Der Beitrag von Token Security beschreibt KI-Agenten als neue Identitätsebene in Unternehmensumgebungen. Während klassische Identitätssicherheit bislang auf vorhersehbare Akteure wie Mitarbeiterkonten, Service-Accounts und API-Schlüssel ausgerichtet gewesen sei, durchbrechen KI-Agenten dieses Modell. Sie würden von verschiedenen Teams erstellt, von anderen genutzt, mit zahlreichen Anwendungen verbunden und teils mit Anmeldedaten betrieben, die ursprünglich für ganz andere Zwecke bereitgestellt wurden.

Nach Angaben von Token Security erhalten diese Agenten häufig früh weitreichenden Zugriff, damit sie ohne Verzögerung funktionieren. Dadurch entstehe eine Landschaft aus hoch privilegierten, aber schlecht sichtbaren Akteuren. Hinzu komme, dass KI-Agenten Identitäten in Maschinengeschwindigkeit erzeugen, verwenden und rotieren und damit traditionelle IAM-Kontrollen überholen.

Als Beleg verweist das Unternehmen auf eine von ihm in Auftrag gegebene CSA-Umfrage aus dem Jahr 2026. Demnach entdeckten 82 Prozent der befragten Organisationen im vergangenen Jahr mindestens einen KI-Agenten, der ohne Wissen von Sicherheits-, IT- oder Governance-Teams eingerichtet worden war. 41 Prozent beobachteten das sogar mehrfach.

Token Security kritisiert zudem, dass sich die Debatte über KI-Sicherheit zu stark auf Modellrisiken wie Prompt-Injection, Jailbreaks oder unsichere Ausgaben konzentriere. Für Unternehmenssicherheit sei eine andere Frage zentral: Worauf kann ein Agent tatsächlich zugreifen? Ein Agent, der lediglich öffentliche Dokumentation zusammenfasst, stelle ein anderes Risiko dar als ein Agent mit Zugriff auf Kundendaten, Quellcode, Finanzsysteme und Cloud-Zugangsdaten mit Administratorrechten.

Laut dem Beitrag können ein schadhafter Prompt, eine kompromittierte Sitzung, ein bösartiges Plugin oder eine falsch konfigurierte Integration einen überprivilegierten Agenten zu einem Pfad für Datenabfluss, zerstörerische Aktionen oder seitliche Bewegungen zwischen Systemen machen, die nie miteinander verbunden sein sollten. Token Security erklärt, das sei keine theoretische Gefahr mehr: 65 Prozent der Organisationen hätten im vergangenen Jahr einen Sicherheitsvorfall mit Bezug zu einem KI-Agenten erlebt; 61 Prozent meldeten dabei die Offenlegung oder Fehlbehandlung sensibler Daten.

Als ersten Schritt fordert das Unternehmen mehr Transparenz. Sicherheitsteams müssten KI-Agenten nicht nur nach Namen oder Plattformen erfassen, sondern klären, wem ein Agent gehört, wer ihn auslösen kann, mit welchen Systemen er verbunden ist, welche Anmeldedaten er verwendet und was er in den Zielanwendungen lesen, schreiben, löschen oder ausführen darf. Die eigentliche Angriffsfläche sei nicht nur der Agent selbst, sondern alles, worauf seine Identitäten zugreifen können.

Ebenso wichtig sei der vorgesehene Zweck eines Agenten. Ein Assistent zur Vertriebsvorbereitung brauche etwa nur Lesezugriff auf CRM-Daten, nicht aber die Möglichkeit, Datenbanktabellen zu löschen. Ein Finanz-Workflow-Agent solle Rechnungen lesen, aber keine neuen privilegierten Nutzer anlegen können. Laut Token Security stimmen die vergebenen Berechtigungen in der Praxis jedoch oft nicht mit diesem Zweck überein; diese Lücke sei der eigentliche Risikobereich und vergrößere sich mit der Zeit durch Abweichungen vom Least-Privilege-Prinzip.

Schließlich warnt Token Security davor, Zugangskontrollen als einmalige Aufgabe zu betrachten. Punktuelle Prüfungen oder Audits lieferten nur Momentaufnahmen, weil sich Agenten, Anweisungen, Nutzerkreise und Integrationen laufend änderten. Governance müsse deshalb kontinuierlich erfolgen, um Agenten zu erkennen, die plötzlich auf neue Anwendungen zugreifen, unerwartete Anmeldedaten verwenden oder Handlungen ausführen, die nicht zu ihrem angegebenen Zweck passen.