Was ist Prompt Security? Ein Leitfaden zur Sicherung von KI-Anweisungen 

Prompt-Sicherheit ist, vereinfacht ausgedrückt, das KI-Äquivalent zur Anwendungssicherheit bei herkömmlicher software. So wie die Anwendungssicherheit kompilierte Programme vor Missbrauch schützt, schützt die Prompt-Sicherheit die in natürlicher Sprache verfassten Programme, die das Verhalten von Agenten steuern. Ohne sie verfügen Unternehmen über keinen zuverlässigen Mechanismus, um zu überprüfen, ob die Anweisungen, denen ein Agent folgt, legitim sind. 

Warum KI-Prompts Sicherheit benötigen 

Die KI-Branche hat eine entscheidende Schwelle überschritten. Eine Eingabeaufforderung ist nicht mehr nur eine einfache Dialogzeile, sondern eine Anweisung zur Ausführung einer Aufgabe. Es handelt sich um ein nicht-deterministisches Programm in natürlicher Sprache. Dieser Wandel vondialogorientierter KIhin zuagentenbasierter KIverändert die Sicherheitsüberlegungen grundlegend. 

Wenn ein Chatbot eine Antwort „aus der Luft greift“, hat dies Unannehmlichkeiten zur Folge – zumindest für einen kritischen Nutzer. Ein solcher Nutzer liest die falschen Informationen, erkennt den Fehler und macht weiter. Wenn ein autonomer Agent auf der Grundlage einer kompromittierten Anweisung handelt, sind die Folgen gravierend: unbefugte Datenbankabfragen, fehlerhafte Finanztransaktionen, Fehlkonfigurationen der Infrastruktur oder die Offenlegung sensibler Daten. Dies sind keine hypothetischen Szenarien. Sie spiegeln die operative Realität beim Einsatz von KI-Agenten ohne Sicherheitskontrollen auf Anweisungsebene wider. 

Die Folgewirkungen summieren sich rasch. Eine einzige unberechtigte Aktion eines Agenten kann zu Dienstausfällen, Verstößen gegen gesetzliche Vorschriften, einem Vertrauensverlust bei den Verbrauchern und nicht bestandenen Compliance-Prüfungen führen. Unternehmen, die die sofortige Sicherheit als Nebensache betrachten, sind denselben Risiken ausgesetzt wie jene, die früher die Anwendungssicherheit bei Webanwendungen in der Produktion vernachlässigt haben. 

Diese neue Bedrohungslandschaft erfordert einen eigenen Sicherheitsansatz. Prompt Security bietet die Rahmenbedingungen, Kontrollmechanismen und Architekturmuster, die erforderlich sind, um sicherzustellen, dass KI-Agenten innerhalb der festgelegten Grenzen operieren. Um genauer zu verstehen, wie Angreifer diese Grenzen ausnutzen, lesen Sie, wie Schwachstellen bei der Prompt-Injektion das Verhalten von Agenten untergraben. 

Das Problem der Richtlinienautorisierung 

Bevor ein KI-Agent eine Anweisung ausführt, müssen fünf Fragen beantwortet werden. Wird auch nur eine davon nicht berücksichtigt, entsteht eine Sicherheitslücke, die ausgenutzt werden kann. 

1. Authentizität 

Wer hat diese Anweisung erteilt?
Ein Agent muss überprüfen können, ob eine Anweisung von einer bekannten, vertrauenswürdigen Quelle stammt. Ohne kryptografischen Nachweis der Urheberschaft kann ein Agent nicht zwischen einer Anweisung eines autorisierten Administrators und einer von einem Angreifer eingeschleusten Anweisung unterscheiden. 

2. Integrität 

Wurde diese Anweisung verändert?
Selbst wenn eine Anweisung zum Zeitpunkt ihrer Erstellung authentisch war, kann sie während der Übertragung verändert worden sein. Die Integritätsprüfung stellt sicher, dass die Anweisung, die ein Agent erhält, mit der ursprünglich gesendeten Anweisung identisch ist. Jede Änderung, sei es ein einzelnes Wort oder eine angehängte Anweisung, muss erkennbar sein. 

