Dieser Beitrag basiert auf Mackenzies Gespräch mit James Hawkins im Podcast „The Secure Disclosure“. Hören Sie sich die gesamte Folge an oder schauen Sie sich das Video unten an.
Das Entwicklerteam von PostHog führt ungefähr genauso viele Pull-Requests über Slack zusammen wie über ihren Code-Editor. Wie James Hawkins, Mitbegründer und Co-CEO von PostHog, im Podcast erklärt, ist der Wandel hin zu dezentralen Programmierumgebungen bereits im Gange. „Warum sind Code-Editoren derzeit noch allesamt Desktop-Anwendungen? Das ist ein Relikt der Vergangenheit. Früher, als das Schreiben des Codes der Engpass war, wollte man einen großen Bildschirm, auf dem acht Dateien geöffnet waren. Dieses Problem ist sozusagen passé.“
Slack ist nur ein Beispiel. Entwickler schreiben Code über KI-Agenten, Chat-Schnittstellen und MCP-Server, die auf eine Weise miteinander vernetzt sind, die ihre Sicherheitsteams noch nie gesehen, geschweige denn genehmigt haben. Die Schnittstellen fragmentieren sich schneller, als es die vorhandenen Sicherheitstools bewältigen können. Ihr EDR kann keine Arbeiten erkennen, die auf einen Slack-Bot, einen MCP-Server oder einen im Hintergrund laufenden Agenten verlagert wurden. Hawkins glaubt, dass Sprachsteuerung der nächste Schritt ist. „Braucht man heute überhaupt noch einen Bildschirm? Man programmiert vielleicht in Slack, WhatsApp oder spricht es buchstäblich aus.“
Die Angriffsfläche ist größer, als vielen Teams bewusst ist, und sie wächst weiter
Entwicklergeräte stellen bereits eine unzureichend geschützte Angriffsfläche dar, und Angreifer wissen das. Allein im März nutzte das TeamPCP gestohlene Zugangsdaten, um innerhalb von weniger als zehn Tagen vier große Open-Source-Projekte nacheinander zu kompromittieren. Das Konto des Axios-Betreuers wurde gekapert und dazu missbraucht, eine RAT über ein Paket zu verbreiten, das niemand explizit installiert oder geprüft hatte. Der Glassworm-Angriff kompromittierte VS-Code-Erweiterungen und Browser-Plugins, um heimlich Hintertüren auf Entwickler-Rechnern zu öffnen, wodurch 3.800 interne Repositorys von GitHub in weniger als 18 Minuten offengelegt wurden. Für keinen dieser Angriffe musste eine Schwachstelle im Code eines anderen gefunden werden. Das Entwicklergerät war die Schwachstelle.
Hawkins denkt auch über die Auswirkungen auf die Sicherheit nach. „Wir geben wahrscheinlich viel mehr für Sicherheit aus, als wir es ohne den Boom der KI getan hätten. KI ermöglicht es, Code hunderte Male schneller zu schreiben, als es früher möglich war, was eine Menge Geld spart. Aber dafür muss man dann mehr für Sicherheit ausgeben.“
Die Angriffsfläche wird immer größer, und PostHog erlebt diesen Wandel hautnah mit. Die Slack-Integration für Programmieraufgaben hat sich intern durchgesetzt, weil gerade die weniger kreativen Aufgaben im Engineering – wie das Beheben von UX-Problemen oder das Ausbessern fehlgeschlagener Tests – genau die Art von Aufgaben sind, die ein KI-Programmieragent übernehmen kann, ohne dass ein Entwickler überhaupt einen Editor öffnen muss. Wie Hawkins es ausdrückt: „Das ist genau die Art von Sache, bei der wir, da das Modell immer leistungsfähiger wird, sehen können, wie Leute über Slack programmieren.