Moderne KI-Agenten sind „permission-hungry“: Sie verlangen nach umfassenden Zugriffen und Berechtigungen. Da ihr Bedarf an Daten enorm ist, entsteht ein massives Spannungsfeld zur IT-Sicherheit. Dass wir in diesem Bereich dringend nachbessern müssen, um Risiken zu senken, unterstreicht der aktuelle, 34. Technology Radar Report von Thoughtworks. Der halbjährlich erscheinende Report bewertet aktuelle Trends der Software-Entwicklung auf Basis unserer konkreten Projekterfahrung mit Kunden.
Die Autorin: Rachel Laycock ist Chief Technology Officer bei Thoughtworks
(Bild: Thoughtworks)
KI-Agenten entfalten ihren größten Nutzen dann, wenn sie umfassenden Zugriff auf private Daten und externe Systeme erhalten. Besonders vielversprechende Entwicklungen erfordern oft weitreichende Rechte. Ein Beispiel ist das Framework Gas Town, das Agenten-Schwärme über komplette Code-Basen hinweg koordiniert. Ein weiteres Beispiel ist das Open-Source-Projekt OpenClaw aus der Kategorie der „hyper-personal AI assistants“. Nutzer hosten hierbei ihre eigene Instanz, halten sie über Kanäle wie WhatsApp oder iMessage verfügbar und lassen sie Aufgaben über verbundene Tools ausführen.
Indem OpenClaw Chats, Präferenzen und Gewohnheiten dauerhaft speichert, schafft es eine beständige, persönliche Nutzererfahrung. Das Modell bietet zweifellos Vorzüge und inspirierte bereits zu Nachfolgelösungen, es steht jedoch exemplarisch für Anwendungen, die erhebliche Sicherheitskompromisse erzwingen. Je mehr Zugriff der Agent auf Kalender, E-Mails, Dateien und Kommunikation erhält, desto nützlicher wird er. Gleichzeitig konzentriert die Software so immer mehr Berechtigungen an einem Punkt. Genau vor diesem Muster warnen Risikoanalysen für KI-Abläufe. Diese Gefahr beschränkt sich nicht auf OpenClaw, sondern betrifft alle Implementierungen, die diesem Schema folgen. Zwar gibt es bereits Ratgeber und Alternativen wie NanoClaw oder ZeroClaw, doch de facto bleiben hyper-personalisierte Assistenten ein Paradebeispiel für Agenten mit riskant hohem Zugriffshunger.
Rasante Entwicklung – wachsende Risiken
Immer mehr Agenten benötigen tiefgreifende Zugriffe auf private Daten, externe Kommunikation und reale Systeme. Oftmals wird dies mit dem hohen Nutzen gerechtfertigt. Tatsächlich entstehen dadurch jedoch grundlegende Risiken, da die Entwicklung der Sicherheitsvorkehrungen mit diesem umfassenden Hunger nach Berechtigungen nicht Schritt halten konnten.
Das führt zu Problemen, die wir dringend lösen müssen. Ein Beispiel ist Prompt-Injection: Hierbei werden böswillige Anweisungen systematisch in generative KI-Systeme eingeschleust. Noch können Modelle nicht zuverlässig zwischen vertrauenswürdigen Befehlen und manipulierten Eingaben unterscheiden. In diesem Zusammenhang bezeichnet der Experte Simon Willison KI-Agenten treffend als „tödliches Dreigespann“ (lethal trifecta). Dieses besteht aus privaten Daten, nicht vertrauenswürdigen Inhalten und externer Kommunikation. Dieses Bild beschreibt derzeit die meisten nützlichen Agenten im Standardzustand – und zwar nicht erst bei einer Fehlkonfiguration. Prompt-Injection ist jedoch nicht die einzige Bedrohung, auch das Modellverhalten bleibt inkonsistent. Nur weil eine Aufgabe einmal erfolgreich abgeschlossen wurde, bedeutet das nicht, dass sie bei einer Wiederholung oder in größerem Maßstab ebenso sicher funktioniert.
