Token Security leitet aus den beiden Faktoren Zugriff und Autonomie ein einfaches Priorisierungsmodell ab: Je mehr Zugriff und je größer die Eigenständigkeit, desto höher die Sicherheitspriorität. Ein Agent, der lediglich Dokumentation liest, stellt kaum eine Gefahr dar. Ein Agent, der sich mit geschäftskritischen Diensten verbinden, Infrastruktur verändern, Befehle ausführen oder Arbeitsabläufe über mehrere Systeme hinweg orchestrieren kann, ist dagegen ein weitaus größeres Sicherheitsproblem.

Die erste und bekannteste Kategorie sind agentische Chatbots. Sie arbeiten innerhalb verwalteter Plattformen wie Produktivitäts-, Wissens- oder Kundenservice-Anwendungen, werden meist durch menschliche Eingaben ausgelöst und helfen beim Abrufen von Informationen, beim Zusammenfassen von Dokumenten oder bei einfachen Integrationen. Aus Sicherheitssicht wirken sie risikoarm, weil ihre Autonomie begrenzt ist. Token Security warnt jedoch vor oft übersehenen Risiken: Viele Chatbot-Werkzeuge nutzen eingebettete API-Konnektoren oder statische Zugangsdaten. Sind diese zu weitreichend berechtigt oder breit geteilt, wird der Chatbot zu einem privilegierten Zugangstor zu kritischen Ressourcen. Auch angebundene Wissensdatenbanken können über dialogische Abfragen sensible Daten preisgeben.

Die zweite Kategorie, lokale Agenten, bezeichnet Token Security als am schnellsten verbreitet und am wenigsten kontrolliert. Sie laufen direkt auf den Endgeräten der Mitarbeiter und binden sich an Werkzeuge wie Entwicklungsumgebungen, Terminals oder Produktivitätsabläufe an, etwa um Code zu schreiben, Logs zu analysieren oder Datenbanken abzufragen. Ihr Identitätsmodell ist dabei besonders: Statt unter einer eigenen Systemidentität zu arbeiten, erben sie die Berechtigungen und den Netzwerkzugriff des ausführenden Nutzers und agieren genau wie dieser. So lassen sie sich ohne zentrale Identitätsbereitstellung sofort mit Diensten wie GitHub, Slack, internen APIs und Cloud-Umgebungen verbinden.

Dieser Komfort schafft laut Token Security ein erhebliches Governance-Problem: Sicherheitsteams haben kaum Einblick, worauf solche Agenten zugreifen und wie viel Autonomie Nutzer ihnen einräumen. Jeder Mitarbeiter wird faktisch zum Administrator seiner eigenen KI-Automatisierung. Hinzu kommt ein Lieferketten-Risiko, da viele lokale Agenten auf Plugins und Werkzeuge aus öffentlichen Ökosystemen zurückgreifen, die schädliche Anweisungen enthalten und die Rechte des Nutzers erben können.

Die dritte Kategorie, Produktionsagenten, ist nach Darstellung von Token Security die mächtigste. Sie laufen als Unternehmensdienste, gebaut mit Agenten-Frameworks, Orchestrierungsplattformen oder eigenem Code, und können dauerhaft ohne menschliches Zutun arbeiten, auf Systemereignisse reagieren und komplexe Abläufe über mehrere Systeme hinweg steuern. Eingesetzt werden sie etwa für automatisierte Incident-Response, DevOps-Abläufe, Kundensupport und interne Geschäftsprozesse. Da sie als Dienste laufen, benötigen sie eigene Maschinenidentitäten und Zugangsdaten und schaffen damit eine neue Identitätsfläche im Unternehmen.

Über alle drei Kategorien hinweg lautet die Kernaussage von Token Security: KI-Agenten sind eine neue Klasse vollwertiger Identitäten, die mit eigenen Berechtigungen auf Daten zugreifen, Abläufe auslösen und Entscheidungen treffen. Sind diese Identitäten schlecht verwaltet und überberechtigt, werden Agenten zu Einfallstoren für Angreifer oder zu Quellen unbeabsichtigten Schadens. Für CISOs gehe es daher nicht nur darum, Agenten zu kontrollieren, sondern Sichtbarkeit und Kontrolle über sie zu gewinnen und Berechtigungen am tatsächlichen Zweck der Agenten auszurichten – in der Ära der KI-Agenten werde Identität zur zentralen Steuerungsebene der Unternehmenssicherheit.