KI-Agenten entwickeln sich rasant zu zentralen Werkzeugen der Automatisierung. Um ihre Aufgaben erfüllen zu können, benötigen sie umfangreiche Zugriffsrechte auf Tools, Datenbanken, SaaS-Anwendungen und das Internet. Ein aktueller Bericht unserer Okta Threat Intelligence warnt nun davor, diesen Systemen unreguliert die Schlüssel zum Stadttor – wie Anmeldedaten, API-Schlüssel, persönliche Access-Tokens und OAuth-Tokens – zu überreichen. Jüngste Tests belegen, dass eingebaute Leitplanken („Guardrails“) der KI-Modelle allein nicht ausreichen, um sensible Unternehmensdaten zu schützen.
Unvorhersehbares Verhalten und unaufgeforderte Datenlecks
In einer dedizierten Testumgebung untersuchten Okta-Experten die Open-Source-Automatisierungsplattform Openclaw im Zusammenspiel mit verschiedenen Large-Language-Models (LLMs). Ziel war es, die Anfälligkeit für Social-Engineering sowie direkte und indirekte Prompt-Injection zu evaluieren.
Die Resultate zeigten ein hochgradig unvorhersehbares und teils besorgniserregendes Verhalten: In einem Testfall reichte ein simples Web-Formular einer fiktiven Website aus, um ein unzensiertes LLM (dolphin-mistral:7b) zu verleiten, unaufgefordert seinen gesamten Credential-Store preiszugeben. Der Agent trug eigenständig sensible Daten wie E-Mail-Adressen, Passwörter, API-Keys und Github-Tokens als kommagetrennte Liste in ein simples Eingabefeld ein, ohne einen expliziten Befehl erhalten zu haben.
In einem weiteren Szenario wurde ein Agent, basierend auf Anthropics-Sonnet 4.5, so manipuliert, dass er in der Rolle eines IT-Admins ein WLAN-Passwort aus der MacOS-Keychain auslas. Dieses wurde anschließend über einen Telegram-Bot an einen Angreifer weitergeleitet. Das demonstriert eindrücklich: Gelingt es Hackern, den Kommunikationskanal zu kompromittieren, erhalten sie potenziell die volle Kontrolle über den Agenten und dessen weitreichende Zugriffsrechte.
Semi-autonome Werkzeugnutzung vergrößert die Angriffsfläche
Die Forschung zeigte zudem auf, dass KI-Agenten bei der Problemlösung eine unerwartete Eigendynamik entwickeln. Fehlte einem Agenten beispielsweise die Berechtigung für ein Browser-Tool, griff er eigenständig auf Kommandozeilenwerkzeuge wie cURL zurück, um Daten im Hintergrund zu transferieren. Bei komplexeren Web-Interaktionen starteten Agenten isolierte Browser-Profile und versuchten selbstständig, Session-Cookies zu injizieren, um Limitierungen zu umgehen.
Dieses semi-autonome Vorgehen macht die Handhabung von Credentials zum größten Risikofaktor. Werden Zugangsdaten über unverschlüsselte Chats (wie Telegram-Bots) eingegeben oder ungesichert in den Konfigurationsdateien des Agenten abgelegt, sind sie gefährdet. Da Prompt-Injection-Angriffe aufgrund der wahrscheinlichkeitsbasierten Natur von KI-Systemen nie vollständig ausgeschlossen werden können, bieten Leitplanken-ab-Werk keinen verlässlichen Schutz.
Fazit: Die Governance-Lücke schließen und KI als Identität begreifen
Die zentrale Erkenntnis aus den Untersuchungen: Das Kernproblem liegt nicht in der KI selbst, sondern in der Tatsache, dass die Bereitstellung von KI-Agenten derzeit deutlich schneller voranschreitet als die Etablierung passender Governance-Strukturen. Sie bieten enorme Produktivitätsvorteile, sind jedoch keine verlässlichen Verwalter sensibler Informationen.
Um ihre Sicherheit zu gewährleisten, müssen Unternehmen den strategischen Ansatz ändern: Agentic-AI agiert innerhalb der IT-Infrastruktur als eigenständige, nicht-menschliche Identität. Dementsprechend müssen diese Agenten demselben strengen Identitätsmanagement und denselben Zugriffsrichtlinien unterworfen werden, wie menschliche Mitarbeiter oder herkömmliche Service-Accounts. Der Aktionsradius von Agenten muss nach dem Least-Privilege-Prinzip strikt limitiert werden. Zudem gilt es, den Einsatz langlebiger Tokens zu vermeiden, Secret-Storage-Lösungen zentralisiert abzusichern und Mechanismen zu implementieren, um kompromittierte Agenten im Notfall sofort zu isolieren, oder Zugriffsrechte durch einen Kill-Switch schnell zu entziehen. Die Zugriffsrechte müssen an der Basis kontrolliert werden und diese Basis ist eine moderne Identity-Security-Fabric.
Von Arkadiusz Krowczynski, Principal Product Acceleration Specialist bei Okta
