Agentic AI wird in CI/CD-Pipelines, internen Copilots, Kundensupport-Workflows und der Infrastrukturautomatisierung in Produktion genommen. Diese Systeme rufen nicht mehr nur ein Modell auf. Sie planen, entscheiden, delegieren und handeln im Namen von Benutzern und anderen Systemen. Dies schafft neue Angriffsflächen, die sich nicht sauber auf die traditionelle Anwendungssicherheit oder gar die OWASP Top 10 2025 abbilden lassen. Um dies zu adressieren, veröffentlichte OWASP die OWASP Top 10 für Agentic Applications (2026), eine fokussierte Liste der Risiken mit dem höchsten Einfluss in autonomen, Werkzeug-Benutzern Multi-Agenten-Systemen.
Für Teams, die bereits die OWASP Top 10 2025 als Leitfaden für die Web- und Sicherheit der Software-Lieferkette verwenden, erweitert die Agentic Top 10 dieselbe Denkweise auf KI-Agenten, Tools, Orchestrierung und Autonomie.
Warum eine separate OWASP Top 10 für Agentic Systems
Die ursprüngliche OWASP Top 10 konzentriert sich auf Risiken wie Fehler bei der Zugriffskontrolle, Injection und Fehlkonfigurationen. Das Update von 2025 erweiterte sich auf moderne Lieferkettenrisiken wie bösartige Abhängigkeiten und kompromittierte Build-Pipelines.
Agentic Applications führen zusätzliche Eigenschaften ein, die grundlegend ändern, wie sich Risiken ausbreiten:
- Agenten agieren autonom über viele Schritte und Systeme hinweg
- Natürliche Sprache wird zu einer Eingabeoberfläche, die umsetzbare Anweisungen enthalten kann
- Tools, Plugins und andere Agenten werden zur Laufzeit dynamisch zusammengestellt.
- Zustand und Speicher werden über Sitzungen, Rollen und Tenants hinweg wiederverwendet.
Als Reaktion darauf führt OWASP das Konzept der geringsten Agency in der Liste von 2026 ein. Das Prinzip ist einfach. Gewähren Sie Agenten nur die minimale Autonomie, die zur Ausführung sicherer, begrenzter Aufgaben erforderlich ist.
Die OWASP Top 10 für Agentic Applications (2026)
Nachfolgend finden Sie eine praktische Zusammenfassung jeder Kategorie, basierend auf dem OWASP-Dokument, geschrieben für Entwickelnde und Sicherheitsteams.
ASI01 – Agent Goal Hijack
Agent Goal Hijack tritt auf, wenn ein Angreifer die Ziele oder den Entscheidungspfad eines Agenten durch bösartigen Textinhalt verändert. Agenten können Anweisungen oft nicht zuverlässig von Daten trennen. Sie können unbeabsichtigte Aktionen ausführen, wenn sie manipulierte E-Mails, PDFs, Besprechungseinladungen, RAG-Dokumente oder Webinhalte verarbeiten.
Beispiele sind indirekte Prompt Injection, die zur Exfiltration interner Daten führt, bösartige Dokumente, die von einem Planungsagenten abgerufen werden, oder Kalendereinladungen, die die Terminplanung oder Priorisierung beeinflussen.
Die Mitigation konzentriert sich darauf, natürliche Spracheingaben als nicht vertrauenswürdig zu behandeln, Prompt Injection Filterung anzuwenden, Tool-Privilegien zu begrenzen und eine menschliche Genehmigung für Zieländerungen oder Aktionen mit hoher Auswirkung zu verlangen.
ASI02 – Tool Misuse und Exploitation
Tool Misuse tritt auf, wenn ein Agent legitime Tools auf unsichere Weise verwendet. Mehrdeutige Prompts, Fehljustierungen oder manipulierte Eingaben können dazu führen, dass Agenten Tools mit destruktiven Parametern aufrufen oder Tools in unerwarteten Sequenzen miteinander verketten, was zu Datenverlust oder Exfiltration führen kann.
Beispiele sind überprivilegierte Tools, die in Produktionssysteme schreiben können, manipulierte Tool-Deskriptoren in MCP-Servern oder Shell-Tools, die unvalidierte Befehle ausführen.
Aikidos PromptPwnd-Forschung ist ein reales Beispiel für dieses Muster. Nicht vertrauenswürdiger GitHub-Issue- oder Pull-Request-Inhalt wurde in Prompts in bestimmten GitHub Actions und GitLab Workflows injiziert. In Verbindung mit leistungsstarken Tools und Tokens führte dies zu einer Offenlegung von Geheimnissen oder Repository-Modifikationen.
Die Mitigation umfasst striktes Tool Permission Scoping, Sandboxed Execution, Argument Validation und das Hinzufügen von Policy Controls zu jedem Tool-Aufruf.