3. Genehmigung 

Ist der Aussteller berechtigt, diese Maßnahme zu beantragen?
Die Authentifizierung bestätigt die Identität; die Autorisierung bestätigt den Umfang. Ein verifizierter Benutzer kann zwar für die Interaktion mit einem Agenten authentifiziert sein, ist jedoch nicht autorisiert, diesen anzuweisen, auf Finanzdaten zuzugreifen, die Infrastruktur zu ändern oder Genehmigungsworkflows zu umgehen. 

4. Pünktlichkeit 

Ist diese Anweisung aktuell?
Eine vor wenigen Sekunden ausgegebene gültige Anweisung kann jetzt bereits gefährlich sein oder jederzeit gefährlich werden, wenn sie zweimal ausgeführt wird. Bei Replay-Angriffen werden zuvor legitime Anweisungen zu unberechtigten Zeitpunkten erneut übermittelt. Zeitliche Kontrollen wie die Durchsetzung von Zeitstempeln und die Nonce-Validierung stellen sicher, dass Anweisungen nur innerhalb ihres vorgesehenen Gültigkeitszeitraums ausgeführt werden. 

5. Semantische Sicherheit 

Liegt der Inhalt dieser Anweisung innerhalb der erwarteten Verhaltensgrenzen?
Selbst eine authentische, unveränderte, autorisierte und zeitnahe Anweisung kann Anweisungen enthalten, die gegen die Unternehmensrichtlinien verstoßen. Die semantische Analyse bewertet die Absicht und den Umfang einer Anweisung anhand definierter Verhaltensbeschränkungen. 

Es gibt keinen einzelnen Mechanismus, der alle fünf Fragen beantwortet. Eine wirksame Sofort-Sicherheit erfordert die Kombination sich ergänzender Kontrollmaßnahmen, sodass jede Frage durch mindestens einen Kontrollpunkt abgedeckt wird. Kryptografische Signaturen gewährleisten Authentizität und Integrität. Zugriffskontrollrichtlinien regeln die Autorisierung. Die Durchsetzung von Zeitstempeln gewährleistet die Aktualität. Die semantische Analyse regelt Verhaltensgrenzen. Die Architektur muss all diese Aspekte vereinen. 

Die Bedeutung einer zeitnahen Sicherheitsreaktion 

Die OWASP Top 10 für Agentenanwendungen (2026) stuftdas „Agent Goal Hijacking“ –dasin direktem Zusammenhang mit der Sicherheit von Befehlszeilen steht – als das größte Risiko ein. Ein Goal Hijacking liegt vor, wenn ein Angreifer die Anweisungen eines Agenten manipuliert, um dessen vorgesehene Ziele zu überschreiben, wodurch der Agent faktisch zu einem Werkzeug für unbefugte Handlungen wird. 

Dies ist kein Einzelfall. Mehrere Einträge in den OWASP Top 10 stehen in direktem Zusammenhang mit der Einhaltung von Sicherheitsvorschriften: 

• ASI01, Entführung von Agenten-Zielen:
  Das größte Risiko. Angreifer manipulieren das Verhalten des Agenten durch kompromittierte Anweisungen, ändern dessen Ziele und Pläne und beeinflussen so dessen Entscheidungsfindung. 

• ASI02, Missbrauch von Tools:
  Agenten rufen Tools außerhalb ihres vorgesehenen Anwendungsbereichs auf, da die Grenzen der Direktiven nicht durchgesetzt wurden. 

• ASI05: Unerwarteter Code ASI05, Codeausführung (RCE):
  Ein Sicherheitsfehler in der Eingabeaufforderung eskaliert zu einer Codeausführung, wenn von Agenten generierter oder ausgelöster Code ohne ausreichende Validierung ausgeführt wird. 

• ASI06, Speicher- und Kontextvergiftung:
  Angreifer verfälschen den Langzeitkontext, auf den sich zukünftige Eingabeaufforderungen stützen, und üben so über mehrere Sitzungen hinweg einen anhaltenden Einfluss auf das logische Denken, die Planung und den Einsatz von Werkzeugen aus. 

