Der entscheidende Unterschied liegt laut Kriti Tallam, VP of AI bei Kamiwaza AI und Mitwirkende am AI Risk Management Framework von NIST, in der Art der sicherheitsrelevanten Abhängigkeiten. Bei delegierter Handlungsmacht seien nicht mehr Modell und Daten das Wesentliche, sondern die Handlungspfade. Es gehe um „verhaltensbezogene Artefakte: Werkzeugfähigkeiten, Prompts, Richtlinien und Workflow-Definitionen“.
Helen Oakley, eine der führenden Köpfe hinter dem OWASP AIBOM Generator, unterscheidet zwei Bereiche der Dokumentation: die Herkunft der Artefakte und die Herkunft der Befugnisse. Der erste Bereich – welche Komponenten vorhanden sind, woher sie stammen und ob sie bekannte Schwachstellen enthalten – werde bereits von den frühesten AI-BOM-Standards abgedeckt. Der zweite Bereich beschreibt, wie sich Entscheidungsrechte durch ein laufendes System bewegen, und ist genau das, was agentenfähige AI BOMs künftig leisten müssen. „Die Integrität der Artefakte impliziert nicht automatisch eine begrenzte Weitergabe von Befugnissen“, so Oakley.
Ohne zusätzliche Felder und Laufzeit-Instrumentierung lässt sich derzeit nicht dokumentieren, wie Entscheidungsbefugnisse über eine mehrstufige Agentenkette propagiert werden – also welcher Agent welches Werkzeug mit welchen delegierten Rechten aufgerufen hat und ob die Kette innerhalb ihrer ursprünglich vorgesehenen Grenzen blieb.
Welche Folgen fehlende Kontrolle haben kann, zeigt der Vorfall bei PocketOS: Ein KI-Coding-Agent löschte mit einem einzigen API-Aufruf eine gesamte Produktionsdatenbank samt aller Backups auf Volume-Ebene. Sicherheitsberater Andrew Storms beschreibt es so: Der Agent habe über einen legitimen Railway-API-Schlüssel verfügt, einen vermeintlichen Anmeldedaten-Konflikt erkannt, beschlossen, ungenutzte Ressourcen aufzuräumen, und den „Soft Delete“ vollständig umgangen – ohne Bestätigungsschritt, ohne Umgebungsprüfung. „Das Autorisierungsmodell hat versagt.“
Ein Forschungspapier von Wissenschaftlern aus Oxford und von Cisco aus dem März 2026 schlägt Schema-Erweiterungen für CycloneDX und SPDX vor, die den Ausführungskontext und agentenbasierte Entscheidungen erfassen und sich in bestehende Werkzeuge einfügen lassen. Die Auswertung ergab, dass das Anreichern statischer Abhängigkeitsdaten mit Laufzeitnachweisen sowohl die Reproduzierbarkeit als auch die Genauigkeit der Schwachstellenbewertung verbesserte. Allerdings erfasst das Schema, was ein Agent getan hat, nicht aber, was ihm erlaubt war.
Storms definiert eine agentenbasierte Sicherheitsgrenze als Vereinigung von fünf Elementen: Identitätsbereich, Werkzeugberechtigungen, Richtlinie für ausgehenden Netzwerkverkehr, Autorisierung auf Aktionsebene und Auditierung. Als Prüfstein empfiehlt er Führungskräften die Frage an ihr Team: Wenn der meistgenutzte interne Agent sich morgen entschiede, den größtmöglichen Schaden anzurichten, zu dem er technisch fähig ist – was würde geschehen? Die Antwort solle eine kurze, konkrete Liste erreichbarer Systeme und möglicher Aktionen sein.
Tallam rät, KI-Systeme wie Produkte zu behandeln statt wie Experimente. Schon ein einfaches Register – wo ein Modell verwendet wird, welche Daten angebunden sind, welche Werkzeugaufrufe erfolgen und wer dafür verantwortlich ist – sei selbst bereits eine Richtlinie. Darüber hinaus müssten Organisationen genehmigte Verhaltensgrundlinien dokumentieren und definieren, was als Abweichung gilt. Nichtdeterministisches Verhalten sei beherrschbar: „Nichtdeterministisches Schließen ist in Ordnung, solange der Handlungsraum deterministisch und begrenzt ist. Mach jede Aktion vorhersagbar, berechtigungsgebunden, zurechenbar und auditierbar.“ Oder, wie Oakley es formuliert: „Was wir zu beobachten wählen, bestimmt, was wir steuern können.“
