OWASP veröffentlicht KI-Sicherheitsbericht mit neuen Werkzeugen für Sicherheitsexperten

In traditionellen Umgebungen konnten Sicherheitsversagen (Systeme, die eigenmächtig schädliches Verhalten zeigen) und Sicherheitsversagen (feindliche Ausnutzung) übernommen werden; bei agenter KI wird diese Grenze auf der Bereitstellungsebene zusammengebrochen.

Wenn ein Agent autonom APIs aufrufen, Code ändern und Produktionsdaten bearbeiten kann, wird dieselbe zu übertrieben permissive Designentscheidung sowohl zu einem Sicherheitsrisiko als auch zu einer Schwachstelle. Der OWASP Security Report mit neuen Tools.

Statt diese beiden Ausfallarten über getrennte Risikotaxonomien und Eskalationspfade zu leiten, müssen Governance, Überwachung und Incident-Response für beide Szenarien integriert werden.

Technik und Auswirkungen

Der Bericht führt eine detaillierte Taxonomie für agentenbasierte Systeme ein, die diese nach ihrer operativen Rolle – wie Unternehmens-, Programmier-, Kunden-, Personal- und Infrastruktur/Operations-Rolle – klassifiziert.

Zudem werden sie nach Implementierungs- und Kompositions-Mustern eingeteilt, einschließlich Orchestrierungsrahmen, Low-Code-Plattformen, Single-Agent-Systeme, Multi-Agent-Systeme, verteilte Ketten und Agenten-Spawning-Architekturen.

Autonomie wird als eine durchgängige Dimension betrachtet: Überwachte, halb-autonome und voll-autonome Agenten weisen deutlich unterschiedliche Schadensradien auf, insbesondere wenn sie mit persistenter Speicherfähigkeit und weitreichenden Tool-Berechtigungen kombiniert werden.

Technik und Auswirkungen

Die OWASP rät Organisationen, die Ebenen der Agentenautonomie explizit abzubilden und für hoch-autonome Bereitstellungen Schutzeinrichtungen, Kill-Switches sowie deterministische Durchsetzungsmöglichkeiten zu implementieren.

Der Bericht stützt seine Leitlinien zudem auf eine Ökosystem-Erhebung hochdynamischer Agentenprojekte und hebt hervor, Sicherheitsteams ihre Überwachungs- und Beratungstracking-Aktivitäten konzentrieren sollten.

Gravitas, mit etwa 183.000 Sternen, wird als voll-autonomes Framework/Plattform zitiert, das autonome-Agenten-Loops eingeführt hat und mittlerweile über 430 Mitwirkende zählt. n8n, ebenfalls mit rund 183.000 Sternen, ist eine halb-autonome Enterprise-Orchestrierungsplattform mit sechs Jahren produktionsreifer Entwicklung und mehr als 570 Releases, die kürzlich für agentische Workflows angepasst wurde.

Sicherheitslage und Risiko

Dify, mit etwa 137.000 Sternen und 462 Mitwirkenden, zeichnet sich durch eine der höchsten Pull-Request-Volumina aus, was auf schnelle Iterationen und potenzielle Schwankungen der Angriffsfläche hindeutet.

Bereich der Coding-Agenten wird Claude Code (Anthropic) als halb-autonomer Coding-Agent mit rund 110.000 Sternen beschrieben, der etwa eine Release pro Tag veröffentlicht und bereits mit 22 veröffentlichten CVEs Verbindung steht, wodurch er das am schnellsten wachsende CLI Datensatz ist.

Das Gemini CLI, mit etwa 100.000 Sternen, 445 Mitwirkenden und 676 neuen Issues in einem 90-Tage-Fenster, zeigt eine ähnliche Beschleunigung bei der Entwickleradoption und dem Druck der Schwachstellenentdeckung.

Technischer Hintergrund

Infrastruktur- und Operations-Agenten wie browser-use (rund 80.000 Sterne, vollautonome Browserautomatisierung mit extrem hoher Commit-Dichte) und Skyvern (etwa 18.000 Sterne, vollautonom mit einer PR-Merge-Rate von 77 %) repräsentieren Hochrisikokategorien, in denen Agenten direkt Browser, Cloud- und CI/CD-Umgebungen integriert werden.

Das Ökosystem umfasst zudem halbautonome Codierungs- und Editor-Tools wie Zed (ca. 79.000 Sterne, nativ Rust geschrieben, mit über 1.000 verfolgten Releases und mehreren Sicherheitswarnungen), OpenHands (ca. 71.000 Sterne, vollautonomer Codierungsagent mit einer der aktivsten Pull-Request-Pipelines), Cline (ca.

62.000 Sterne, halbautonom, 11 veröffentlichte CVEs und über 1.000 Zeitraum öffnete Pull-Requests), crewAI (ca. 48.000 Sterne als halbautonomes Framework mit einem Commit-Wachstum von 126 %) sowie Aider (ca. 38.000 Sterne, halbautonom mit einem steigenden Commit-Trend von 21 % und einer wachsenden Beiträgerbasis). Persönliche Agenten wie AgentSeek (ca.

Technik und Auswirkungen

15.000 Sterne, überwacht, mit einem Commit-Wachstum von 67 % über ) verdeutlichen, wie „Shadow AI" über Benutzergeräte Unternehmen eindringen und traditionelle Governance-Mechanismen umgehen. Für Verteidiger lautet die Botschaft, agentic AI als eigenständigen Sicherheitsbereich zu betrachten.

Inventaragenten in diesem Ökosystem verfolgen Warnungen und CVEs bei Hochgeschwindigkeitsprojekten und passen Bereitstellungen an OWASP Top 10 für Agentic Security sowie sein neues Governance-Reifegradmodell an.

Da autonome Agenten nun Produktionsinfrastrukturen betreffen, müssen Sicherheitsprogramme Laufzeitüberwachung und Lieferkettenprovenienz für KI-Komponenten übergehen. Starke nicht-menschliche Identitätskontrollen vor Angreifern und Fehlverhalten äche. Abi ist Security Editor und Reporterin bei