Agentische KI hält Einzug in CI/CD-Pipelines, interne Copiloten, Kundensupport-Workflows und die Automatisierung von Infrastrukturen. Diese Systeme rufen nicht mehr nur ein Modell auf. Sie planen, entscheiden, delegieren und ergreifen Maßnahmen im Namen von Benutzern und anderen Systemen. Dadurch entstehen neue Angriffsflächen, die sich nicht eindeutig auf die traditionelle Anwendungssicherheit oder sogar die OWASP Top 10 abbilden lassen. Um diesem Problem zu begegnen, hat OWASP die OWASP Top 10 Agentic Applications (2026) veröffentlicht, eine fokussierte Liste der Risiken mit den größten Auswirkungen in autonomen, toolbasierten Multi-Agent-Systemen.
Für Teams, die bereits die OWASP Top 10 als Leitfaden für Web- und Sicherheit der Software-Lieferkette verwenden, erweitert die Agentic Top 10 diese Denkweise auf KI-Agenten, Tools, Orchestrierung und Autonomie.
Warum gibt es eine separate OWASP Top 10 Agentic-Systeme?
Die ursprüngliche OWASP Top 10 auf Risiken wie Fehler bei der Zugriffskontrolle, Injektionen und Fehlkonfigurationen. Die Aktualisierung für 2025 wurde um moderne Risiken in der Lieferkette wie bösartige Abhängigkeiten und kompromittierte Build-Pipelines erweitert.
Agentische Anwendungen führen zusätzliche Eigenschaften ein, die die Ausbreitung von Risiken grundlegend verändern:
- Agenten arbeiten in vielen Schritten und Systemen autonom.
- Natürliche Sprache wird zu einer Eingabeoberfläche, die umsetzbare Anweisungen übertragen kann.
- Werkzeuge, Plugins und andere Agenten werden zur Laufzeit dynamisch zusammengestellt.
- Zustand und Speicher werden über Sitzungen, Rollen und Mandanten hinweg wiederverwendet
Als Reaktion darauf führt OWASP in der Liste für 2026 das Konzept der geringsten Handlungsbefugnis ein. Das Prinzip ist einfach: Gewähren Sie Agenten nur die minimale Autonomie, die zur Ausführung sicherer, begrenzter Aufgaben erforderlich ist.
Die OWASP Top 10 Agentic-Anwendungen (2026)
Nachfolgend finden Sie eine praktische Zusammenfassung jeder Kategorie, basierend auf dem OWASP-Dokument, das für Entwickler und Sicherheitsteams verfasst wurde.
ASI01 – Zielentführung durch Agenten
Agent Goal Hijack tritt auf, wenn ein Angreifer die Ziele oder den Entscheidungsweg eines Agenten durch bösartige Textinhalte verändert. Agenten können Anweisungen oft nicht zuverlässig von Daten trennen. Sie können unbeabsichtigte Aktionen ausführen, wenn sie manipulierte E-Mails, PDFs, Besprechungseinladungen, RAG-Dokumente oder Webinhalte verarbeiten.
Beispiele hierfür sind indirekte Prompt-Injektionen, die zum Abfluss interner Daten führen, bösartige Dokumente, die von einem Planungsagenten abgerufen werden, oder Kalendereinladungen, die die Terminplanung oder Priorisierung beeinflussen.
Die Schadensbegrenzung konzentriert sich darauf, Eingaben in natürlicher Sprache als nicht vertrauenswürdig zu behandeln, Prompt-Injektionsfilter anzuwenden, Tool-Berechtigungen zu beschränken und für Zieländerungen oder Maßnahmen mit erheblichen Auswirkungen eine manuelle Genehmigung zu verlangen.
ASI02 – Missbrauch und Ausnutzung von Tools
Tool-Missbrauch tritt auf, wenn ein Agent legitime Tools auf unsichere Weise verwendet. Mehrdeutige Eingabeaufforderungen, Fehlausrichtungen oder manipulierte Eingaben können dazu führen, dass Agenten Tools mit destruktiven Parametern aufrufen oder Tools in unerwarteten Sequenzen miteinander verknüpfen, was zu Datenverlust oder -exfiltration führt.
Beispiele hierfür sind Tools mit übermäßigen Berechtigungen, die in Produktionssysteme schreiben können, vergiftete Tool-Deskriptoren in MCP-Servern oder Shell-Tools, die nicht validierte Befehle ausführen.
Aikido Die PromptPwnd-Forschung Aikido ist ein reales Beispiel für dieses Muster. Nicht vertrauenswürdige GitHub-Issue- oder Pull-Request-Inhalte wurden in Eingabeaufforderungen bestimmter GitHub-Aktionen und GitLab-Workflows eingefügt. In Kombination mit leistungsstarken Tools und Tokens führte dies zur Offenlegung von Geheimnissen oder zu Änderungen am Repository.
Zu den Abhilfemaßnahmen gehören eine strenge Begrenzung der Tool-Berechtigungen, die Ausführung in einer Sandbox, die Validierung von Argumenten und das Hinzufügen von Richtlinienkontrollen zu jedem Tool-Aufruf.
