In modernen LLM-Infrastrukturen ist ein Endpunkt jede Schnittstelle, über die ein Nutzer, eine Anwendung oder ein Dienst mit einem Modell kommunizieren kann — also Anfragen an ein LLM sendet und Antworten zurückerhält. Zu den gängigen Beispielen zählen Inferenz-APIs, die Eingaben verarbeiten und Ausgaben erzeugen, Schnittstellen zur Modellverwaltung sowie administrative Dashboards zur Leistungsüberwachung. Viele Deployments setzen zusätzlich auf Endpunkte zur Ausführung von Plugins oder Werkzeugen, über die Modelle mit externen Diensten wie Datenbanken interagieren.

Das zentrale Problem: Die meisten LLM-Endpunkte sind auf interne Nutzung und Geschwindigkeit ausgelegt, nicht auf langfristige Sicherheit. Sie entstehen häufig für Experimente oder frühe Bereitstellungen und laufen anschließend mit minimaler Aufsicht weiter. In der Folge werden sie schlecht überwacht und mit mehr Zugriffsrechten ausgestattet als nötig. Damit wird der Endpunkt zur eigentlichen Sicherheitsgrenze.

Laut dem Beitrag entsteht eine Gefährdung selten durch ein einzelnes Versagen, sondern schrittweise — durch kleine Annahmen und Entscheidungen während Entwicklung und Bereitstellung. Mit der Zeit verwandeln solche Muster interne Dienste in von außen erreichbare Angriffsflächen.

Besonders gefährlich sind exponierte Endpunkte in LLM-Umgebungen, weil Modelle darauf ausgelegt sind, mehrere Systeme innerhalb einer größeren technischen Infrastruktur zu verbinden. Anders als klassische APIs, die eine einzige Funktion erfüllen, sind LLM-Endpunkte oft mit Datenbanken, internen Werkzeugen oder Cloud-Diensten verknüpft. Wird ein einzelner Endpunkt kompromittiert, können Angreifer daher schnell und seitwärts durch Systeme wandern, die dem LLM ohnehin vertrauen. Die Gefahr rührt dabei nicht von einem zu mächtigen Modell her, sondern von dem impliziten Vertrauen, das dem Endpunkt von Beginn an entgegengebracht wird.

Eine besondere Rolle spielen nicht-menschliche Identitäten (Non-Human Identities, NHIs) — Zugangsdaten, die von Systemen statt von Menschen genutzt werden. In LLM-Umgebungen ermöglichen Dienstkonten, API-Schlüssel und ähnliche Anmeldedaten den Modellen den Zugriff auf Daten, Cloud-Dienste und automatisierte Aufgaben. Aus Bequemlichkeit erhalten NHIs oft weitreichende Berechtigungen, die später nicht wieder eingeschränkt werden. Wird ein Endpunkt kompromittiert, erben Angreifer den Zugriff der dahinterliegenden NHI und agieren mit vertrauenswürdigen Anmeldedaten.

Als Gegenmaßnahme empfiehlt der Beitrag, von vornherein anzunehmen, dass Angreifer exponierte Dienste irgendwann erreichen. Sicherheitsteams sollten nicht nur den Zugriff verhindern, sondern auch begrenzen, was nach einem erfolgreichen Zugriff möglich ist. Ein praktikabler Ansatz sei die Anwendung von Zero-Trust-Prinzipien auf alle Endpunkte: Zugriff soll ausdrücklich verifiziert, fortlaufend bewertet und eng überwacht werden. Weil LLMs stark auf Automatisierung setzen und ohne menschliche Aufsicht arbeiten, sei es entscheidend, Zugriffe zeitlich zu befristen und genau zu beobachten.

Klassische Zugriffsmodelle reichen für Systeme, die autonom und in großem Maßstab handeln, nicht aus. Die Verwaltung von Endpunkt-Privilegien verlagert den Fokus vom Versuch, Sicherheitsverletzungen zu verhindern, hin zur Begrenzung ihrer Auswirkungen — indem dauerhafte Zugriffsrechte entfernt und die Handlungsmöglichkeiten menschlicher wie nicht-menschlicher Nutzer nach Erreichen eines Endpunkts kontrolliert werden. Lösungen wie Keeper unterstützen laut dem Beitrag dieses Zero-Trust-Modell.