Agentische KI bezeichnet Systeme, die autonom Ziele verfolgen und dabei nicht nur einzelne Anfragen beantworten, sondern eigenständig Handlungen planen, priorisieren und ausführen können. Im Unterschied zu klassischen KI-Modellen, die reaktiv auf Eingaben reagieren, sollen agentische Systeme handlungsfähig sein.

Diese Autonomie vergrößert jedoch die Angriffsfläche erheblich. Zu den klassischen KI-Risiken zählen Desinformation, verzerrte oder bösartige Ausgaben sowie Datenlecks. Agentische KI fügt eine entscheidende Dimension hinzu: Ausführungsfähigkeit. Wenn solche Systeme beispielsweise in Finanzsysteme, Code-Repositorien, Cloud-Plattformen, kritische Infrastrukturen, militärische Umgebungen oder Messaging-Anwendungen eingebettet sind, kann ein kompromittierter Agent ernsthaften Schaden auch mit physischen Folgen verursachen. Ein Agent kann Code ausrollen, Konfigurationen verändern, Dienste stören, Daten exfiltrieren oder Transaktionen initiieren, und zwar unauffällig und in großem Maßstab.

Bei klassischen KI-Systemen betrifft eine Manipulation typischerweise die aktuelle Datenverarbeitung: Eine kompromittierte Gesichtserkennung liefert falsche Ergebnisse, ein manipuliertes Intrusion-Detection-Modell übersieht Angriffe. Ein agentisches System hingegen ist selbst ein Akteur im digitalen Raum. Wird ein solcher Agent kompromittiert, kann er eigenständig handeln, etwa indem ein kompromittierter Kalender-Agent für koordinierte Phishing-Kampagnen missbraucht wird oder automatisiert Webseiten Dritter angreift. Die Kompromittierung betrifft damit nicht nur die Integrität eines Modells, sondern schafft einen neuen, autonomen Angriffsknoten im Netzwerk.

Die Manipulation des Kontexts oder des Langzeitspeichers eines Agenten kann dazu führen, dass er adversarialen Zielen folgt, während er nach außen hin regelkonform erscheint. Jedes angebundene Werkzeug oder jede API erhöht das Risiko. Persistenter Speicher verschärft das Problem zusätzlich: Halluzinierte Inhalte können als „Fakten“ gespeichert werden und zukünftige Entscheidungen verfälschen, während eingeschleuste Angriffsinstruktionen im System verbleiben und später aktiviert werden können.

Autonome Code-Generierung und -Ausführung verstärken klassische Software-Schwachstellen. Agenten könnten bei der Ausführung ihrer Aufgaben die vorgegebenen Ziele höher gewichten als Stabilität und Sicherheit. Zur Laufzeit generierter Code kann schwerwiegende Sicherheitslücken enthalten, die sich aufgrund maschineller Geschwindigkeit rasch verbreiten. In Multi-Agenten-Umgebungen können komplexe Interaktionen neu entstehende Verhaltensmuster, Kaskadeneffekte oder adversariale Rückkopplungsschleifen hervorrufen, die nur schwer vorhersehbar oder kontrollierbar sind.

Gleichzeitig kann agentische KI, wenn sie verantwortungsvoll entwickelt wird, die Verteidigung signifikant stärken. Ein oft genanntes Szenario aus der industriellen IoT-Sicherheit lautet: Was passiert, wenn ein Alarm ausgelöst wird, während der Administrator schläft? Agentische KI ermöglicht es nicht nur, Angriffe in Echtzeit zu erkennen, sondern auch unmittelbar Gegenmaßnahmen einzuleiten. Ein Sicherheitsagent kann automatisiert Ports schließen, verwundbare Dienste isolieren oder abschalten und kompromittierte Systeme in Quarantäne versetzen. Dadurch entsteht eine aktive, adaptive Verteidigungsschicht, die auf maschineller Geschwindigkeit operiert und die Zeitspanne zwischen Erkennung und Reaktion drastisch reduziert.

Diese Dual-Use-Dynamik macht Security-by-Design zwingend erforderlich. Striktes Privilegienmanagement, starke Isolation und klar definierte operative Grenzen sind essenziell, insbesondere in sicherheitskritischen Bereichen.

Die Zukunft von agentischer KI hängt daher von resilienten Architekturen ab. Authentifizierung, Autorisierung, Protokollierung und Isolation müssen grundlegende Bestandteile sein. Die Durchsetzung des Least-Privilege-Prinzips, Sandboxing, transparente Logging-Mechanismen und Laufzeitüberwachung sind unverzichtbar. Hardware-basierte Vertrauensanker und kryptographische Attestierung können die Integrität der Ausführung zusätzlich absichern.

Allerdings begünstigt die derzeitige Marktlage häufig Werkzeuge, die hohe Autonomie priorisieren, oft auf Kosten der Sicherheit. In einigen Frameworks erhalten Agenten weitreichende Privilegien, darunter Root-Zugriff auf Workstations, E-Mail-Konten oder sogar Kryptowallets, um maximale Funktionalität bei minimaler Nutzerinteraktion zu ermöglichen.

Agentische KI verkörpert den Übergang von reaktiven Werkzeugen zu proaktiven Akteuren. Ihr Potenzial ist transformativ, ebenso wie ihre Risiken. Vertrauenswürdigkeit muss mit der Autonomie skalieren. Die Zukunft wird nicht den leistungsfähigsten, sondern den sichersten und verantwortungsvollsten Agenten gehören. Letztlich sollte verhindert werden, dass agentische KI zu einer dystopischen KI mutiert.

März 2026