u00e4nderlichkeit, Provenance, Policy Enforcement und kontinuierliches Scanning \u2013 auf jede neue KI-Asset-Klasse, von der Agenten abh\u00e4ngen. Best\u00e4tigt wird dies durch Integrationen mit <a href=\"https:\/\/jfrog.com\/de\/jfrog-and-nvidia\/\">Partnern wie NVIDIA<\/a>, dessen OpenShell-Runtime die <a href=\"http:\/\/jfrog.com\/de\/platform\">JFrog Plattform<\/a> als verwalteten Endpoint f\u00fcr die Distribution verifizierter KI-Skills im Enterprise-Ma\u00dfstab nutzt.<\/p>\n<h2>So sch\u00fctzt JFrog Ihre Agentic Supply Chain<\/h2>\n<p>Durch eine Partnerschaft mit JFrog k\u00f6nnen Sie Ihre Organisation mit den folgenden Ma\u00dfnahmen vor den neuesten Supply-Chain-Angriffen sch\u00fctzen:<\/p>\n<ul>\n<li aria-level=\"1\"><b>Audit Ihrer AI\u2011Dependency\u2011Chains i<\/b>nklusive transitiver Dependencies, die von Agenten und MCP-Plugins geladen werden<\/li>\n<li aria-level=\"1\"><b>Pinnen Sie Versionen<\/b> \u2013 der LiteLLM-Angriff hat ausgenutzt, dass an mehreren Stellen in der Chain ungepinnte Abh\u00e4ngigkeiten verwendet wurden<\/li>\n<li aria-level=\"1\"><b>H\u00f6ren Sie auf, Open-Source-KI-Gateways als inh\u00e4rent vertrauensw\u00fcrdige Infrastruktur zu behandeln<\/b> \u2013 routen Sie KI-Traffic \u00fcber verwaltete, Enterprise-grade Gateways mit Policy Enforcement<\/li>\n<li aria-level=\"1\"><b>Governance Ihrer MCP\u2011Server <\/b>\u2013 nutzen Sie die <a href=\"https:\/\/jfrog.com\/de\/learn\/ai-security\/mcp-registry\/\">JFrog MCP Registry,<\/a> um sicherzustellen, dass Agenten nur mit gepr\u00fcften, genehmigten Servern kommunizieren<\/li>\n<li aria-level=\"1\"><b>Rotieren Sie Credentials nach jedem Verdacht auf Kompromittierung konsequent<\/b> \u2013 gehen Sie von einer vollst\u00e4ndigen Systemkompromittierung aus, nicht nur von der Entfernung eines Pakets<\/li>\n<li aria-level=\"1\"><b>Einen Trusted AI Catalog aufbaue<\/b>n \u2013 nutzen Sie JFrog AI Catalog als Ihr einziges System of Record f\u00fcr Modelle, MCPs, Skills und KI-Pakete<\/li>\n<\/ul>\n<h2>Fazit<\/h2>\n<p>Der SDLC hat sich ver\u00e4ndert. Entwickler sind nicht mehr die einzigen Akteure in der Pipeline \u2013 sie sind Orchestratoren von Agenten-Flotten, die KI-Assets mit Maschinengeschwindigkeit konsumieren. Angreifer folgen ihnen in jede neue Umgebung, die sie besiedeln \u2013 einschlie\u00dflich ihrer Agentic Workflows.<\/p>\n<p>LiteLLM war ein Weckruf. Es hat gezeigt, dass das Open-Source-KI-Gateway im Zentrum Ihrer KI-Infrastruktur keine neutrale Infrastruktur ist, sondern ein High-Value-Target. Die Frage ist, ob Ihr Vertrauensmodell f\u00fcr diese Realit\u00e4t ger\u00fcstet ist.<\/p>\n<p>Bei JFrog sind wir \u00fcberzeugt, dass Vertrauen in die Plattform eingebaut sein muss \u2013 und nicht im Nachhinein angenommen oder erg\u00e4nzt werden darf. Das bedeutet: Open-Source-Pakete kurieren, KI-Modelle verwalten, MCP-Server \u00fcber eine Registry absichern, die Policy vor der Ausf\u00fchrung erzwingt, und den gesamten KI-Traffic \u00fcber ein Gateway routen, das Vertrauen an erste Stelle setzt.<\/p>\n<p>Denn in einer KI-beschleunigten Welt ist Geschwindigkeit nur dann ein Vorteil, wenn das Fundament, auf dem Sie bauen, vertrauensw\u00fcrdig ist.<\/p>\n<p><a href=\"https:\/\/jfrog.com\/de\/ai-catalog\/demo\/\">Buchen Sie eine Demo<\/a> mit einem unserer Experten, um JFrog\u2011L\u00f6sungen live zu erleben. Erfahren Sie au\u00dferdem mehr \u00fcber\u00a0 den <a href=\"https:\/\/jfrog.com\/de\/ai-catalog\/\">JFrog AI Catalog<\/a>, die <a href=\"https:\/\/jfrog.com\/de\/ai-catalog\/mcp-registry\/\">JFrog MCP Registry<\/a> und <a href=\"https:\/\/jfrog.com\/de\/curation\/\">JFrog Curation<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Supply-Chain-Angriff auf LiteLLM vom 24. M\u00e4rz 2026 war ein Einzelfall. Er ist das bislang gef\u00e4hrlichste Kapitel in einem sich st\u00e4ndig weiterentwickelnden Angreifer\u2011Playbook, das das JFrog Security Research Team seit Jahren verfolgt. Das Ziel hat sich verschoben: von Entwicklern hin zu den KI-Agenten, auf die sich Entwickler heute beim Bau von Software immer mehr verlassen. &hellip;<\/p>\n","protected":false},"author":590,"featured_media":165579,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[10627,10157],"tags":[11185,11186,11187,11188,11189,11190,11179,10965,10628,10011],"class_list":["post-166160","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ki-ml","category-sicherheit-und-devsecops","tag-ai-agent-security-de","tag-ai-gateway-de","tag-teampcp-de","tag-litellm-attack-de","tag-mcp-registry-de","tag-software-supply-chain-de","tag-agentic-software-supply-chain-de","tag-agentic-security-de","tag-mlops-de","tag-devsecops-de"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v22.6 (Yoast SEO v22.6) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>LiteLLM-Angriff: So sch\u00fctzen Sie Ihre Agentic Supply Chain | JFrog<\/title>\n<meta name=\"description\" content=\"KI-Agents sind das neue Ziel von Supply-Chain-Angriffen. Erfahren Sie, wie der LiteLLM-Angriff ablief \u2013 und wie JFrog Ihre Agentic Supply Chain sch\u00fctzt.