Ulianitzky beschreibt AI-Agenten als neue Systeme, die technisch dennoch stark von bestehender Infrastruktur abhängen. Sie authentifizieren sich über vorhandene Identitätsanbieter, speichern Daten in bestehenden Cloud-Buckets, führen Aufgaben über vorhandene Lambda-Funktionen aus und übernehmen Berechtigungen aus bereits definierten IAM-Rollen. Jede dieser Abhängigkeiten trage die Sicherheitsprobleme weiter, die schon vor der Einführung der AI vorhanden waren.
Hinzu kommt nach Darstellung des Beitrags ein Berechtigungsproblem. Unter Berufung auf Infosecurity Magazine heißt es, dass 70 Prozent der Organisationen ihren AI-Systemen weiterreichende Rechte geben als einem Menschen in derselben Rolle. Organisationen mit überprivilegierten AI-Systemen meldeten demnach eine Vorfallsquote von 76 Prozent, während sie bei Unternehmen mit konsequent umgesetztem Minimalprinzip bei 17 Prozent lag.
Als zentrale Schwachstellenfelder nennt der Beitrag Identitätsanbieter, Cloud-Buckets, Lambda-Funktionen und IAM-Rollen. All diese Verbindungen liefen über Infrastruktur, die IT-Teams seit Jahren betreiben: Active Directory, Cloud-IAM, Dienstkonten und gespeicherte Zugangsdaten. Diese Umgebungen seien jedoch nicht für AI-Agenten entworfen worden und häufig lange vor deren produktivem Einsatz bereitgestellt worden. Wer über eine dieser Schichten eindringt, müsse die AI selbst nicht direkt angreifen, weil deren eigene Berechtigungen die weitere Bewegung im System ermöglichen.
Zur Veranschaulichung beschreibt XM Cyber eine typische Architektur: Ein Customer-Success-Team nutzt einen AI-gestützten Co-Pilot auf AWS Bedrock, der Kundendaten abfragt, die aus Salesforce in einen S3-Bucket exportiert wurden. Der Co-Pilot führt Aufgaben über Lambda-Funktionen aus und ist mit Geschäftsanwendungen integriert. Ein Entwickler namens John baut und betreut den Agenten, während Nutzer im gesamten Unternehmen täglich damit arbeiten.
Daran anschließend schildert Ulianitzky einen in einer realen Unternehmensumgebung modellierten Angriffspfad. Die einzelnen Schwachstellen seien für sich genommen nicht außergewöhnlich und kämen in dieser oder ähnlicher Kombination in vielen Unternehmensnetzen vor. Kritisch werde erst ihr Zusammenspiel über vier Ebenen hinweg: Netzwerk, Identität, Cloud und AI.
Genau hier sieht der Beitrag ein Problem gängiger Sicherheitsprogramme. Viele Teams betrachteten diese Ebenen isoliert. Ein EASM-Werkzeug markiere etwa einen Tomcat-Server, ein AD-Sicherheitswerkzeug erkenne eine Fehlkonfiguration bei Delegierungen und ein CSPM-Werkzeug finde überprivilegierten Zugriff auf S3. Jede Feststellung erscheine für sich als moderates Problem und werde womöglich wegen niedrigerer Priorität nicht behoben. In der Kette werde daraus jedoch ein kritisches Risiko: eine Tomcat-Schwachstelle am Perimeter, die über Active Directory zu Cloud-Zugangsdaten eines Entwicklers führt und schließlich bei der Wissensbasis eines AI-Agenten endet.
Als Gegenmaßnahme empfiehlt XM Cyber einen Ansatz für Exposure Management, der die Abhängigkeiten von AI-Agenten selbst als kritische Werte einstuft, also etwa Wissensdatenbanken, Speicher-Buckets und Lambda-Funktionen. Von dort aus sollten Sicherheitsteams rückwärts kartieren, welche Identitätsbeziehungen, Berechtigungen und Infrastrukturen mit diesen Ressourcen verbunden sind und welche davon im jeweiligen Umfeld ausnutzbare Schwachstellen tragen. So ließen sich Engstellen identifizieren, an denen eine einzelne Korrektur mehrere Wege zu AI-Ressourcen gleichzeitig blockiert.
Der Kernpunkt des Beitrags lautet, dass klassische Angriffstechniken ausreichen, um AI-Agenten zu kompromittieren, wenn alte Infrastruktur diese Pfade offenlässt. Nach Darstellung von XM Cyber vergrößert sich die Angriffsfläche mit jeder neuen Bereitstellung eines Agenten, weil jede zusätzliche AI-Anwendung an bereits exponierte Umgebungen angeschlossen wird.