Gupta hat für seine Untersuchung mehrere wiederkehrende Fehlermuster identifiziert. Ein häufiges Problem seien fehlende kontextuelle Einschränkungen: Eine Richtlinie, die den Zugriff etwa nach Region, Abteilung oder Eigentümerschaft begrenzen soll, lässt diese Bedingung mitunter vollständig weg. Das Ergebnis wirkt sauber und gültig, gilt nun aber global statt im vorgesehenen Geltungsbereich.

Ein zweites Muster ist fehlende Deny-Logik. Viele Zugriffsrichtlinien beruhen auf einer grundsätzlichen Verbotshaltung mit gezielten Ausnahmen. LLMs erfassen laut Gupta oft die Ausnahme, kodieren aber die zugrunde liegende Einschränkung nicht. So entsteht eine Richtlinie, die mehr erlaubt als beabsichtigt – obwohl sie die Anforderung scheinbar umsetzt.

Hinzu kommt das bekannte Problem der Halluzination. Modelle führen bisweilen Attribute ein, die im tatsächlichen Schema des Systems gar nicht existieren. Die Richtlinie kompiliert, verhält sich zur Laufzeit aber unvorhersehbar, weil sie sich auf nicht vorhandene oder falsch zugeordnete Daten stützt.

Auch zeitliche und kontextuelle Bedingungen gehen häufig verloren. Richtlinien, die von Zeitfenstern, Genehmigungen oder dem Sitzungskontext abhängen, werden zu statischen Regeln vereinfacht. Aus einem kontrollierten, zeitlich begrenzten Zugriff wird so ein dauerhaft offener. Schließlich nennt Gupta die Fehlklassifikation von Aktionen: Eine Richtlinie, die eine sensible Operation wie das Löschen beschränken soll, kann in eine umfassendere oder andere Operation übersetzt werden – im Wortlaut ein kleiner, in der Wirkung ein großer Unterschied.

All diese Schwächen ergeben sich nach Guptas Einschätzung natürlich aus dem Bestreben der KI, Sprache zu interpretieren und zu vereinfachen. Über die Zeit summieren sich die kleinen Abweichungen. Richtlinien seien keine statischen Artefakte mehr, die gelegentlich geprüft werden, sondern werden fortlaufend generiert, aktualisiert und ausgerollt. „Je mehr Richtlinien erzeugt, eingesetzt und wiederverwendet werden, desto stärker potenziert sich das Risiko", sagt er. Wenn der Generierungsprozess nicht zuverlässig sei, werde das Risiko systemisch: Organisationen könnten am Ende Tausende subtil fehlerhafter Richtlinien besitzen, deren einzelne Mängel je für sich klein seien, zusammen aber eine große und schwer durchschaubare Angriffsfläche bildeten.

Die Lösung liege nicht darin, auf LLMs zu verzichten, sondern das Vertrauensmodell zu ändern. Generierte Richtlinien dürften nicht standardmäßig als korrekt gelten. Gupta plädiert für Validierungsschichten zwischen Generierung und Durchsetzung, die prüfen, ob alle erforderlichen Bestandteile vorhanden, korrekt und mit dem erwarteten Verhalten konsistent sind. Richtlinien sollten getestet und nicht nur kompiliert werden, und das Prinzip „Deny by Default" müsse explizit durchgesetzt werden.

Vor allem aber müssten Organisationen Autorisierungslogik als Hochrisikobereich behandeln. Nur weil ein Modell Code erzeugen könne, sei dieser noch nicht ohne Prüfung einsatzfähig. „Auf dem Weg zur KI-gestützten Sicherheitsentwicklung sollte das Ziel nicht nur Automatisierung sein, sondern Korrektheit, Nachprüfbarkeit und Vertrauen – denn bei der Autorisierung reicht ‚fast richtig‘ nicht aus", sagte Gupta gegenüber SecurityWeek.