Wer bei agentischer KI hinterherhinke, riskiere nicht nur technische Angriffsflächen, argumentiert Abugharbia. Sicherheitsteams, die die Sprache der KI-Entwicklung nicht beherrschen – die Designentscheidungen nicht hinterfragen, keine praktikablen Kontrollen vorschlagen und keine fundierten Fragen stellen können –, würden schlicht umgangen. Fachabteilungen handelten dann ohne sie, nicht aus böser Absicht, sondern weil ein Team, das sich inhaltlich nicht einbringen kann, kein nützlicher Partner sei. Der Einstieg liege im praktischen Tun: selbst einen Agenten bauen, mit den Werkzeugen experimentieren, die Entwickler ohnehin schon nutzen.

Abugharbia unterscheidet drei Kategorien agentischer KI mit unterschiedlichem Risikoprofil. Die erste umfasst universelle Coding- und Produktivitäts-Agenten wie Claude Code und GitHub Copilot, die bereits in Entwickler-Workflows verankert sind – ob offiziell freigegeben oder nicht. Welche Daten sie erreichen, wie sie mit Codebasen umgehen und welche Aktionen sie auslösen können, sei Grundwissen.

Die zweite Kategorie sind herstellergebaute Agenten auf Basis des Model Context Protocol (MCP), der Integrationsschicht, über die Agenten externe Dienste anbinden und in deren Namen handeln. Nahezu jeder große Anbieter betreibe einen MCP-Server oder baue gerade einen. Ein Agent, der Kalender, E-Mail oder Ticketsystem verwaltet, könne Eingaben aus diesen Kanälen aufnehmen und darauf reagieren. Eine bösartige Kalendereinladung mit versteckten Anweisungen in der Beschreibung sei ein realer Angriffsvektor: Der Agent liest sie, interpretiert den eingebetteten Prompt und führt ihn aus.

Die dritte Kategorie sind selbstgebaute Agenten einzelner Nutzer. Jahrelang trennte eine Barriere die Sicherheitsfachleute vom Code in ihrer Umgebung, weil die meisten keine Programmierer sind. Diese Barriere sei nun verschwunden: Jeder im Unternehmen könne funktionsfähige Werkzeuge mit echtem Systemzugriff bauen, ohne klassischen Code zu schreiben. Für Sicherheitsteams sei das wertvoll – etwa für Vorfalluntersuchung, forensische Triage oder Threat Hunting. Doch dieselbe Fähigkeit besitzen auch Marketing, Finanzwesen und Betrieb. Die meisten dieser Agenten durchliefen vor dem Start keine Sicherheitsprüfung – ein Lieferketten-Problem in anderer Form.

Mit wachsender Leistungsfähigkeit steige der nötige Zugriff: Kalender, Kommunikationsplattformen, Dateisysteme, Code-Repositories, interne APIs. Genau dieser breite Zugriff vergrößere den Wirkungsradius im Schadensfall. Ein Agent mit Zugang zu Terminal und Postfach lasse sich über den einen Kanal manipulieren, um im anderen zu handeln – ein Pfad für laterale Bewegung, nach dem Angreifer suchen.

Kompetenz erfordert laut Abugharbia zwei Wissensebenen: erstens das Verständnis, wie KI-Anwendungen aus Praktikersicht aufgebaut sind – wie Agenten Eingaben verarbeiten, Werkzeuge verketten und Ausgaben erzeugen; zweitens Aktualität, da sich Werkzeuge und Bedrohungslage rasch wandeln. OWASP und andere veröffentlichten Bedrohungstaxonomien, die sich wöchentlich fortentwickeln. Ohne dieses Fundament ließen sich auch Gespräche mit Anbietern von KI-Sicherheitsprodukten kaum führen – man könne eine durchdachte Kontrolle nicht von einer Marketinghülle unterscheiden.

Viele riskante Installationen entstünden nicht durch grundsätzlich kaputte Werkzeuge, sondern durch fehlende sicherheitsbewusste Konfiguration. Ein selbst gehosteter KI-Assistent an einem Kanal wie Telegram könne ohne Kontrollen jedem antworten, der ihn anschreibt; die Bindung an ein einziges vertrauenswürdiges Konto schließe den Großteil dieser Lücke. Das Leitprinzip sei Begrenzung des Geltungsbereichs: Ein Kalender-Agent brauche keinen Terminal-Zugriff, ein Agent für eingehende Anfragen keinen Schreibzugriff aufs Repository. Das verlange Sicherheitsbeteiligung früh im Designprozess – bevor Architektur und Berechtigungen feststehen.

Abugharbia unterrichtet im Juli bei SANSFIRE 2026 den Kurs „SEC545: GenAI and LLM Application Security", der unter anderem praktische Techniken wie das Scannen von Modellen behandelt, um kompromittierte Modelle vor ihrem Einsatz zu erkennen.