• ASI08, Kettenausfälle:
  Ein erfolgreicher Prompt-Angriff auf einen Agenten kann sich auf abhängige Agenten, Tools, Workflows usw. ausbreiten und so eine lokal begrenzte Prompt-Sicherheitslücke zu einem systemweiten Ausfall ausweiten. 

Jedes dieser Risiken lässt sich auf einen Fehler bei der Autorisierung von Anweisungen zurückführen. Wenn Organisationen nicht überprüfen können, wer eine Anweisung erteilt hat, ob diese geändert wurde oder ob der Erteiler befugt war, diese Anweisung zu erteilen, werden die Mitarbeiter zu Angriffsflächen. 

Für Sicherheitsteams, die ihre Sicherheitsrisiken bewerten, ist es unerlässlich zu verstehen,wie Prompt-Injection-Angriffe diese Schwachstellen ausnutzen. Ebenso wichtig ist die Umsetzungpraktischer Gegenmaßnahmen gegen Prompt-Injection, die diese Risiken auf architektonischer Ebene angehen. 

Prompt Security im Vergleich zur herkömmlichen Anwendungssicherheit 

Die Parallele zwischen der Sicherheit von Prompts und der Sicherheit herkömmlicher Anwendungen ist offensichtlich. Während herkömmliche Anwendungen deterministische Programme sind, die in Sprachen wie Java oder C++ geschrieben sind, ist ein Agent-Prompt im Zeitalter der agentenbasierten KI ein nicht-deterministisches Programm, das in natürlicher Sprache verfasst ist. Es gelten dieselben Sicherheitsprinzipien; die Durchsetzungsmechanismen müssen sich jedoch anpassen. 

Sicherheitsexperten wissen bereits, welche Bereiche geschützt werden müssen. Prompt erstellt für jeden einzelnen davon Sicherheitspläne. 

Angriffsflächen 

Herkömmliche Anwendungen schützen vor SQL-Injection, Cross-Site-Scripting und Pufferüberläufen. KI-Agenten sind hingegen mit Prompt-Injection, Kontextmanipulation und Verstößen gegen Direktivengrenzen konfrontiert. In beiden Fällen besteht das Kernproblem darin, dass nicht vertrauenswürdige Eingaben ohne ausreichende Validierung in eine Ausführungsumgebung gelangen. 

Identität und Zugriff 

Authentifizierung, Autorisierung, Sitzungsverwaltung und die Ausweitung von Berechtigungen bilden die Grundlage beider Disziplinen. Ein KI-Agent, der die Identität des Absenders einer Anweisung nicht überprüfen kann, ist vergleichbar mit einer Webanwendung, die nicht authentifizierte Anfragen akzeptiert. 

Datenschutz 

Die Validierung von Ein- und Ausgabedaten, der unbefugte Datenzugriff und die Verwaltung vertraulicher Informationen gelten gleichermaßen für Agenten, die Anweisungen in natürlicher Sprache verarbeiten. Ein Agent, der Systemaufforderungen oder interne Tool-Konfigurationen preisgibt, ist dem gleichen Risiko der Datenpreisgabe ausgesetzt wie eine Anwendung, die Datenbankzugangsdaten preisgibt. 

Lieferkette 

Vertrauen in Abhängigkeiten, die Integrität von Plugins von Drittanbietern und die Überprüfung der Quelle sind in beiden Bereichen von entscheidender Bedeutung. Ein Agent, der Tools oder Direktiven aus nicht verifizierten Quellen lädt, übernimmt alle Schwachstellen, die diese Quellen mit sich bringen. 

Erkennung und Nachvollziehbarkeit 

Anomalieerkennung, Protokollierung, Prüfpfade, Transparenz und Tests bilden die Erkennungsschicht sowohl in der herkömmlichen als auch in der KI-basierten Sicherheit. Ohne eine umfassende Protokollierung der empfangenen Anweisungen, der durchgeführten Maßnahmen und der erzielten Ergebnisse ist eine Untersuchung von Vorfällen unmöglich. 

