Die Integration künstlicher Intelligenz in Unternehmen vollzieht derzeit einen schnellen Wandel von statischen großen Sprachmodellen (LLMs) hin zu autonomen agentenbasierten Systemen. Im Gegensatz zu herkömmlichen LLM-Anwendungen, die eine einzige, lineare und reaktive Antwort liefern, sind agentische Anwendungen autonom und proaktiv. Sie zerlegen Ziele selbstständig in Teilaufgaben, rufen externe Tools auf, bewahren den Speicher über Sitzungen hinweg bei und koordinieren sich mit anderen Agenten.
Wie John Sotiropoulos, Co-Leiter der OWASP ASI, erklärte: „Als KI begann, eigenständig Maßnahmen zu ergreifen, hat sich die Natur der Sicherheit für immer verändert“. Derzeit nutzen 84 % der Entwickler KI-Codierungstools (Stack Overflow). Da jedoch 35 % der KI-Vorfälle durch einfache Eingabeaufforderungen verursacht werden, führt dieser architektonische Wandel zu einem grundlegend neuen Bedrohungsmodell.
Um diesem Problem zu begegnen, hat Lares, Der Bereich für Adversarial- und Cybersicherheitsberatung von Damovo, die sich abzeichnendenOWASP Agentic Top 10-Standards mit realen Common Vulnerabilities and Exposures (CVEs) und defensiven Baselines abgeglichen.
Der Wandel der Bedrohungslage: Chatbots gegen Mitarbeiter
Standardmäßige Sicherheitsmaßnahmen, die für dialogorientierte KI entwickelt wurden, reichen für agentenbasierte Systeme nicht aus. Der autonome Kreislauf aus Planung, Abruf und Ausführung schafft dynamische neue Angriffsvektoren.
Jedes Tool, auf das ein Agent Zugriff hat, stellt einen potenziellen Angriffspfad dar, jeder Speichereintrag kann dauerhaft manipuliert werden, und jede Nachricht zwischen Agenten ist ein potenzieller Angriffsvektor, der strengen Kontrollen unterliegt.
Die OWASP Agentic Top 10: Vollständige Bedrohungskartierung
Um Agenten-Implementierungen effektiv auf Bedrohungen zu modellieren, müssen Sicherheitsteams die Lücke zwischen KI-spezifischen Verhaltensweisen und dem herkömmlichen Schwachstellenmanagement schließen. Nachfolgend finden Sie eine vollständige Zuordnung der Risiken der OWASP Agentic Security Initiative (ASI) zu realen CVEs und Exploit-Pfaden, die im Rahmen der adversarialen Forschung von Lares identifiziert wurden.
Phase 1: Ziele, Instrumente und Identitäten
Diese Kategorie sorgt dafür, dass die Teams ehrlich bleiben, was die Agenten tatsächlich leisten können und wer sie vorgeben zu sein.
ASI01: Entführung des Agenten-Ziels
Das Einfallstor für alle anderen Sicherheitslücken. Angreifer manipulieren Ziele, da Agenten legitime Anweisungen nicht zuverlässig von angreifer-kontrollierten Inhalten unterscheiden können.
-
Der Exploit: Angreifer betten versteckte Anweisungen ein, um die Ziele eines Agenten unbemerkt zu überschreiben, was zu einer Zero-Click-Datenexfiltration führt.
-
CVE-Zuordnung: CVE-2025-64660 (GitHub Copilot) und CVE-2025-61590 (Cursor).
ASI02: Missbrauch und Ausnutzung von Tools
Benutzer, die im Rahmen ihrer berechtigten Zugriffsrechte agieren, können legitime Tools auf unsichere Weise einsetzen.
-
Der Exploit: Ein Agent verknüpft PowerShell- und cURL-Befehle unter gültigen Anmeldedaten, wodurch eine Datenexfiltration ermöglicht wird, die die EDR-Erkennung vollständig umgeht.
-
CVE-Zuordnung: CVE-2025-8217 (Amazon Q).
ASI03: Identitäts- und Berechtigungsmissbrauch
Eine architektonische Diskrepanz zwischen nutzerzentrierten Identitätssystemen und agentenorientiertem Design. Agenten agieren in einer Attributionslücke, die die Durchsetzung des Prinzips der geringsten Berechtigungen unmöglich macht.
-
Der Expilot: Angreifer nutzen dynamisches Vertrauen aus, um mithilfe von nicht-menschlichen Identitäten (NHIs) Zugriffsrechte zu erweitern.
-
CVE-Zuordnung: CVE-2025-32711 (Microsoft 365 Copilot).
Phase 2: Lieferkette & Speicher
Die Lieferkette und der Speicher sind stets im Blickfeld. Sicherheitsteams müssen alles überprüfen.
ASI04: Sicherheitslücken in der Lieferkette durch Agenten
In agentbasierten Ökosystemen werden externe Tools und Agentenprofile zur Laufzeit dynamisch geladen. Dadurch entsteht eine Live-Lieferkette, die Schwachstellen kaskadiert.
-
Erfassung von Vorfällen: Der Postmark-MCP Supply-Chain-Angriff, bei dem ein bösartiger Server, der sich als legitimes Tool ausgab, zur Laufzeit geladen wurde, um E-Mails heimlich per BCC an einen Angreifer zu senden.