Strategien zur Risikominimierung
Agenten finden oft kreative Wege, um Daten zu entwenden oder in geschützte Bereiche vorzudringen. Teils unterlaufen sie Genehmigungs-Mechanismen sogar ohne böswillige Absicht oder explizite Aufforderung. Wie lassen sich diese Herausforderungen meistern?
Ein bewährter Standard für die Entwicklung und den Betrieb bleibt die Zero-Trust-Architektur (ZTA). Grundsätze wie „Never trust, always verify“ (Vertraue niemals, überprüfe immer) sowie eine identitätsbasierte Sicherheit und das Prinzip der geringsten Berechtigungen (Least Privilege) müssen die Basis jedes Agenten-Einsatzes sein. Werden Standards wie SPIFFE (Secure Production Identity Framework for Everyone) auf Agenten angewendet, schafft dies eine solide Identitätsgrundlage und ermöglicht eine fein abgestufte Authentifizierung in dynamischen Umgebungen.
Zudem ist es für ein proaktives Bedrohungsmanagement entscheidend, das Verhalten der Agenten kontinuierlich zu überwachen. Über den reinen Agenten-Einsatz hinaus empfehlen sich Praktiken wie die Benutzernachahmung (Impersonation), etwa im Identitätsprotokoll OIDC auf der Google-Cloud-Plattform. Hierbei werden langlebige, statische Schlüssel durch kurzlebige Token ersetzt, die erst nach einer Identitätsprüfung ausgestellt werden. Grundsätzlich sollten ZTA-Prinzipien der Standard für jedes System sein.
Darüber hinaus sollten weitere Techniken zur Grundvoraussetzung werden. Das gilt insbesondere für das erwähnte Least-Privilege-Prinzip. Es stellt sicher, dass Benutzer und Systeme nur über die Mindestzugriffsrechte verfügen, die für ihre Aufgaben zwingend erforderlich sind. Da der Missbrauch privilegierter Zugangsdaten ein Hauptfaktor bei Sicherheitsverletzungen ist, hilft dies, gefährliche Angriffspfade zu schließen. Ebenso wichtig sind kontinuierliche Modellverbesserungen sowie das Konzept der „Defense-in-Depth“. Dabei wird Cybersicherheit nicht als punktuelle Maßnahme verstanden, sondern tief in sämtliche Ebenen der Softwareentwicklung und der IT-Infrastruktur integriert. Dennoch bleibt festzuhalten, dass es keine allgemeingültige Methode gibt, um sämtliche Risiken vollständig zu eliminieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Neue Ansätze für sichere Systeme
Wir gehen derzeit davon aus, dass sichere Agentensysteme künftig nicht mehr aus monolithischen „Alleskönnern“ bestehen. Stattdessen werden wir Pipelines aus spezialisierten, stärker eingeschränkten Agenten sehen, die einer strengen Kontrolle unterliegen.
Ein vielversprechender Ansatz sind hierbei „Agent Skills“ (als kontrollierte Alternative zum Model Context Protocol). Agent Skills bieten einen offenen Standard, um Kontexte zu modularisieren. Sie bündeln Anweisungen, Skripte und Ressourcen wie Dokumentationen. Agenten laden diese Fähigkeiten nur bei Bedarf. Das senkt den Token-Verbrauch und verhindert Probleme wie die Erschöpfung des Kontextfensters oder den sogenannten „Agent Instruction Bloat“. Letzteres beschreibt überfrachtete, lange und teils widersprüchliche Anweisungen. Je umfangreicher diese Befehle werden, desto eher ignorieren die Modelle wichtige Sicherheitsregeln.
Rund um Agent Skills entsteht derzeit ein dynamisches Ökosystem mit Plug-in-Marktplätzen zum Teilen und Versionieren von Fähigkeiten. Doch Vorsicht: Die ungeprüfte Übernahme von Skills von Drittanbietern kann wiederum neue Sicherheitslücken öffnen.
Die Entwicklung hin zu spezialisierten, langlebigen Agenten und Techniken gegen den „Instruction Bloat“ zeigt, wohin die Reise geht: zu sichereren Systemen. Die Dynamik in diesem Bereich ist enorm und bringt spannende Ergebnisse hervor – doch wir müssen wachsam bleiben, um kostspielige Fehltritte zu vermeiden.