“ MCP-Server treiben dies noch weiter voran und bergen dieselben Lieferkettenrisiken wie jede andere Abhängigkeit. Der erste bestätigte bösartige MCP-Server tauchte im September 2025 auf npm auf und kopierte unbemerkt jede ausgehende E-Mail an eine vom Angreifer kontrollierte Adresse über fünfzehn saubere Versionen hinweg, bevor die Hintertür in der sechzehnten Version auftauchte. Hawkins sieht die Schnittstelle sich weit über all dies hinaus weiterentwickeln. „Ich könnte mir vorstellen, dass sich die Desktop-App tatsächlich immer mehr wie Slack anfühlt. GitHub wird so etwas wie das Backend. Es ist fast wie S3. Das soll einfach nur Code speichern.“
Das Gerät bleibt die einzige Konstante, während sich die Schnittstellen weiterentwickeln
Entwickelnde sind der Schlüssel zum Schloss. Dazu gehören Cloud-Anmeldedaten, SSH-Schlüssel, npm-Publish-Token, Kubernetes-Konfigurationen sowie der direkte Zugriff auf Quellcode und die Produktionsumgebung. Wird auch nur eines davon kompromittiert, sind die Folgen enorm. Genau das macht Entwicklergeräte zum Hauptziel von Angreifern, die die Lieferkette ins Visier nehmen, und genau das macht das Problem der Schnittstellenfragmentierung so gefährlich. Welches Tool ein Entwickler auch immer nutzt – es landet zuerst auf dem Gerät.
Nehmen wir zum Beispiel an, ein Entwickler erhält eine Slack-Nachricht vom KI-Coding-Bot seines Teams, in der ein fehlgeschlagener Test mit einem vorgeschlagenen Fix gemeldet wird. Der Diff sieht plausibel aus, also klickt er auf seinem Handy während der Fahrt zur Arbeit auf „Genehmigen“. Der Agent führt den PR zusammen, zieht eine neue Abhängigkeit ein, führt den Postinstall-Hook aus und greift auf die Produktionszugangsdaten zu – und das alles, bevor der Entwickler sich wieder an seinen Schreibtisch setzt. Das Paket wurde vor zwei Stunden veröffentlicht, und niemand hat es überprüft. Aus Sicht des MDM ist nichts passiert. Aus Sicht des EDR lief ein Prozess ab, der wie eine normale Entwicklungsaktivität aussah. Bis sich irgendetwas Ungewöhnliches in einem Protokoll zeigt, sind die Zugangsdaten bereits verschwunden. Eine einzige genehmigte Slack-Nachricht verschaffte vollständigen Zugriff auf das Gerät.
MDM erkennt nicht, was aus einem Paket-Register abgerufen oder über den VS Code Marketplace installiert wird. EDR erkennt einen bösartigen Postinstall-Hook erst, nachdem dieser bereits ausgeführt wurde. Zu diesem Zeitpunkt sind die Anmeldedaten bereits verloren.
Aikido Protection überwacht alle diese Schnittstellen auf Geräteebene
Aikido Protection wird direkt auf dem Entwicklergerät installiert und bietet Sicherheitsteams einen zentralen Überblick sowie die Kontrolle über alle auf den Entwicklercomputern installierten Komponenten, darunter npm-Pakete, IDE-Erweiterungen, Browser-Plugins und KI-Tools. Jede Installation wird mit dem BedrohungsfeedAikido abgeglichen, der täglich über 100.000 verdächtige Projekte analysiert und Malware innerhalb von Minuten nach ihrer Veröffentlichung identifiziert. Schädliche Installationen werden blockiert, bevor sie auf den Computer gelangen. Sichere Installationen werden ohne Unterbrechung durchgeführt, sodass Entwickler geschützt sind, ohne dass ihr Arbeitsablauf gestört wird.
