Sicherheitsarchitekturen in Unternehmen basieren auf der Annahme, dass Softwareverhalten vorhersagbar ist. Wenn sich ein menschlicher Benutzer in ein System einloggt, sind seine Aktionen durch definierte Rollen und statische Berechtigungen eingeschränkt. Dieses Modell ist zwar nicht perfekt, bietet aber einen stabilen Rahmen für die Zugriffskontrolle.
Autonome KI-Agenten widerlegen diese Annahme. Da Agenten nichtdeterministisch sind und ihre eigenen Ausführungspfade planen können, verhalten sie sich nicht wie traditionelle Benutzer. Behandelt man einen Agenten wie eine weitere Identität in einem IAM-System, führt dies oft zu intransparenten Umgebungen mit zu weitreichenden Berechtigungen, in denen ein einziger Prompt einen unbefugten Datenbankzugriff oder eine Datenexfiltration auslösen kann.
Kurz gesagt
- •
Die traditionelle rollenbasierte Zugriffskontrolle (RBAC) versagt bei Agenten, da sie nichtdeterministische, autonome Tool-Aufrufe nicht berücksichtigen kann.
- •
Agenten benötigen Autorisierungsmodelle, die die Absicht hinter einer Aktion bewerten und nicht nur die Identität des Anfragenden.
- •
Die Vergabe von zu weitreichenden Berechtigungen an Agenten ist ein primäres Sicherheitsrisiko; statische Rollen sind für Agenten, die Workflows zur Laufzeit dynamisch zusammenstellen, unzureichend.
Das Versagen statischer Rollen
Die meisten Unternehmenssysteme verwenden RBAC, um Rollen bestimmten Berechtigungen zuzuordnen. Dies funktioniert für menschliche Benutzer, da ihr Verhalten relativ stabil und vorhersagbar ist. Wird ein Agent eingeführt, muss das System ihm Berechtigungen zur Ausführung von Aufgaben erteilen, aber der Weg des Agenten zu diesen Aufgaben ist nicht festgelegt.
Erhält ein Agent weitreichenden Zugriff zur Durchführung einer Aufgabe, kann er diesen auf eine Weise nutzen, die der Entwickler nie beabsichtigt hat. Da der Agent nichtdeterministisch ist, könnte er eine Abfolge von Tool-Aufrufen wählen, die standardmäßige Sicherheitsprüfungen umgeht. Statische Rollen können nicht zwischen einer legitimen Anfrage und einem Agenten unterscheiden, der einen gefährlichen Pfad halluziniert.
Architektur für Nichtdeterminismus
Um agentenbasierte Systeme abzusichern, müssen Architekten von der reinen identitätsbasierten Autorisierung abrücken. Das System muss nicht nur überprüfen, wer die Anfrage stellt, sondern auch, warum die Aktion ausgeführt wird. Dies erfordert eine Autorisierungsschicht, die die Absicht des Agenten prüfen und mit dem aktuellen Kontext abgleichen kann.
Behandeln Sie Agenten nicht wie Standardbenutzer in Ihrem IAM-Provider. Implementieren Sie stattdessen ein Gateway, das den vom Agenten vorgeschlagenen Plan vor der Ausführung bewertet. Dies führt zu zusätzlicher Latenz, ist aber ein notwendiger Kompromiss, um zu verhindern, dass Agenten außerhalb ihrer vorgesehenen Grenzen agieren.
Der Wandel hin zu agentenbasierter KI erfordert ein grundlegendes Umdenken bei der Definition von Zugriff. Mit zunehmender Verbreitung wird die Angriffsfläche weiter wachsen. Architekten sollten granulare, absichtsbasierte Kontrollen gegenüber veralteten statischen Berechtigungen priorisieren, um die Systemintegrität zu wahren.
Quellen
Why Your Authorization Model Won’t Survive Agentic AI
https://osohq.com/learn/why-your-authorization-model-wont-survive-agentic-ai
Intent-based access control for AI agents
https://indykite.ai/blogs/intent-based-access-control-for-ai-agents
