Agentische KI

Agentische KI bezeichnet KI-Systeme, die nicht nur eine Frage beantworten, sondern ein Ziel über viele Schritte hinweg mit wenig menschlichem Eingreifen verfolgen: Sie entscheiden, was als Nächstes zu tun ist, führen eine Aktion aus, beobachten das Ergebnis und wiederholen den Ablauf, bis sie fertig sind. Wo ein Chatbot einen Prompt auf eine Antwort abbildet, plant ein Agent, nutzt Werkzeuge, hält Speicher und erholt sich selbstständig von Fehlern. Dieser Wechsel vom "Antworten" zum "Handeln" ist die wichtigste Idee der heutigen KI-Sicherheit, und sie betrifft jeden, der heute in der Cybersicherheit arbeitet.

Wie agentische KI funktioniert

Ein agentisches System besteht aus mehreren Bausteinen. Ein Sprachmodell liefert das Denken, eine Reihe von Werkzeugen erlaubt ihm, die Außenwelt zu berühren (einen Befehl ausführen, eine API abfragen, eine Datei lesen), ein Speicher erlaubt ihm, Kontext zwischen den Schritten mitzunehmen, und eine Steuerschleife spricht das Modell mit jedem neuen Ergebnis erneut an. Diese umgebende Maschinerie heißt agentisches Scaffolding, und sie verwandelt Textvorhersagen in reale Aktionen.

Die Schleife ist einfach, aber wirkungsvoll: Der Agent zerlegt ein Ziel in Teilaufgaben, wählt die nächste Aktion, führt sie aus, liest das Ergebnis und aktualisiert seinen Plan. Weil er verzweigen und erneut versuchen kann, erledigt ein Agent Arbeitsabläufe, die ein einzelner Prompt nie erreichen würde.

Warum agentisches Scaffolding für die Sicherheit zählt

Das Scaffolding, nicht das Modell allein, ist der Ort, an dem die Sicherheitsfrage entschieden wird, denn das Scaffolding verleiht die Macht zum Handeln. Ein Modell, das nur Text schreibt, bleibt begrenzt; dasselbe Modell, verbunden mit einem Terminal, einem Netzwerk und einem Anmeldedaten-Speicher, kann realen Schaden anrichten. Genau deshalb ist es für Verteidiger unverzichtbar geworden, das Verhalten von Agenten auf Frameworks wie MITRE ATT&CK abzubilden und es über Threat Intelligence zu verfolgen.

Das deutlichste Beispiel ist der Fall GTG-1002. Berichte darüber, wie Angreifer beginnen, Agenten zu Waffen zu machen, festgehalten in unserer Analyse dazu, wie Hacker KI nutzen, beschreiben eine Operation, die Claude Code mit einer Kali-Linux-Maschine verband und seine offensiven Werkzeuge als MCP-Server bereitstellte, sodass der Agent bei Aufklärung, Ausnutzung und lateraler Bewegung weitgehend eigenständig handelte. Dieser Aufbau erreichte das maximal bewertete Risiko von 100, nicht weil das zugrunde liegende Modell besonders mächtig war, sondern weil das Scaffolding den Menschen aus fast jedem Schritt entfernt hatte.

Verteidigung in einer agentischen Welt

Dieselben Fähigkeiten, die Agenten für Verteidiger gefährlich machen, machen sie auch für die Verteidigung nützlich: Agenten können Alarme sortieren, Threat Intelligence anreichern und Angriffe in Maschinengeschwindigkeit nachstellen. Das Ziel ist nicht, Autonomie zu verbieten, sondern sie einzugrenzen. Beschränke jedes Werkzeug eng, gib dem Agenten Anmeldedaten mit minimalen Rechten, protokolliere jede Aktion, die er ausführt, und verlange menschliche Freigabe vor allem Unumkehrbaren.

Agentische KI ist kein zukünftiges Risiko, sie ist die heutige Form von Angriff und Verteidigung zugleich. Die Teams, die das Scaffolding verstehen und bewusst entscheiden, wo ein Mensch in der Schleife bleiben muss, sind diejenigen, die die Kontrolle behalten, während Agenten immer mehr Arbeit übernehmen.