Während sich künstliche Intelligenz von der reinen Textgenerierung zu Agenten mit Fähigkeiten zur Werkzeugnutzung, Speicherspeicherung und mehrstufiger Planung entwickelt hat, haben sich ihre Sicherheitsrisiken grundlegend gewandelt. Das traditionelle Verteidigungssystem gegen Prompt-Injection bei großen Sprachmodellen kann die komplexeren Angriffsvektoren, die durch Agenten entstehen, nicht mehr wirksam bewältigen. Ein Bericht aus dem Jahr 2026 weist darauf hin, dass fast 98 % der Sicherheitsexperten einem gravierenden Konflikt zwischen der beschleunigten Einführung von Agenten und der Einhaltung von Compliance-Vorgaben gegenüberstehen. Der Einsatz von Agenten führt vier neue Angriffsdimensionen ein: die Prompt-Ebene, die Tool-Ebene, die Memory-Ebene und das Planning-Feedback-Routing. Auf der Prompt-Ebene besteht das Risiko in indirekten Injektionen – Angreifer manipulieren externe Dokumente oder Webinhalte, um den Agenten dazu zu verleiten, bösartige Anweisungen als vertrauenswürdige Kontexte zu interpretieren. Die Tool-Ebene betrifft Missbrauchsberechtigungen; hier können Angreifer über Parameterinjektionen steuern, wie etwa Datenbank-Schreibvorgänge auf hochriskante Weise auszuführen. Risiken auf der Memory-Ebene manifestieren sich als „Poisoning", also die Manipulation persistenter Gedächtnisdaten, wodurch der Agent in nachfolgenden Sitzungen schädliche Entscheidungen basierend auf falschen Informationen trifft. Das Planning-Feedback-Routing ist am tödlichsten: Sobald die Inferenzlogik des Agents vom ursprünglichen Ziel abgelenkt wird, verbreiten sich Fehler schnell innerhalb einer Multi-Agenten-Architektur und lösen massive Kaskadeneffekte aus. Bestehende verteidigungsmechanismen auf Modellebene erweisen sich im praktischen Einsatz als anfällig; Studien zeigen, dass Feintuning-Angriffe bestimmte Sicherheitsfilter leicht umgehen können. Daher muss eine tiefgestaffelte Verteidigung auf Systemebene implementiert werden. Allerdings existiert oft ein Spannungsfeld zwischen Sicherheitsmaßnahmen und der Autonomiefähigkeit von Agenten: Übermäßige Einschränkungen schwächen die Leistungsfähigkeit, beispielsweise verringert eine Sandbox-Umgebung die Funktionsverfügbarkeit, während manuelle Genehmigungen die Reaktionsverzögerung erhöhen. Effektive Sicherheitsstrategien müssen entsprechend des Implementierungsrisikos maßgeschneidert sein, wobei Szenarien mit hoher Auswirkung priorisiert geschützt werden sollten. Dazu gehören der Einsatz unabhängiger Governance-Tools für Agenten, die Durchsetzung des Prinzips der geringsten Rechte sowie die Einrichtung eines Observability-Monitorings, das speziell auf den Inferenzprozess ausgerichtet ist. Die Sicherheit von Agenten stellt keine binäre Ja/Nein-Frage dar, sondern einen kontinuierlichen Balanceakt zwischen Fähigkeit und Risiko. Organisationen, die vor dem Aufbau agentengestützter Anwendungen sicherstellen wollen, müssen Angriffspfade frühzeitig kartieren und Schutzmechanismen bereits in das Architekturdesign integrieren, anstatt erst nach Eintritt eines Vorfalls nachträglich Korrekturen vorzunehmen.