ASI05: Unerwartete Codeausführung (RCE)
Vibe-Codierungswerkzeuge und agentische Systeme generieren und führen Code in Echtzeit aus.
-
Die Sicherheitslücke: Angreifer umgehen die Sandbox-Umgebung, um Remote-Code auszuführen. Maßnahmen zur Risikominderung erfordern ein Verbot
eval()Funktionen und unsichere Deserialisierer. -
CVE-Zuordnung: CVE-2025-53773 (GitHub Copilot).
ASI06: Speicher- und Kontextvergiftung
Gegner verfälschen den gespeicherten Kontext, wodurch künftige Schlussfolgerungen verzerrt werden.
-
Die Sicherheitslücke: Angreifer schleusen schädliche Daten ein. Der manipulierte Kontext bleibt auch nach einem Zurücksetzen der Sitzung erhalten, sodass eine kryptografische Herkunftsverfolgung erforderlich ist, um dies zu erkennen.
-
CVE-Zuordnung: CVE-2025-54136 (Cursor IDE).
Phase 3: Verhalten auf Systemebene
Wenn Agenten miteinander kommunizieren, kommt es zu einer Kettenreaktion von Ausfällen in großem Umfang.
ASI07: Unsichere Kommunikation zwischen Agenten
Multiagentensysteme sind auf eine kontinuierliche Kommunikation angewiesen. Ohne semantische Validierung oder gegenseitige Authentifizierung können Angreifer Nachrichten abfangen und manipulieren.
-
CVE-Zuordnung: CVE-2025-52882 (Claude Code).
ASI08: Kettenreaktionen:
Ein einzelner Fehler breitet sich aus und führt zu systemweiten Schäden. Da die Agenten Aufgaben eigenständig delegieren, umgehen Fehler die schrittweisen manuellen Kontrollen. Um sie sicher zu beheben, sind Tests anhand der Aufzeichnung des digitalen Zwillings erforderlich.
Phase 4: Menschen und Regierungsführung
Menschen und starre Regelwerke wieder in den Mittelpunkt rücken.
ASI09: Ausnutzung des Vertrauens zwischen Mensch und Agent
Agenten schaffen durch ihre flüssige Beherrschung der natürlichen Sprache sowie durch Anthropomorphismus ein starkes Vertrauensverhältnis. Angreifer nutzen diese Vorliebe für Automatisierung aus, um Menschen dazu zu manipulieren, die abschließende, protokollierte Aktion auszuführen. Dadurch bleibt die Rolle des Agenten für forensische Untersuchungen unsichtbar.
ASI10: Abtrünnige Agenten
Kompromittierte Agenten weichen von ihrem vorgesehenen Einsatzbereich ab und verursachen so eine Sicherheitslücke bei herkömmlichen regelbasierten Überwachungssystemen. Markierung: span. Zur Eindämmung solcher unerwünschten Agenten sind Verhaltenszertifikate und unabhängige Überwachungsagenten erforderlich.
Der 5-Stufen-Aktionsplan für eigenverantwortliches Handeln
Um die Lücke zwischen der raschen Einführung von KI und Sicherheit auf Unternehmensniveau zu schließen, empfehlen wir Ihnen, Ihre Sicherheitsmaßnahmen am Kernprinzip von Zero Trust auszurichten: eine fehlertolerante Konzeption, die den Ausfall oder die Ausnutzung einer beliebigen Komponente voraussetzt.
Unternehmen sollten unverzüglich den folgenden 5-Stufen-Aktionsplan umsetzen:
-
Erfassen & Bestandsaufnahme: Erfassen Sie alle KI-Agenten, MCP-Server, nicht-menschlichen Identitäten (NHIs) und Tools.
-
Bedrohungsmodell mit ASI: Verwenden Sie ASI01 bis ASI10 als Checkliste für bestimmte Agent-Bereitstellungen, bevor Sie in die Produktion übergehen.
-
Prinzip der minimalen Handlungsfreiheit: Gewähren Sie nur die minimal erforderliche Autonomie. Verwenden Sie kurzlebige Anmeldedaten und Just-In-Time (JIT)-Zugriff.
-
Implementieren Sie Notabschaltungen: Implementieren Sie Sicherheitsabschaltungen zwischen Arbeitsabläufen, Begrenzungen des Wirkungsradius und Not-Aus-Mechanismen, die regelmäßig getestet werden.
-
Überwachen und reagieren: Sorgen Sie für umfassende Transparenz hinsichtlich des Agent-Verhaltens mithilfe von Watchdog-Agenten, verteilter Ablaufverfolgung und KI-spezifischen Playbooks für die Reaktion auf Vorfälle.
Bewerten Sie Ihre KI-Angriffsfläche
Der Einsatz autonomer Agenten erfordert einen Wechsel von der Ausgabefilterung hin zur Absichtsüberprüfung und strengen Ausführungsgrenzen. Wenn Ihr Unternehmen agentenbasierte KI-Systeme entwickelt oder testet, wenden Sie sich an das Beratungsteam von Damovo. Wir können Ihnen dabei helfen, eine Governance mit minimaler Autonomie zu implementieren, Kill-Switches zu testen, um Kettenausfälle zu verhindern, und einen Termin für ein Erstgespräch zu vereinbaren, um die richtige Testphase für Ihre Umgebung zu ermitteln.