Nach Darstellung von Beyond Identity verschärft das Verhaltensprofil von Claude Code das Problem: Der Agent nutzt bereits vorhandene Werkzeuge und Berechtigungen auf dem Rechner (“living off the land”), kommuniziert über Modellaufrufe, die wie normaler Datenverkehr aussehen, und führt komplexe Handlungsketten aus, die kein Mensch ausdrücklich programmiert hat. Dabei läuft er mit den geerbten Rechten desjenigen, der ihn gestartet hat – einschließlich Zugriff auf Zugangsdaten, Produktionssysteme und sensible Daten.
Die Installation erfolgt laut Anbieter über zwei Befehle: Der erste installiert die CLI, der zweite startet Claude Code über Ceros. Im Browser wird eine E-Mail-Adresse abgefragt und ein sechsstelliger Bestätigungscode verschickt; danach arbeitet Claude Code wie zuvor. Für unternehmensweite Rollouts lässt sich Ceros so konfigurieren, dass Entwickler beim Start automatisch zur Anmeldung aufgefordert werden.
Nach der Registrierung erfasst Ceros nach eigenen Angaben vor der Generierung des ersten Tokens den vollständigen Gerätekontext – darunter Betriebssystem, Kernel-Version, Status der Festplattenverschlüsselung, Secure-Boot-Zustand und Status der Endpoint-Protection – in unter 250 Millisekunden. Zudem werden die komplette Prozess-Herkunft mit Hashwerten jeder ausführbaren Datei der Kette erfasst und die Sitzung über die Plattform von Beyond Identity an eine verifizierte menschliche Identität gebunden, signiert mit einem hardwaregebundenen kryptografischen Schlüssel.
In der Admin-Konsole zeigt die Conversations-Ansicht jede Sitzung zwischen Entwickler und Agent über alle registrierten Geräte hinweg, samt der ausgelösten Tool-Aufrufe. Fragt ein Entwickler etwa nach den Dateien in seinem Verzeichnis, weist das Modell den Agenten an, ein Werkzeug lokal auszuführen – im Beispiel den Shell-Befehl “bash ls -la”. Die Tools-Ansicht listet in einem Reiter alle verfügbaren Werkzeuge inklusive eingebauter Funktionen wie Bash, ReadFile, WriteFile, Edit und SearchWeb sowie aller verbundenen MCP-Server samt Schema; ein zweiter Reiter zeigt die tatsächlich ausgeführten Aufrufe mit Argumenten und Rückgaben. Die MCP-Server-Ansicht macht sichtbar, welche externen Dienste – etwa Datenbanken, Slack, E-Mail oder Produktionsinfrastruktur – verbunden sind, seit wann und ob sie freigegeben wurden.
Über die reine Sichtbarkeit hinaus setzt Ceros Richtlinien zur Laufzeit durch, also vor der Ausführung einer Aktion. Als wirkungsvollste erste Maßnahme nennt der Anbieter das Allowlisting von MCP-Servern: Nicht freigegebene Verbindungen werden blockiert und protokolliert. Tool-bezogene Richtlinien können einzelne Werkzeuge wie Bash ganz sperren oder Dateizugriffe innerhalb des Projektverzeichnisses erlauben, während sensible Pfade wie ~/.ssh/ oder /etc/ gesperrt bleiben – wobei auch die übergebenen Argumente bewertet werden. Anforderungen an die Gerätesicherheit können den Start einer Sitzung an aktive Festplattenverschlüsselung und laufende Endpoint-Protection knüpfen, die Ceros fortlaufend neu prüft.
Das Activity Log signiert jeden Eintrag laut Beyond Identity mit einem hardwaregebundenen Schlüssel, bevor er das Gerät verlässt, sodass er nachträglich nicht mehr verändert werden kann. Jeder Eintrag enthält die Sicherheitslage des Geräts, die Prozess-Herkunft mit Binärsignaturen, die verifizierte Nutzeridentität und alle Aktionen der Sitzung. Als passende Nachweisanforderungen führt der Anbieter SOC 2 (CC8.1), FedRAMP (AU-9), die HIPAA-Audit-Vorgaben und PCI-DSS v4.0 (Anforderung 10) an.
Ergänzend erlaubt Ceros das zentrale Ausrollen freigegebener MCP-Server an alle Instanzen. Angekündigt ist zudem “The Dashboard” als flottenweite Übersicht des KI-Risikoprofils. Ceros ist nach Angaben von Beyond Identity ab sofort verfügbar, der Einstieg kostenlos; das Unternehmen selbst ist SOC-2-/FedRAMP-konform und als Cloud-SaaS, selbstgehostet oder vollständig air-gapped betreibbar.