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/166160\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Von Shai\u2011Hulud zu LiteLLM: Supply\u2011Chain\u2011Angreifer haben es auf Ihre Agents abgesehen\" \/>\n<meta property=\"og:description\" content=\"KI-Agents sind das neue Ziel von Supply-Chain-Angriffen. Erfahren Sie, wie der LiteLLM-Angriff ablief \u2013 und wie JFrog Ihre Agentic Supply Chain sch\u00fctzt.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/\" \/>\n<meta property=\"og:site_name\" content=\"JFrog\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/artifrog\" \/>\n<meta property=\"article:published_time\" content=\"2026-03-30T13:15:58+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-04-28T07:42:05+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154737\/Supply-Chain-Attackers_1200X628.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"628\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"drewt\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@jfrog\" \/>\n<meta name=\"twitter:site\" content=\"@jfrog\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"drewt\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"11 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/\"},\"author\":{\"name\":\"drewt\",\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/person\/c84b32acf61c0b7c85a306cb03697b28\"},\"headline\":\"Von Shai\u2011Hulud zu LiteLLM: Supply\u2011Chain\u2011Angreifer haben es auf Ihre Agents abgesehen\",\"datePublished\":\"2026-03-30T13:15:58+00:00\",\"dateModified\":\"2026-04-28T07:42:05+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/\"},\"wordCount\":2208,\"publisher\":{\"@id\":\"https:\/\/jfrog.com\/de\/#organization\"},\"image\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154740\/Supply-Chain-Attackers_Blog_Thumbnail.png\",\"keywords\":[\"ai agent security\",\"ai gateway\",\"teampcp\",\"litellm attack\",\"MCP Registry\",\"software supply chain\",\"agentic software supply chain\",\"agentic security\",\"MLOps\",\"DevSecOps\"],\"articleSection\":[\"KI\/ML\",\"Sicherheit und DevSecOps\"],\"inLanguage\":\"de-DE\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/\",\"url\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/\",\"name\":\"LiteLLM-Angriff: So sch\u00fctzen Sie Ihre Agentic Supply Chain | JFrog\",\"isPartOf\":{\"@id\":\"https:\/\/jfrog.com\/de\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154740\/Supply-Chain-Attackers_Blog_Thumbnail.png\",\"datePublished\":\"2026-03-30T13:15:58+00:00\",\"dateModified\":\"2026-04-28T07:42:05+00:00\",\"description\":\"KI-Agents sind das neue Ziel von Supply-Chain-Angriffen. Erfahren Sie, wie der LiteLLM-Angriff ablief \u2013 und wie JFrog Ihre Agentic Supply Chain sch\u00fctzt.\",\"breadcrumb\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#breadcrumb\"},\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#primaryimage\",\"url\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154740\/Supply-Chain-Attackers_Blog_Thumbnail.png\",\"contentUrl\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154740\/Supply-Chain-Attackers_Blog_Thumbnail.png\",\"width\":203,\"height\":148,\"caption\":\"Supply Chain Attackers_Blog_Thumbnail\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/jfrog.com\/de\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Von Shai\u2011Hulud zu LiteLLM: Supply\u2011Chain\u2011Angreifer haben es auf Ihre Agents abgesehen\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/jfrog.com\/de\/#website\",\"url\":\"https:\/\/jfrog.com\/de\/\",\"name\":\"JFrog\",\"description\":\"Deliver Trusted Software Releases at Speed and