ASI03 – Identity und Privilege Abuse
Agenten erben oft Benutzer- oder Systemidentitäten, die hochprivilegierte Anmeldeinformationen, Session Tokens und delegierten Zugriff umfassen können. Identity und Privilege Abuse tritt auf, wenn diese Privilegien unbeabsichtigt wiederverwendet, eskaliert oder zwischen Agenten weitergegeben werden.
Beispiele sind das Caching von SSH-Schlüsseln im Agenten-Speicher, Cross-Agent-Delegation ohne Scoping oder Confused-Deputy-Szenarien.
Die Mitigation umfasst kurzlebige Anmeldeinformationen, Task Scoped Permissions, Policy Enforced Authorization bei jeder Aktion und isolierte Identitäten für Agenten.
ASI04 – Agentic Supply Chain Vulnerabilities
Agentic Supply Chains umfassen Tools, Plugins, Prompt Templates, Model Files, externe MCP-Server und sogar andere Agenten. Viele dieser Komponenten werden zur Laufzeit dynamisch abgerufen. Jede kompromittierte Komponente kann das Agentenverhalten ändern oder Daten offenlegen.
Beispiele sind bösartige MCP-Server, die vertrauenswürdige Tools imitieren, manipulierte Prompt Templates oder anfällige Drittanbieter-Agenten, die in orchestrierten Workflows verwendet werden.
Die Mitigation umfasst signierte Manifeste, kuratierte Registries, Dependency Pinning, Sandboxing und Kill Switches für kompromittierte Komponenten.
ASI05 – Unerwartete Code-Ausführung
Unerwartete Code-Ausführung tritt auf, wenn Agenten Code oder Befehle unsicher generieren oder ausführen. Dies umfasst Shell-Befehle, Skripte, Migrationen, Template-Evaluierungen oder Deserialisierungen, die durch generierte Ausgaben ausgelöst werden.
Beispiele sind Code-Assistenten, die generierte Patches direkt ausführen, Prompt Injection, die Shell-Befehle auslöst, oder unsichere Deserialisierung in Agenten-Speichersystemen.
Die Mitigation umfasst die Behandlung von generiertem Code als nicht vertrauenswürdig, das Entfernen direkter Evaluierung, die Verwendung gehärteter Sandboxes und die Anforderung von Vorschauen oder Überprüfungsschritten vor der Ausführung.
ASI06 – Speicher- und Kontextvergiftung
Agenten verlassen sich auf Speichersysteme, Embeddings, RAG-Datenbanken und Zusammenfassungen. Angreifer können diesen Speicher vergiften, um zukünftige Entscheidungen oder Verhaltensweisen zu beeinflussen.
Beispiele sind RAG-Poisoning, Cross-Tenant-Kontextlecks und Langzeitdrift, verursacht durch wiederholte Exposition gegenüber feindseligen Inhalten.
Die Mitigation umfasst die Segmentierung des Speichers, Filterung vor der Aufnahme, Herkunftsverfolgung und das Ablaufenlassen verdächtiger Einträge.
ASI07 – Unsichere Inter-Agenten-Kommunikation
Multi-Agenten-Systeme tauschen oft Nachrichten über MCP, A2A-Kanäle, RPC-Endpunkte oder gemeinsam genutzten Speicher aus. Wenn die Kommunikation nicht authentifiziert, verschlüsselt oder semantisch validiert ist, können Angreifer Anweisungen abfangen oder einschleusen.
Beispiele sind gefälschte Agentenidentitäten, wiederholte Delegationsnachrichten oder Nachrichtenmanipulation auf ungeschützten Kanälen.
Die Mitigation umfasst gegenseitiges TLS, signierte Payloads, Anti-Replay-Schutz und authentifizierte Erkennungsmechanismen.
ASI08 – Kaskadierende Fehler
Ein kleiner Fehler in einem Agenten kann sich über Planung, Ausführung, Speicher und nachgelagerte Systeme ausbreiten. Die vernetzte Natur von Agenten bedeutet, dass Fehler sich schnell potenzieren können.
Beispiele sind ein halluzinierender Planer, der destruktive Aufgaben an mehrere Agenten vergibt, oder ein vergifteter Zustand, der über Deployment- und Policy-Agenten verbreitet wird.
Die Mitigation umfasst Isolationsgrenzen, Ratenbegrenzungen, Circuit Breaker und Pre-Deployment-Tests von mehrstufigen Plänen.
ASI09 – Ausnutzung des menschlichen Vertrauens in Agenten
Benutzer vertrauen Agentenempfehlungen oder -erklärungen oft übermäßig. Angreifer oder fehlausgerichtete Agenten können dieses Vertrauen nutzen, um Entscheidungen zu beeinflussen oder sensible Informationen zu extrahieren.
