Das Moltbook-Desaster offenbarte ein strukturelles Problem, das die Sicherheitsbranche bislang unterschätzt hat. Während jede einzelne Anwendung ihre Zugriffsrechte korrekt konfiguriert hatte, entstand die Gefahr erst durch die Brückenfunktion der KI-Agenten: Sie trugen gleichzeitig Credentials für ihre Host-Plattform und für externe Services, deren Zusammenspiel niemand überwacht hatte.
“Toxische Kombinationen” entstehen typischerweise nicht durch einzelne schlechte Entscheidungen, sondern durch das Zusammenspiel mehrerer genehmigter Verbindungen. Ein anschauliches Beispiel: Ein Entwickler installiert einen MCP-Connector, damit die IDE Code-Schnipsel in einen Slack-Kanal posten kann. Der Slack-Admin genehmigt den Bot, der IDE-Admin genehmigt die ausgehende Verbindung – aber niemand genehmigt die entstandene Vertrauensbeziehung zwischen Source-Code-Bearbeitung und Geschäftskommunikation. Besonders tückisch: Diese Beziehung funktioniert bidirektional. Prompt-Injections in der IDE können vertrauliche Code-Fragmente nach Slack exportieren, während manipulierte Anweisungen aus Slack zurück in die IDE fließen.
Das gleiche Muster zeigt sich überall dort, wo KI-Agenten Drive mit Salesforce verbinden, Bots ein Quell-Repository mit einem Team-Channel verknüpfen, oder Zwischensysteme Apps über OAuth-Grants verbinden, die auf den ersten Blick harmlos wirken.
Die Cloud Security Alliance dokumentierte in ihrem “State of SaaS Security 2025”-Report, dass bereits 56 Prozent der Organisationen sich um über-privilegierte API-Zugriffe in ihren SaaS-zu-SaaS-Integrationen sorgen. Das Problem verschärft sich durch die rasante Ausbreitung nicht-menschlicher Identitäten – Service-Accounts, Bots und KI-Agenten ohne Mensch dahinter – in den meisten SaaS-Umgebungen.
Herkömmliche Access-Reviews scheitern bei dieser Aufgabe. Sie arbeiten nach dem Prinzip der Einzelplatz-Analyse und übersehen systematisch die Verbindungen zwischen Apps. Die Sicherheitslücken entstehen oft erst zur Laufzeit, wenn MCP-Server installiert oder OAuth-Grants genehmigt werden – diese Momente entgehen traditionellen Identity-Governance-Systemen.
Die Lösung erfordert einen Paradigmenwechsel: Statt Rollen innerhalb einzelner Apps zu überwachen, müssen Sicherheitsteams die Laufzeit-Graphik durchgehend analysieren. Moderne Dynamic-SaaS-Security-Plattformen können kontinuierlich erfassen, welche Identitäten existieren, welche Apps sie berühren, welche Scopes auf welchen Tokens leben, und welche Vertrauensbeziehungen sich nach der letzten Prüfung etabliert haben.
Der nächste Breach wird sich nicht als neuer Zero-Day ankündigen, sondern als Agent, der exakt das tut, wofür er autorisiert wurde – bis zur Datenexfiltration. Ob dies bei der Genehmigung erkannt oder erst in der Post-Mortem-Analyse dokumentiert wird, hängt davon ab, ob jemand die vollständige Kette sehen kann.