Betrieb 

Maßnahmen zur Reaktion auf Vorfälle, die Begrenzung des Schadensumfangs und die Möglichkeit menschlicher Eingriffe sind operative Anforderungen, unabhängig davon, ob es sich bei dem zu schützenden System um einen containerisierten Microservice oder einen autonomen Agenten handelt. 

Was die Sicherheit von Eingabeaufforderungen erschwert, ist die grundlegende Natur der Eingaben. Die herkömmliche Eingabevalidierung stützt sich auf deterministischen Musterabgleich: WAFs, reguläre Ausdrücke und Schemavalidierung. Natürliche Sprache ist von Natur aus mehrdeutig. Ein und dieselbe Anweisung kann auf unzählige Arten ausgedrückt werden, und böswillige Eingabeaufforderungen sind speziell darauf ausgelegt, syntaktische Filter zu umgehen. Diese Mehrdeutigkeit bedeutet, dass Kontrollen auf Perimeterebene allein nicht ausreichen. Die Sicherheit von Eingabeaufforderungen erfordert mehrschichtige Verteidigungsarchitekturen, die kryptografische, richtlinienbasierte und semantische Kontrollen kombinieren. 

Das mehrschichtige Sicherheitsmodell für KI-Prompts 

Wirksame und zeitnahe Sicherheit lässt sich nicht auf ein einzelnes Produkt oder eine einzelne Technik reduzieren. Es handelt sich vielmehr um ein Architekturmodell mit fünf unterschiedlichen Schichten, die sich gegenseitig ergänzen. 

Ebene 1: Kryptografische Vertrauensbasis 

Die Basisschicht sorgt für die Überprüfung von Signaturen und die Durchsetzung von Zeitstempeln. Jede Anweisung wird von ihrem Aussteller kryptografisch signiert und vor der Ausführung vom empfangenden Agenten überprüft. Die Durchsetzung von Zeitstempeln verhindert Replay-Angriffe, indem jede Anweisung an ein bestimmtes Gültigkeitsfenster gebunden wird. 

Diese Ebene ist nicht nur eine Option unter vielen. Sie bildet das Fundament, das jede darüberliegende Ebene vertrauenswürdig macht. Betrachten Sie den Unterschied: Die semantische Analyse einer nicht signierten Richtlinie liefert Schlussfolgerungen über Inhalte unbekannter Herkunft. Die Analyse mag zwar korrekt sein, doch die Organisation hat keine Grundlage, um der Herkunft der Richtlinie zu vertrauen. Die semantische Analyse einer signierten Richtlinie ermöglicht es hingegen, deren Schlussfolgerungen mit Zuversicht zu interpretieren, da die Urheberschaft und Integrität der Richtlinie bereits gesichert sind. 

Ebene 2: Durchsetzung des Autorisierungsumfangs 

Sobald das kryptografische Vertrauen hergestellt ist, legt die Autorisierungsebene rollenbasierte Beschränkungen fest, welche Aufgaben ein verifizierter Aussteller einem Agenten anweisen darf. Eine signierte Anweisung eines authentifizierten Benutzers muss weiterhin autorisiert werden. Einem Techniker kann es beispielsweise gestattet sein, einen Agenten anzuweisen, Überwachungs-Dashboards abzufragen, nicht jedoch, die Produktionsinfrastruktur zu ändern. 

Ebene 3: Semantische Analyse 

KI-gestützte Gatekeeper analysieren den Inhalt und die Absicht verifizierter, autorisierter Anweisungen. Diese Ebene erkennt ungewöhnliche Muster, Richtlinienverstöße und Verhaltensabweichungen, die durch kryptografische und Autorisierungsprüfungen nicht erfasst werden können. So kann beispielsweise eine Anweisung, die authentisch und unverändert ist und sich im Autorisierungsbereich des Ausstellers befindet, aber zu einer ungewöhnlichen Uhrzeit ein ungewöhnlich hohes Datenübertragungsvolumen anfordert, eine zusätzliche Überprüfung rechtfertigen. 