Scale\",\"publisher\":{\"@id\":\"https:\/\/jfrog.com\/de\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/jfrog.com\/de\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"de-DE\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/jfrog.com\/de\/#organization\",\"name\":\"JFrog\",\"url\":\"https:\/\/jfrog.com\/de\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg\",\"contentUrl\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg\",\"width\":74,\"height\":73,\"caption\":\"JFrog\"},\"image\":{\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/artifrog\",\"https:\/\/x.com\/jfrog\",\"https:\/\/www.linkedin.com\/company\/455737\",\"https:\/\/www.youtube.com\/channel\/UCh2hNg76zo3d1qQqTWIQxDg\",\"https:\/\/www.wikidata.org\/wiki\/Q98608948\"],\"description\":\"We set out on our Liquid Software journey in 2008, with the mission to transform the way enterprises manage and release software updates. The world expects software to update continuously, securely, non-intrusively and without user intervention. This hyper-connected experience can only be enabled by automation with an end-to-end DevOps platform and a binary-centric focus. With this in mind, we\u2019ve developed the JFrog Platform, ushering in a new era of DevOps and DevSecOps standards that power continuous updates. More than a decade after our founding, with thousands of customers and millions of users globally, JFrog has become the \u201cDatabase of DevOps\u201d and the de-facto standard in release and update management.\",\"legalName\":\"Jfrog, Inc.\",\"numberOfEmployees\":{\"@type\":\"QuantitativeValue\",\"minValue\":\"1001\",\"maxValue\":\"5000\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/person\/c84b32acf61c0b7c85a306cb03697b28\",\"name\":\"drewt\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/a9566b6b2e5e2e34deeb94dfeae460f70d7c7d08606c66ebb53f94a07386253c?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/a9566b6b2e5e2e34deeb94dfeae460f70d7c7d08606c66ebb53f94a07386253c?s=96&d=mm&r=g\",\"caption\":\"drewt\"}}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"LiteLLM-Angriff: So sch\u00fctzen Sie Ihre Agentic Supply Chain | JFrog","description":"KI-Agents sind das neue Ziel von Supply-Chain-Angriffen. Erfahren Sie, wie der LiteLLM-Angriff ablief \u2013 und wie JFrog Ihre Agentic Supply Chain sch\u00fctzt.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/166160","og_locale":"de_DE","og_type":"article","og_title":"Von Shai\u2011Hulud zu LiteLLM: Supply\u2011Chain\u2011Angreifer haben es auf Ihre Agents abgesehen","og_description":"KI-Agents sind das neue Ziel von Supply-Chain-Angriffen. Erfahren Sie, wie der LiteLLM-Angriff ablief \u2013 und wie JFrog Ihre Agentic Supply Chain sch\u00fctzt.","og_url":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/","og_site_name":"JFrog","article_publisher":"https:\/\/www.facebook.com\/artifrog","article_published_time":"2026-03-30T13:15:58+00:00","article_modified_time":"2026-04-28T07:42:05+00:00","og_image":[{"width":1200,"height":628,"url":"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154737\/Supply-Chain-Attackers_1200X628.png","type":"image\/png"}],"author":"drewt","twitter_card":"summary_large_image","twitter_creator":"@jfrog","twitter_site":"@jfrog","twitter_misc":{"Written by":"drewt","Est. reading time":"11 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#article","isPartOf":{"@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/"},"author":{"name":"drewt","@id":"https:\/\/jfrog.com\/de\/#\/schema\/person\/c84b32acf61c0b7c85a306cb03697b28"},"headline":"Von Shai\u2011Hulud zu LiteLLM: Supply\u2011Chain\u2011Angreifer haben es auf Ihre Agents abgesehen","datePublished":"2026-03-30T13:15:58+00:00","dateModified":"2026-04-28T07:42:05+00:00","mainEntityOfPage":{"@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/"},"wordCount":2208,"publisher":{"@id":"https:\/\/jfrog.com\/de\/#organization"},"image":{"@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#primaryimage"},"thumbnailUrl":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154740\/Supply-Chain-Attackers_Blog_Thumbnail.png","keywords":["ai agent security","ai gateway","teampcp","litellm attack","MCP Registry","software supply chain","agentic software supply chain","agentic security","MLOps","DevSecOps"],"articleSection":["KI\/ML","Sicherheit und DevSecOps"],"inLanguage":"de-DE"},{"@type":"WebPage","@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/","url":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/","name":"LiteLLM-Angriff: So sch\u00fctzen Sie Ihre Agentic Supply Chain | JFrog","isPartOf":{"@id":"https:\/\/jfrog.