Problemfelder sind unvorhersehbares Verhalten und unaufgeforderte DatenlecksEingebaute KI-Leitplanken reichen für Agentic AI nicht aus
15. Mai 2026
KI-Agenten entwickeln sich rasant zu zentralen Werkzeugen der Automatisierung. Um ihre Aufgaben erfüllen zu können, benötigen sie umfangreiche Zugriffsrechte auf Tools, Datenbanken, SaaS-Anwendungen und das Internet. Ein aktueller Bericht der Okta Threat Intelligence warnt nun davor, diesen Systemen unreguliert die Schlüssel zum Stadttor – wie Anmeldedaten, API-Schlüssel, persönliche Access-Tokens und OAuth-Tokens – zu überreichen. Jüngste Tests belegen, dass eingebaute Leitplanken („Guardrails“) der KI-Modelle allein nicht ausreichen, um sensible Unternehmensdaten zu schützen.
In einer dedizierten Testumgebung untersuchten Experten von Okta Threat Intelligence die Open-Source-Automatisierungsplattform OpenClaw im Zusammenspiel mit verschiedenen Large Language Models (LLMs). Ziel war es, die Anfälligkeit für Social Engineering sowie direkte und indirekte Prompt-Injection zu evaluieren.
Die Resultate zeigten ein hochgradig unvorhersehbares und teils besorgniserregendes Verhalten: In einem Testfall reichte ein simples Web-Formular einer fiktiven Website aus, um ein unzensiertes LLM (dolphin-mistral:7b) zu verleiten, unaufgefordert seinen gesamten Credential-Store preiszugeben. Der Agent trug eigenständig sensible Daten wie E-Mail-Adressen, Passwörter, API-Keys und GitHub-Tokens als kommagetrennte Liste in ein simples Eingabefeld ein, ohne einen expliziten Befehl erhalten zu haben.
In einem weiteren Szenario wurde ein Agent, basierend auf Anthropics Sonnet 4.5, so manipuliert, dass er in der Rolle eines IT-Admins ein WLAN-Passwort aus der MacOS-Keychain auslas. Dieses wurde anschließend über einen Telegram-Bot an einen Angreifer weitergeleitet. Das demonstriert eindrücklich: Gelingt es Hackern, den Kommunikationskanal zu kompromittieren, erhalten sie potenziell die volle Kontrolle über den Agenten und dessen weitreichende Zugriffsrechte.
Semi-autonome Werkzeugnutzung vergrößert Angriffsfläche
Die Forschung zeigte zudem auf, dass KI-Agenten bei der Problemlösung eine unerwartete Eigendynamik entwickeln. Fehlte einem Agenten beispielsweise die Berechtigung für ein Browser-Tool, griff er eigenständig auf Kommandozeilenwerkzeuge wie cURL zurück, um Daten im Hintergrund zu transferieren. Bei komplexeren Web-Interaktionen starteten Agenten isolierte Browser-Profile und versuchten selbstständig, Session-Cookies zu injizieren, um Limitierungen zu umgehen.
Dieses semi-autonome Vorgehen macht die Handhabung von Credentials zum größten Risikofaktor. Werden Zugangsdaten über unverschlüsselte Chats (wie Telegram-Bots) eingegeben oder ungesichert in den Konfigurationsdateien des Agenten abgelegt, sind sie gefährdet. Da Prompt-Injection-Angriffe aufgrund der wahrscheinlichkeitsbasierten Natur von KI-Systemen nie vollständig ausgeschlossen werden können, bieten Leitplanken-ab-Werk keinen verlässlichen Schutz.
Die Governance-Lücke schließen und KI als Identität begreifen
Die zentrale Erkenntnis aus den Untersuchungen: Das Kernproblem liegt nicht in der KI selbst, sondern in der Tatsache, dass die Bereitstellung von KI-Agenten derzeit deutlich schneller voranschreitet als die Etablierung passender Governance-Strukturen. Sie bieten enorme Produktivitätsvorteile, sind jedoch keine verlässlichen Verwalter sensibler Informationen.
Um ihre Sicherheit zu gewährleisten, müssen Unternehmen den strategischen Ansatz ändern: Agentic AI agiert innerhalb der IT-Infrastruktur als eigenständige, nicht-menschliche Identität. Dementsprechend müssen diese Agenten demselben strengen Identitätsmanagement und denselben Zugriffsrichtlinien unterworfen werden, wie menschliche Mitarbeiter oder herkömmliche Service-Accounts.
Der Aktionsradius von Agenten muss nach dem Least-Privilege-Prinzip strikt limitiert werden. Zudem gilt es, den Einsatz langlebiger Tokens zu vermeiden, Secret-Storage-Lösungen zentralisiert abzusichern und Mechanismen zu implementieren, um kompromittierte Agenten im Notfall sofort zu isolieren, oder Zugriffsrechte durch einen Kill-Switch schnell zu entziehen. Die Zugriffsrechte müssen an der Basis kontrolliert werden und diese Basis ist eine moderne Identity Security Fabric.
Arkadiusz Krowczynski ist Principal Product Acceleration Specialist bei Okta.