ASI03 – Identitäts- und Privilegienmissbrauch
Agenten übernehmen häufig Benutzer- oder Systemidentitäten, die hochprivilegierte Anmeldedaten, Sitzungstoken und delegierten Zugriff umfassen können. Identitäts- und Privilegienmissbrauch tritt auf, wenn diese Privilegien unbeabsichtigt wiederverwendet, eskaliert oder zwischen Agenten weitergegeben werden.
Beispiele hierfür sind das Zwischenspeichern von SSH-Schlüsseln im Speicher des Agenten, die agentübergreifende Delegierung ohne Bereichsbeschränkung oder Confused-Deputy-Szenarien.
Zu den Abhilfemaßnahmen gehören kurzlebige Anmeldedaten, aufgabenbezogene Berechtigungen, die durch Richtlinien erzwungene Autorisierung jeder Aktion und isolierte Identitäten für Agenten.
ASI04 – Schwachstellen in der agentenbasierten Lieferkette
Agentische Lieferketten umfassen Tools, Plugins, Prompt-Vorlagen, Modelldateien, externe MCP-Server und sogar andere Agenten. Viele dieser Komponenten werden zur Laufzeit dynamisch abgerufen. Jede kompromittierte Komponente kann das Verhalten des Agenten verändern oder Daten offenlegen.
Beispiele hierfür sind bösartige MCP-Server, die sich als vertrauenswürdige Tools ausgeben, vergiftete Prompt-Vorlagen oder anfällige Agenten von Drittanbietern, die in orchestrierten Workflows verwendet werden.
Zu den Abhilfemaßnahmen gehören signierte Manifeste, kuratierte Registrierungen, Dependency Pinning, Sandboxing und Kill Switches für kompromittierte Komponenten.
ASI05 – Unerwartete Codeausführung
Eine unerwartete Codeausführung tritt auf, wenn Agenten Code oder Befehle auf unsichere Weise generieren oder ausführen. Dazu gehören Shell-Befehle, Skripte, Migrationen, die Auswertung von Vorlagen oder die Deserialisierung, die durch generierte Ausgaben ausgelöst wird.
Beispiele hierfür sind Code-Assistenten, die generierte Patches direkt ausführen, Prompt-Injection, die Shell-Befehle auslöst, oder unsichere Deserialisierung in Agentenspeichersystemen.
Die Schadensbegrenzung umfasst die Behandlung von generiertem Code als nicht vertrauenswürdig, die Entfernung der direkten Auswertung, die Verwendung gehärteter Sandboxes und die Anforderung von Vorschauen oder Überprüfungsschritten vor der Ausführung.
ASI06 – Speicher- und Kontextvergiftung
Agenten stützen sich auf Speichersysteme, Einbettungen, RAG-Datenbanken und Zusammenfassungen. Angreifer können diesen Speicher manipulieren, um zukünftige Entscheidungen oder Verhaltensweisen zu beeinflussen.
Beispiele hierfür sind RAG-Poisoning, Cross-Tenant-Context-Leakage und langfristige Abweichungen, die durch wiederholte Exposition gegenüber feindlichen Inhalten verursacht werden.
Zu den Abhilfemaßnahmen gehören die Segmentierung des Speichers, Filterung vor der Erfassung, Herkunftsverfolgung und das Löschen verdächtiger Einträge.
ASI07 – Unsichere Kommunikation zwischen Agenten
Multi-Agent-Systeme tauschen häufig Nachrichten über MCP-, A2A-Kanäle, RPC-Endpunkte oder gemeinsam genutzten Speicher aus. Wenn die Kommunikation nicht authentifiziert, verschlüsselt oder semantisch validiert ist, können Angreifer Anweisungen abfangen oder einschleusen.
Beispiele hierfür sind gefälschte Agentenidentitäten, wiederholte Delegierungsnachrichten oder Manipulationen von Nachrichten auf ungeschützten Kanälen.
Die Risikominderung umfasst gegenseitiges TLS, signierte Nutzdaten, Schutz vor Wiederholungsangriffen und authentifizierte Erkennungsmechanismen.
ASI08 – Kaskadierende Ausfälle
Ein kleiner Fehler in einem Agenten kann sich auf die Planung, Ausführung, den Speicher und nachgelagerte Systeme auswirken. Aufgrund der Vernetzung der Agenten können sich Fehler schnell verstärken.
Beispiele hierfür sind ein fehlerhafter Planer, der mehreren Agenten destruktive Aufgaben zuweist, oder ein fehlerhafter Status, der sich über Bereitstellungs- und Richtlinienagenten ausbreitet.
Zu den Abhilfemaßnahmen gehören Isolationsgrenzen, Ratenbegrenzungen, Schutzschalter und Tests mehrstufiger Pläne vor der Bereitstellung.
ASI09 – Ausnutzung des Vertrauens in menschliche Akteure
Benutzer vertrauen den Empfehlungen oder Erklärungen von Agenten oft zu sehr. Angreifer oder nicht korrekt ausgerichtete Agenten können dieses Vertrauen nutzen, um Entscheidungen zu beeinflussen oder sensible Informationen zu extrahieren.
