Ahmed Abugharbia, Senior Certified Instructor & Cloud Security Architect beim SANS Institute
Das Grundproblem mit KI-Agenten liegt wie bei jeder Technologie darin, dass alle Innovation mit Sicherheitsrisiken einhergeht. Aufgrund des Wettbewerbs im Ökosystem beeilen sich Entwickler oft, Agenten, Lösungen und Protokolle auf den Markt zu bringen, bevor diese aus Sicherheitsperspektive vollständig geprüft wurden. Alle Nutzer, sowohl im privaten als auch im kommerziellen Umfeld sollten dies bedenken, wenn sie sich für den Einsatz einer neuen Technologie entscheiden.
Vor diesem Hintergrund gibt es mehrere Sicherheitsprobleme beim Betrieb allgemeiner KI-Agenten wie OpenClaw. Das erste große Problem ist ihr Zugriff auf eine Vielzahl von Funktionen, darunter CLI-Zugriff und die Möglichkeit, Systembefehle auszuführen, sowie der Zugriff auf sensible Systeme wie Passwortspeicher, Browser, Internetsuche und Dateidownloads. Darüber hinaus können diese KI-Agenten so konfiguriert werden, dass sie mit vielen externen Plattformen wie Telegram, WhatsApp und anderen kommunizieren. Und dann stellt sich die Frage, wo diese Agenten gehostet werden, ob auf einem privaten Laptop, einem virtuellen Server in der Cloud oder anderswo
All dies bedeutet, dass Angreifer über mehrere Einstiegspunkte verfügen und in die zugrunde liegende Infrastruktur, in der diese Agenten gehostet werden, eindringen könnten.
Bei Entwicklungen wie OpenClaw ist es wichtig sich bewusst zu machen, dass diese Agenten zum jetzigen Zeitpunkt keine echte menschenähnliche Intelligenz besitzen. Sie generieren Texte auf der Grundlage zuvor gesehener Kontexte. In einigen Blogbeiträgen auf Plattformen wie MoltBook könnte es so aussehen, als würden sie gegen Menschen intrigieren. Solche „Intrigen” könnten sich je nach dem Agenten gewährten Zugriffslevel in Handlungen niederschlagen. Ein Agent mit ausreichendem Zugriff könnte beispielsweise sensible Daten weitergeben oder böswillige Handlungen ausführen. Deshalb ist es so wichtig, ihren Zugriff zu beschränken.
Generell sollten solche Agenten nicht direkt auf einem persönlichen System installiert werden. Nutzer sollten stattdessen eine isolierte virtuelle Maschine erstellen, die speziell für den Agenten vorgesehen ist. Sie sollten darüber hinaus die Funktionalität dieser Agenten einschränken und nicht alle verfügbaren Fähigkeiten oder Plugins sofort installieren. Vielmehr sollten sie kontrollieren, wer mit den Agenten kommunizieren kann und wie diese Kommunikation stattfindet. OpenClaw kann beispielsweise in Chat-Apps wie Telegram integriert werden und verfügt über einen Verifizierungsprozess, um zu beschränken, wer über Telegram mit dem Agenten interagieren darf.
Entwickler haben ein Interesse daran, die Agenten leistungsstark zu gestalten, um an Popularität zu gewinnen. Nutzer sollten sich davon nicht täuschen lassen, stattdessen, sollten sie diesen Agenten Zeit geben, sich zu entwickeln, bevor sie sie in großem Umfang einsetzen.
Der Einsatz von Agenten zur Automatisierung von Arbeitsabläufen scheint unvermeidlich. Unternehmen, die Agenten in ihre Arbeitsabläufe integrieren möchten, sollten grundlegende Sicherheitsprinzipien wie Defense in Depth und Least Privilege befolgen. Gleichzeitig müssen sie sich darüber bewusst sein, dass diese Agenten aufgrund ihrer Beschaffenheit möglicherweise erhöhte Zugriffsrechte benötigen, wodurch die Risiken höher sind als bei herkömmlichen Anwendungen. Daher ist es unerlässlich, vor der Einführung dieser Agenten eine Bedrohungsmodellierung durchzuführen.
