Apelblat fordert zunächst, jeden KI-Agenten als vollwertige digitale Identität zu behandeln. Sobald ein Agent sich mit Produktionssystemen, APIs, Cloud-Rollen, SaaS-Plattformen oder Infrastruktur verbinde, sei er kein Experiment mehr, sondern eine Identität. Jeder Agent nutze dabei häufig gleich mehrere davon: API-Token, OAuth-Berechtigungen, Dienstkonten, Cloud-Rollen, Geheimnisse und Zugriffsschlüssel. In den meisten Organisationen seien diese Identitäten jedoch unsichtbar, ungesteuert und schlecht verwaltet.

Als zweiten Punkt nennt er den Wechsel von Leitplanken zu echter Zugriffskontrolle. KI-Agenten seien nicht deterministisch und passten sich an; bei einer unbegrenzten Zahl möglicher Prompts und Interaktionen sei eine Umgehung nur eine Frage der Zeit. Selbst wenn Prompt-Kontrollen in 99 Prozent der Fälle funktionierten, sei ein Prozent des Unendlichen immer noch unendlich. Sicherheit müsse daher auf die Ebene des Zugriffs verlagert werden. Netzwerkkontrollen seien zu grob, Prompt-Filter zu schwach und die Zusicherungen von KI-Plattformen nicht ausreichend; Identität sei die einzige Steuerungsebene, die jedes System eines Agenten erfasse.

Drittens müsse “Schatten-KI” durch Sichtbarkeit der Identitäten beseitigt werden. Diese sei in erster Linie kein Werkzeug-, sondern ein Identitätsproblem: Entwickler, IT-Administratoren und Fachanwender erstellten bereits Agenten, die sich mit geschäftskritischen Systemen verbänden, Daten abriefen und Abläufe auslösten. Solche Agenten meldeten sich nicht an, sie begännen einfach zu handeln. Fehle den Sicherheitsteams die Sicht auf diese Identitäten, breche das Zero-Trust-Modell zusammen, weil unbekannte Agenten mit gültigen Zugangsdaten standardmäßig als vertrauenswürdig gälten.

Viertens solle die Absicherung an der Absicht ausgerichtet werden, nicht allein an statischen Berechtigungen. Agenten seien zielorientiert; zwei identische Agenten mit identischen Rechten könnten sich je nach Aufgabe völlig unterschiedlich verhalten. Ein Agent zum Zusammenfassen von Support-Tickets dürfe nicht die gesamte Kundendatenbank exportieren können, ein Agent zur Infrastrukturoptimierung keine IAM-Richtlinien ändern. Damit falle auch die Annahme, Agenten könnten einfach menschliche Berechtigungen erben: Ein Agent, der “im Auftrag” eines hoch privilegierten Entwicklers handle, dürfe nicht automatisch sämtliche Rechte dieser Person erhalten.

Fünftens verlangt Apelblat eine durchgängige Lebenszyklus-Steuerung. Sicherheitsvorfälle entstünden selten im Moment der Erstellung, sondern über die Zeit: Zugriffe sammelten sich an, Zuständigkeiten würden unklar, Zugangsdaten blieben bestehen, Agenten würden verändert, umgewidmet und schließlich oft unbemerkt aufgegeben. Bei KI-Agenten verdichte sich dieser Zyklus drastisch – was früher Monate gedauert habe, geschehe nun in Stunden oder schneller.

Das Fazit des Beitrags: Autonomie ohne Identitätskontrolle sei Chaos. Organisationen, die KI auf alte, menschenzentrierte Identitätsmodelle aufsetzten, würden Agenten entweder überprivilegieren oder ihre Innovation ausbremsen. Token Security verweist nach eigenen Angaben auf das Management des gesamten Lebenszyklus von Agenten-Identitäten und bewirbt ein eigenes E-Book sowie eine Demo.