{{cta}}
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/code-is-written-everywhere#webpage",
"url": "https://www.aikido.dev/blog/code-is-written-everywhere",
"name": "Code Is Written Everywhere — and the Device Is the Only Constant | Aikido Security",
"description": "Developers are coding through Slack, AI agents, and MCP servers — but your EDR can't see any of it. Learn why the developer device is the #1 supply chain attack target and how Aikido Device Protection keeps it secure.",
"inLanguage": "en",
"isPartOf": {
"@id": "https://www.aikido.dev/#website"
},
"primaryImageOfPage": {
"@id": "https://www.aikido.dev/blog/code-is-written-everywhere#primaryimage"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/code-is-written-everywhere#breadcrumb"
},
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "NewsArticle",
"@id": "https://www.aikido.dev/blog/code-is-written-everywhere#article",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/code-is-written-everywhere#webpage"
},
"headline": "Code Is Written Everywhere — and the Device Is the Only Constant",
"description": "Developers are coding through Slack, AI agents, and MCP servers — but your EDR can't see any of it. Learn why the developer device is the #1 supply chain attack target and how Aikido Device Protection keeps it secure.",
"datePublished": "2026-06-10T00:00:00+00:00",
"dateModified": "2026-06-10T00:00:00+00:00",
"inLanguage": "en",
"url": "https://www.aikido.dev/blog/code-is-written-everywhere",
"image": {
"@id": "https://www.aikido.dev/blog/code-is-written-everywhere#primaryimage"
},
"author": {
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person"
},
"publisher": {
"@id": "https://www.aikido.dev/#organization"
},
"isPartOf": {
"@id": "https://www.aikido.dev/blog/code-is-written-everywhere#webpage"
},
"articleSection": "Security",
"keywords": [
"developer device security",
"supply chain attack",
"MCP server security",
"AI coding agents",
"EDR limitations",
"npm malware",
"VS Code extension security",
"Aikido Device Protection",
"developer security",
"software supply chain",
"postinstall hook attack",
"Glassworm",
"TeamPCP",
"malicious npm package",
"developer endpoint security"
],
"timeRequired": "PT5M",
"about": [
{
"@type": "Thing",
"name": "Software Supply Chain Security",
"sameAs": "https://en.wikipedia.org/wiki/Supply_chain_attack"
},
{
"@type": "Thing",
"name": "Developer Device Security"
},
{
"@type": "Thing",
"name": "AI Coding Agents"
}
],
"mentions": [
{
"@type": "SoftwareApplication",
"name": "Aikido Device Protection",
"url": "https://www.aikido.dev"
},
{
"@type": "SoftwareApplication",
"name": "PostHog",
"url": "https://posthog.com"
},
{
"@type": "SoftwareApplication",
"name": "Visual Studio Code",
"sameAs": "https://code.visualstudio.com"
},
{
"@type": "Thing",
"name": "Model Context Protocol (MCP)"
},
{
"@type": "Event",
"name": "Glassworm Attack",
"description": "A supply chain attack that compromised VS Code extensions and browser plugins to backdoor developer machines, exposing 3,800 GitHub internal repositories."
},
{
"@type": "Event",
"name": "TeamPCP Supply Chain Attack",
"description": "A March 2026 attack that chained stolen credentials across four major open source projects in under ten days."
},
{
"@type": "Event",
"name": "First Confirmed Malicious MCP Server",
"description": "A malicious MCP server on npm that silently blind-copied outgoing emails to an attacker-controlled address across sixteen package versions."
},
{
"@type": "Person",
"name": "James Hawkins",
"jobTitle": "Co-founder and Co-CEO",
"worksFor": {
"@type": "Organization",
"name": "PostHog",
"url": "https://posthog.com"
}
}
]
},
{
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/code-is-written-everywhere#primaryimage",
"url": "https://www.aikido.dev/images/blog/code-is-written-everywhere-feature.png",
"contentUrl": "https://www.aikido.dev/images/blog/code-is-written-everywhere-feature.png",
"width": 1456,
"height": 816,
"caption": "An open box emitting cascading binary code, representing the expanding and fragmented developer attack surface."
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/code-is-written-everywhere#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Code Is Written Everywhere — and the Device Is the Only Constant",
"item": "https://www.aikido.dev/blog/code-is-written-everywhere"
}
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev/#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://x.com/aikidosecurity",
"https://github.com/AikidoSec"
]
},
{
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"url": "https://www.aikido.dev/authors/nicholas-thomson",
"worksFor": {
"@id": "https://www.aikido.dev/#organization"
},
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
}
]
}
</script>