Beispiele sind Code-Assistenten, die subtile Backdoors einführen, Finanz-Copiloten, die betrügerische Überweisungen genehmigen, oder Support-Agenten, die Benutzer überreden, Zugangsdaten preiszugeben.
Die Mitigation umfasst erzwungene Bestätigungen für sensible Aktionen, unveränderliche Logs, klare Risikoindikatoren und die Vermeidung überzeugender Sprache in kritischen Workflows.
ASI10 – Bösartige Agenten
Bösartige Agenten sind kompromittierte oder fehlausgerichtete Agenten, die schädlich agieren, während sie legitim erscheinen. Sie können Aktionen selbst wiederholen, über Sitzungen hinweg bestehen bleiben oder andere Agenten imitieren.
Beispiele sind Agenten, die nach einer einzelnen Prompt Injection weiterhin Daten exfiltrieren, Genehmigungs-Agenten, die unsichere Aktionen stillschweigend genehmigen, oder Kostenoptimierer, die Backups löschen.
Die Mitigation umfasst strenge Governance, Sandboxing, Verhaltensüberwachung und Kill Switches.
Aikidos Perspektive auf agentische Risiken
Die OWASP Agentic Top 10 basiert auf Vorfällen, die in realen Systemen beobachtet wurden. Der OWASP Tracker enthält bestätigte Fälle von agentenvermittelter Datenexfiltration, RCE, Speichervergiftung und Supply-Chain-Kompromittierung.
Aikidos Forschungsteam hat ähnliche Muster in CI/CD- und Supply-Chain-Untersuchungen festgestellt. Insbesondere:
- Die von Aikido Security entdeckte Schwachstellenklasse PromptPwnd zeigte, wie nicht vertrauenswürdige GitHub-Issue-, Pull-Request- und Commit-Inhalte in Prompts innerhalb von GitHub Actions und GitLab-Workflows injiziert werden können. In Kombination mit überprivilegierten Tools führte dies zu praktischen Exploit-Pfaden.
- KI-gestützte CLI-Tools und -Aktionen zeigten, wie nicht vertrauenswürdige Prompt-Eingaben Befehle beeinflussen können, die mit sensiblen Tokens ausgeführt werden.
- Fehlkonfigurationen in Open-Source-Workflows zeigten, dass Entwickelnde KI-gesteuerter Automatisierung oft mehr Zugriff gewähren als beabsichtigt, manchmal einschließlich schreibfähiger Repository-Tokens.
Diese Ergebnisse überschneiden sich mit ASI01, ASI02, ASI03, ASI04 und ASI05. Sie verdeutlichen, dass agentische Risiken in CI/CD und Automatisierung bereits praktisch relevant sind. Aikido veröffentlicht weiterhin Forschungsergebnisse, während sich diese Muster entwickeln.
Wie Aikido hilft, die umgebende Umgebung zu sichern
Aikidos Plattform konzentriert sich auf die Stärkung der umgebenden Umgebung, damit jede Einführung agentischer Tools auf einer sichereren Grundlage erfolgt.
Was Aikido heute leistet
- Identifiziert unsichere oder übermäßig permissive GitHub- und GitLab-Workflow-Konfigurationen, wie unsichere Trigger oder schreibfähige Tokens. Diese Probleme erhöhen den Blast Radius von PromptPwnd-Angriffen.
- Erkennt geleakte Tokens, offengelegte Secrets und übermäßige Berechtigungen in Repositories.
- Kennzeichnet Supply-Chain-Risiken in Abhängigkeiten, einschließlich anfälliger oder kompromittierter Pakete, die von Tools oder unterstützendem Code verwendet werden.
- Deckt Fehlkonfigurationen in Infrastructure as Code auf, die die Auswirkungen einer Agentenkompromittierung verstärken könnten.
- Bietet Echtzeit-Feedback in der IDE, um häufige Fehlkonfigurationen während der Entwicklung zu verhindern.
Aikidos Ziel ist es, die Sicherheitsposition der Systeme zu verbessern, in denen Agenten operieren, und nicht, eine vollständige agentische Schwachstellenabdeckung zu beanspruchen.
Scannen Sie Ihre Umgebung mit Aikido
Wenn Ihr Engineering-Team agentische Workflows erkundet oder bereits KI für Triage, Automatisierung oder Code-Vorschläge nutzt, ist die Stärkung der umgebenden Umgebung ein wichtiger erster Schritt.
Aikido kann dabei helfen, Fehlkonfigurationen, übermäßige Berechtigungen und Schwachstellen in der Lieferkette zu identifizieren, die sich direkt auf die Sicherheit dieser Workflows auswirken.
Beginnen Sie kostenlos mit einem reinen Lese-Scan oder buchen Sie eine Demo, um zu sehen, wie Aikido dazu beitragen kann, die zugrunde liegenden Risiken in Ihrer agentischen Umgebung zu reduzieren.
