Der Reiz der Mehr-Agenten-Orchestrierung liegt darin, dass Agenten parallel an Aufgaben arbeiten und sich spezialisieren können. Roey Eliyahu von Salt Security nennt gegenüber Dark Reading jedoch mehrere damit verbundene Risiken: ausufernde Zugangsdaten (“credential sprawl”), zu weitreichende Zugriffsrechte auf Werkzeuge und eine wachsende Zahl von Integrationen, die mit sensiblen Daten verbunden sein können. Die Aufgabe der Sicherheit bestehe darin, jeden Agenten eng zu begrenzen, lückenlos zu protokollieren und ohne ausdrückliche Freigabe von folgenreichen Aktionen abzuhalten.

Der Grund: KI-Agenten sind zwar keine menschlichen Mitarbeiter, benötigen aber dieselben Rechte und Zugänge wie Menschen, einschließlich Tokens und Zugangsdaten für Server oder andere Werkzeuge – und damit potenziell weitreichende Berechtigungen. Da sich auch Agenten über Prompt Injection manipulieren lassen, ist jede Integration mit einer Instanz oder einem Produkt eine weitere Gelegenheit, sensible Daten preiszugeben.

Agenten können je nach Aufgabe in kurzer Zeit sehr viele Ausgaben erzeugen. Ohne sorgfältige Prüfung, so Eliyahu, können dabei Geheimnisse in Ausgaben oder Protokollen offengelegt werden – zumindest aber steigt die Zahl möglicher Fehler, zu denen LLMs neigen, wenn man sie sich selbst überlässt. Wenn Entwickler im Schwarm programmieren, also eine Flotte von Agenten gleichzeitig coden, debuggen und testen lassen, summieren sich diese Risiken.

Ram Varadarajan, CEO des Sicherheitsanbieters Acalvio, weist darauf hin, dass richtig eingesetzte Mehr-Agenten-Architekturen viele Vorteile bieten, zugleich aber die Angriffsfläche vergrößern. Es entstehe eine “Vertrauenskaskade”, bei der die Kompromittierung eines einzelnen Knotens mit hoher Erfolgswahrscheinlichkeit die gesamte Pipeline vergiften könne.

Die sichersten Implementierungen erfordern saubere Datensicherheit und Zugriffsverwaltung: eine vollständige Inventur aller Agenten und Orchestrierungswerkzeuge sowie ihrer Integrationen, Berechtigungen und Datenzugriffe – und das Prinzip möglichst geringer Rechte. Eliyahu empfiehlt kurzlebige Zugangsdaten, keine gemeinsam genutzten Tokens, eine standardmäßige Ablehnung von Anwendungen mit ausdrücklichen, nach Identität getrennten Freigabelisten sowie die Isolierung von Agenten in getrennten Ausführungsumgebungen. Bei risikoreichen Aktionen solle ein Mensch eingebunden bleiben.

Für Collin Chapleau, Senior Director für Sicherheits- und KI-Strategie sowie Field CISO bei Darktrace, steht die Sichtbarkeit im Mittelpunkt. Die Grundlage für die Absicherung agentenbasierter LLM-Systeme sei das Wissen darüber, was jeder Agent tut, und das Erkennen, wenn er von seinem eigentlichen Zweck abweicht. Dazu gehörten das Protokollieren und Bewerten von Prompts über alle Agenten hinweg, das Verständnis der jeweiligen Zugriffs- und Rechtegrenzen sowie die Überwachung auf ungewöhnliches Verhalten.

Rich Mogull, Chefanalyst der gemeinnützigen Cloud Security Alliance, vertritt eine differenziertere Sicht: Parallele Agenten brächten nicht zwangsläufig neue Risiken mit sich und könnten das Risiko durch sicherheitsorientierte Agenten und spezialisierte, mit der Verwaltung von Geheimnissen verzahnte Frameworks sogar senken. Er rät Organisationen jedoch, sich zunächst auf ein Framework oder eine Plattform zu konzentrieren und sicherzustellen, dass diese unternehmenstauglich ist. OpenClaw sei dafür noch nicht reif genug – einen Agenten selbst zu bauen, davon rät er ab.