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#primaryimage"},"image":{"@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#primaryimage"},"thumbnailUrl":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154740\/Supply-Chain-Attackers_Blog_Thumbnail.png","datePublished":"2026-03-30T13:15:58+00:00","dateModified":"2026-04-28T07:42:05+00:00","description":"KI-Agents sind das neue Ziel von Supply-Chain-Angriffen. Erfahren Sie, wie der LiteLLM-Angriff ablief \u2013 und wie JFrog Ihre Agentic Supply Chain sch\u00fctzt.","breadcrumb":{"@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#breadcrumb"},"inLanguage":"de-DE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/"]}]},{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#primaryimage","url":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154740\/Supply-Chain-Attackers_Blog_Thumbnail.png","contentUrl":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/03\/16154740\/Supply-Chain-Attackers_Blog_Thumbnail.png","width":203,"height":148,"caption":"Supply Chain Attackers_Blog_Thumbnail"},{"@type":"BreadcrumbList","@id":"https:\/\/jfrog.com\/de\/blog\/supply-chain-attackers-are-coming-for-your-agents\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/jfrog.com\/de\/"},{"@type":"ListItem","position":2,"name":"Von Shai\u2011Hulud zu LiteLLM: Supply\u2011Chain\u2011Angreifer haben es auf Ihre Agents abgesehen"}]},{"@type":"WebSite","@id":"https:\/\/jfrog.com\/de\/#website","url":"https:\/\/jfrog.com\/de\/","name":"JFrog","description":"Deliver Trusted Software Releases at Speed and Scale","publisher":{"@id":"https:\/\/jfrog.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/jfrog.com\/de\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"de-DE"},{"@type":"Organization","@id":"https:\/\/jfrog.com\/de\/#organization","name":"JFrog","url":"https:\/\/jfrog.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/jfrog.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg","contentUrl":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg","width":74,"height":73,"caption":"JFrog"},"image":{"@id":"https:\/\/jfrog.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/artifrog","https:\/\/x.com\/jfrog","https:\/\/www.linkedin.com\/company\/455737","https:\/\/www.youtube.com\/channel\/UCh2hNg76zo3d1qQqTWIQxDg","https:\/\/www.wikidata.org\/wiki\/Q98608948"],"description":"We set out on our Liquid Software journey in 2008, with the mission to transform the way enterprises manage and release software updates. The world expects software to update continuously, securely, non-intrusively and without user intervention. This hyper-connected experience can only be enabled by automation with an end-to-end DevOps platform and a binary-centric focus. With this in mind, we\u2019ve developed the JFrog Platform, ushering in a new era of DevOps and DevSecOps standards that power continuous updates. More than a decade after our founding, with thousands of customers and millions of users globally, JFrog has become the \u201cDatabase of DevOps\u201d and the de-facto standard in release and update management.","legalName":"Jfrog, Inc.","numberOfEmployees":{"@type":"QuantitativeValue","minValue":"1001","maxValue":"5000"}},{"@type":"Person","@id":"https:\/\/jfrog.com\/de\/#\/schema\/person\/c84b32acf61c0b7c85a306cb03697b28","name":"drewt","image":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/jfrog.com\/de\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/a9566b6b2e5e2e34deeb94dfeae460f70d7c7d08606c66ebb53f94a07386253c?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/a9566b6b2e5e2e34deeb94dfeae460f70d7c7d08606c66ebb53f94a07386253c?s=96&d=mm&r=g","caption":"drewt"}}]}},"_links":{"self":[{"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/166160","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/users\/590"}],"replies":[{"embeddable":true,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/comments?post=166160"}],"version-history":[{"count":2,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/166160\/revisions"}],"predecessor-version":[{"id":166162,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/166160\/revisions\/166162"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/media\/165579"}],"wp:attachment":[{"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/media?parent=166160"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/categories?post=166160"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/tags?post=166160"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}