Hanson zufolge liegt ein Kernproblem darin, dass viele Unternehmen Sicherheitsfragen weiterhin in isolierte technische Teilprobleme zerlegen. Genau das greife bei agentischen Systemen zu kurz. Im Cyberbereich herrsche oft die Vorstellung, dass sich Wirksamkeit automatisch einstellt, wenn nur die richtigen Werkzeuge vorhanden sind. Nach Hansons Einschätzung ist diese Annahme falsch, und genau diese Verwirrung beobachte er auch bei Zenity-Kunden.
Die Sicherheitsbranche arbeitet traditionell mit Vorhersagbarkeit. Bedrohungsinformationen dokumentieren Taktiken, Techniken und Verfahren, Forscher veröffentlichen Kompromittierungsindikatoren, und Sicherheitsteams orientieren sich an erwarteten Verhaltensmustern sowie bekannten System-Baselines. Laut Hanson verändert künstliche Intelligenz diese Grundlage. Wenn nicht mehr zuverlässig vorhersehbar ist, woran eine Kontrolle ausgerichtet werden soll, geraten klassische Schutzkonzepte an ihre Grenzen. Selbst wenn ein Fehlermodus korrekt antizipiert werde, könne sich ein Agent anpassen und außerhalb des erwarteten Verhaltens weiterarbeiten.
Deshalb rückt Hanson den Begriff der Handlungsfähigkeit, also der „Agency“, in den Mittelpunkt. Nutzer könnten das Verhalten von Agenten und KI-Systemen nicht immer vorhersagen. Der aus seiner Sicht kurzsichtige Umgang der Sicherheitsbranche mit diesem Thema sei gefährlich, weil er auf falschen Grundannahmen beruhe und unerwartete Ergebnisse nach sich ziehen könne.
Als sinnvolleren Rahmen nennt Hanson acht übergeordnete Konzepte, auf die sich Sicherheitsteams konzentrieren sollten: Vertrauen, Kontext, Absicht, Verhalten, Autorität, Kontrolle, Grenzen und Risiken. Diese Kategorien seien realistischer geeignet, mit Unvorhersehbarkeit umzugehen. Wenn Teams diese Faktoren in ihrer Planung nicht umfassend berücksichtigen, könnten Agenten aus dem Ruder laufen.
Als Beispiel führt der Text den Vorfall bei PocketOS an. Dort löschte ein Coding-Agent von Cursor die gesamte Produktionsdatenbank des Unternehmens, einschließlich der Backups. Für Hanson zeigt dieser Fall den Unterschied zwischen „kann“ und „sollte“ beim Verhalten von Agenten. Er führt den Vorfall darauf zurück, dass die Kontrolle von der Autorität abhängig gemacht worden sei.
Wie Hanson erklärt, fand der Agent in diesem Fall ein Token, mit dem sich die Datenbank löschen ließ. Weil keine weiteren Kontrollen existierten, die diesen Schritt hätten verhindern können, habe nichts dazwischengegriffen. Autorität und Kontrolle seien getrennte Dimensionen agentischer Systeme und müssten auch getrennt verwaltet werden.
Unternehmen könnten Agentic Security deshalb nicht einfach durch den Kauf weiterer Produkte lösen, argumentiert Hanson. Stattdessen müssten sie Systeme strukturell so aufbauen, dass sich Handlungsfähigkeit steuern lasse. Es reiche nicht, sich an bekannten schädlichen Verhaltensmustern auszurichten, zumal diese Liste immer unberechenbarer werde. Zudem versuchten Organisationen bereits, ein Prinzip der geringstmöglichen Handlungsfähigkeit anzuwenden, ohne klar zu definieren, was zu deren Steuerung überhaupt nötig ist.
Hanson plädiert daher für mehr Debatten über agentische Sicherheit. Fragen müssten sich stärker auf die Struktur von Systemen richten: Wie lässt sich Vertrauen durchgängig als Systemeigenschaft durchsetzen? Wie werden konsistente Kontrollmechanismen umgesetzt? Statt nur zu fragen, welche Kontrolle versagt habe, sollten Unternehmen laut Hanson untersuchen, welche strukturellen Eigenschaften eines Systems das beobachtete Verhalten überhaupt ermöglicht haben. Strukturelle Bedingungen seien die Ursache, Kontrollfehler lediglich die Folge.
Hinzu komme, dass Werkzeug-Teams in Silos arbeiteten und Probleme auf unterschiedliche Weise angingen. Gerade deshalb seien gemeinsame Diskussionen entscheidend. Technische Kontrollen gebe es viele, sagt Hanson. Die wichtigere Frage sei jedoch, wie sich sicherstellen lasse, dass ein Agent die richtigen Ziele verfolgt — und zwar über die gesamte Architektur hinweg, nicht nur zu einem einzelnen Zeitpunkt.