Beispiele hierfür sind Codierungsassistenten, die subtile Hintertüren einbauen, Finanz-Copiloten, die betrügerische Überweisungen genehmigen, oder Support-Agenten, die Benutzer dazu überreden, ihre Anmeldedaten preiszugeben.
Zu den Abhilfemaßnahmen gehören erzwungene Bestätigungen für sensible Aktionen, unveränderliche Protokolle, klare Risikoindikatoren und die Vermeidung von überzeugender Sprache in kritischen Arbeitsabläufen.
ASI10 – Abtrünnige Agenten
Rogue Agents sind kompromittierte oder fehlgeleitete Agenten, die sich schädlich verhalten, während sie legitim erscheinen. Sie können Aktionen selbstständig wiederholen, über mehrere Sitzungen hinweg bestehen bleiben oder sich als andere Agenten ausgeben.
Beispiele hierfür sind Agenten, die nach einer einzigen Prompt-Injection weiterhin Daten exfiltrieren, Genehmigungsagenten, die unbemerkt unsichere Aktionen genehmigen, oder Kostenoptimierer, die Backups löschen.
Zu den Abhilfemaßnahmen gehören strenge Governance, Sandboxing, Verhaltensüberwachung und Kill Switches.
AikidoSichtweise auf das agentiale Risiko
Die OWASP Agentic Top 10 basiert auf Vorfällen, die in realen Systemen beobachtet wurden. Der OWASP-Tracker umfasst bestätigte Fälle von durch Agenten vermittelter Datenexfiltration, RCE, Memory Poisoning und Kompromittierung der Lieferkette.
Das Forschungsteam Aikidohat ähnliche Muster bei CI/CD- und Lieferkettenuntersuchungen festgestellt. Insbesondere:
- Die von Aikido entdeckte Sicherheitslücke „PromptPwnd“ zeigte, wie nicht vertrauenswürdige GitHub-Issues, Pull-Anfragen und Commit-Inhalte in Prompts innerhalb von GitHub Actions und GitLab-Workflows injiziert werden können. In Kombination mit Tools mit übermäßigen Berechtigungen entstanden dadurch praktische Exploit-Pfade.
- KI-gestützte CLI-Tools und -Aktionen zeigten, wie nicht vertrauenswürdige Eingaben Befehle beeinflussen können, die mit sensiblen Tokens ausgeführt werden.
- Fehlkonfigurationen in Open-Source-Workflows haben gezeigt, dass Entwickler der KI-gesteuerten Automatisierung oft mehr Zugriff gewähren als beabsichtigt, manchmal sogar einschließlich schreibfähiger Repository-Token.
Diese Ergebnisse überschneiden sich mit ASI01, ASI02, ASI03, ASI04 und ASI05. Sie unterstreichen, dass agentische Risiken in CI/CD und Automatisierung bereits in der Praxis auftreten. Aikido veröffentlicht Aikido Forschungsergebnisse, während sich diese Muster weiterentwickeln.
Wie Aikido zur Sicherung der Umgebung Aikido
Die Plattform Aikidokonzentriert sich auf die Stärkung der Umgebung, damit die Einführung von agentenbasierten Tools auf einer sichereren Grundlage erfolgt.
Was Aikido heute Aikido
- Identifiziert unsichere oder zu freizügige GitHub- und GitLab-Workflow-Konfigurationen wie unsichere Trigger oder schreibfähige Tokens. Diese Probleme vergrößern den Wirkungsradius von Angriffen im Stil von PromptPwnd.
- Erkennt ausgelaufene Tokens, offengelegte secrets und übermäßige Berechtigungen in Repositorys.
- Kennzeichnet Risiken in der Lieferkette in Abhängigkeiten, einschließlich anfälliger oder kompromittierter Pakete, die von Tools oder unterstützendem Code verwendet werden.
- Oberflächenfehler in der Infrastruktur als Code, die die Auswirkungen einer Kompromittierung durch einen Agenten verstärken könnten.
- Bietet Echtzeit-Feedback in der IDE, um häufige Fehlkonfigurationen während der Entwicklung zu vermeiden.
Das Ziel Aikidoist es, die Sicherheitslage der Systeme, in denen Agenten operieren, zu verbessern, und nicht, vollständige Abdeckung der Agenten-Schwachstellen zu gewährleisten.
Scannen Sie Ihre Umgebung mit Aikido
Wenn Ihr Engineering-Team agentenbasierte Workflows untersucht oder bereits KI für triage, Automatisierung oder Code-Vorschläge einsetzt, ist die Stärkung der Umgebung ein wichtiger erster Schritt.
Aikido dabei helfen, Fehlkonfigurationen, übermäßige Berechtigungen und Schwachstellen in der Lieferkette zu identifizieren, die sich direkt auf die Sicherheit dieser Workflows auswirken.
Starten Sie kostenlos mit einem schreibgeschützten Scan oder buchen Sie eine Demo, um zu sehen, wie Aikido dazu beitragen Aikido , die zugrunde liegenden Risiken zu reduzieren, die Ihre agentenbasierte Umgebung prägen.
Sichern Sie Ihre Software jetzt.
.avif)
