Den Ausgangspunkt der Diskussion bildete OpenClaw. Nvidia-CEO Jensen Huang betonte, dass die Technologie Agenten hervorbringen kann, die Dateisysteme durchsuchen, auf persönliche Informationen zugreifen und mit großen Sprachmodellen kommunizieren. Genau diese autonomen Fähigkeiten gelten den Experten zufolge als Quelle erheblicher Sicherheitsbedenken.

Die Podiumsteilnehmer beschrieben eine neue Angriffsfläche: KI-Agenten könnten über Wochen und Monate hinweg laufen und nach einer langen Ruhephase aktiv werden. Als Beispiel nannten sie Agenten, die SharePoint-Systeme nach Schwachstellen absuchen, anschließend untätig bleiben und Angriffe zu einem festgelegten Zeitpunkt auslösen. Solche Bedrohungen auf vernachlässigten oder unsicheren Systemen seien für Menschen nicht mehr zu bewältigen – nur KI-gestützte Sicherheitsmodelle, die nach den Worten der Experten in „Maschinengeschwindigkeit" arbeiten, könnten gegen außer Kontrolle geratene Agenten bestehen, so deSouza.

KI-native Sicherheitsmodelle sollen demnach das Eindringen schädlicher Agenten verhindern. Dazu zählen Agenten, die Schwachstellen aufspüren und Subagenten vor dem Einsatz prüfen, den dynamischen Systemzugriff steuern und Prüfprotokolle erzeugen, um Identität und Aktivität von Agenten nachzuverfolgen. Frei agierende Agenten seien dabei zugleich Chance und Risiko: Sie könnten Sicherheitslücken finden und schließen, aber ebenso ausnutzen.

„Es war in Ordnung, weil man Sicherheit durch Verschleierung hatte. Niemand konnte sie finden, und es spielte keine Rolle", sagte deSouza über bislang unentdeckte Schwachstellen. „Aber jetzt, wo Agenten in der Umgebung unterwegs sind, werden sie diese finden und offenlegen." Er empfahl ein KI-natives, dynamisches Zugriffskontrollsystem, das den Zugriff autonomer Agenten überprüft. Agenten dürften nicht die Identität menschlicher Nutzer übernehmen, da sich Berechtigungen in Echtzeit ändern könnten, während ein Agent einen Arbeitsablauf durchläuft.

Nvidia stellte mit NemoClaw eine Abwandlung von OpenClaw vor, die genau diese Bedenken adressieren soll, indem sie Datenschutz- und Sicherheitsleitplanken für den Umgang von Agenten mit Daten durchsetzt.

Amit Zavery, Chief Product and Operating Officer bei ServiceNow, plädierte dafür, den Technologie-Stack um Daten zu erweitern, die in Agenten üblicherweise fehlen – etwa einen Knowledge Graph oder einen Kontextgraphen mit Informationen darüber, warum eine Entscheidung getroffen wurde. ServiceNow hat dazu ein KI-Sicherheitssystem namens AI Control Tower entwickelt, das über einen Zugriffsgraphen Aufgaben und Identitäten analysiert, um den Systemzugriff von Agenten zu bestimmen. Ergänzt wird es durch einen Knowledge Graph, der Agenten Daten innerhalb und außerhalb von ServiceNow zuordnet. Das System bietet zudem Echtzeit-Sichtbarkeit, führt Prüfprotokolle und entscheidet über eine Vertrauensschicht, wann ein menschlicher Eingriff erforderlich ist.

Elia Zaitsev, Chief Technology Officer bei CrowdStrike, sieht in OpenClaw einen guten Anlass, Sicherheit zu überdenken, hält die grundlegenden Prinzipien – Verteidigung in der Tiefe, dauerhafte Berechtigungen sowie Überwachung von Ausführung und Aktivität – jedoch für unverändert gültig. „Die grundlegende Sicherheitshygiene sollte sich nicht ändern, nur weil eine andere Art von Intelligenz den Steuerknüppel bedient", sagte Zaitsev. Anirvan Mukherjee, Leiter KI und maschinelles Lernen bei Palantir, ergänzte, bei Agenten gehe es auch um Identität – in wessen Auftrag ein Agent handelt – und um den Umfang dessen, was er tun darf.

Als Besonderheit von OpenClaw hoben die Teilnehmer hervor, dass es Subagenten hervorbringen kann, die eigenen Code schreiben. Die Entwicklungsebene werde damit zur ersten Verteidigungslinie. „Dieser Code muss einen Softwareentwicklungszyklus durchlaufen, um sicherzustellen, dass er sicher ist, bevor er jemals ausgerollt wird", sagte deSouza.