Ebene 4: Menschliche Aufsicht 

Vorgänge mit hohem Risiko erfordern Workflows zur manuellen Genehmigung. Diese Ebene legt Schwellenwerte fest, die sich nach der Schwere der Maßnahme, der Sensibilität der Daten oder den finanziellen Auswirkungen richten. Wenn ein Vorgang die festgelegten Risikoparameter überschreitet, wird die Ausführung angehalten, bis ein menschlicher Prüfer die Maßnahme ausdrücklich genehmigt. 

Ebene 5: Lebenszyklusmanagement und Überwachung 

Die oberste Ebene befasst sich mit den laufenden betrieblichen Anforderungen an eine zeitnahe Sicherheit: Verwaltung des Zertifikatslebenszyklus, Rotation der Signaturschlüssel, Überprüfung auf Sperrungen, Aktualisierung der CA-Vertrauensstellungen sowie kontinuierliche Überwachung. Sicherheit ist keine einmalige Angelegenheit. Die kryptografischen Identitäten und Vertrauensbeziehungen, auf denen das gesamte Modell basiert, erfordern eine aktive Verwaltung während ihres gesamten Lebenszyklus. 

Weitere Informationen zur Implementierung einermehrstufigen Abwehr gegen Prompt-Injection finden Sie im Implementierungsleitfaden. 

Echtzeit-Sicherheit in Multi-Agenten-Systemen 

Multi-Agenten-Architekturen bringen eine ganz eigene Klasse von Sicherheitsherausforderungen im Zusammenhang mit Eingabeaufforderungen mit sich. In diesen Systemen kann es vorkommen, dass man einem Agenten eine Eingabeaufforderung gibt, die daraus resultierenden Anweisungen jedoch letztendlich von einem anderen Agenten ausgeführt werden. Während Anweisungen zwischen den Agenten weitergereicht werden, kann der Kontext verloren gehen, der vertrauenswürdige Systemanweisungen von nicht vertrauenswürdigen, vom Benutzer übermittelten Daten unterscheidet. Dies ist das „Stille-Post“-Problem der agentenbasierten KI. 

Wenn Agent A eine signierte Anweisung erhält und Teilaufgaben an die Agenten B und C delegiert, müssen diese nachgeschalteten Agenten die Herkunft der Anweisung unabhängig voneinander überprüfen. Falls bei der Kommunikation zwischen den Agenten kryptografische Signaturen verloren gehen oder nicht weitergegeben werden, führen die nachgeschalteten Agenten Anweisungen unbekannter Herkunft aus. 

Die Absicherung von Multi-Agenten-Architekturen erfordert ein umfassendes Maßnahmenpaket: 

• Eindeutige Identitäten für jeden Agenten.
  Jeder Agent im System muss über eine eigene kryptografische Identität verfügen, die in der Regel durch ein digitales Zertifikat abgesichert ist. Dies ermöglicht die gegenseitige Authentifizierung und die Nachvollziehbarkeit auf Agentenebene. 

• Gegenseitige Authentifizierung zwischen Agenten.
  Bevor ein Agent eine Anweisung von einem anderen Agenten akzeptiert, müssen beide Parteien die Identität des jeweils anderen überprüfen. Vertrauen darf nicht allein aufgrund der Netzwerkposition oder des Einsatzkontexts vorausgesetzt werden. 

• Explizite Delegierung von Berechtigungen.
  Wenn Agent A eine Aufgabe an Agent B delegiert, müssen die gewährten Berechtigungen explizit festgelegt werden. Agent B sollte niemals implizit den gesamten Berechtigungsumfang von Agent A erben. 

• Prinzip der geringsten Berechtigungen pro Agent und pro Aufgabe.
  Jeder Agent arbeitet mit den für seine spezifische Funktion erforderlichen Mindestberechtigungen. Die Berechtigungen gelten nicht nur für den jeweiligen Agenten, sondern auch für die einzelne Aufgabe, die gerade ausgeführt wird. 

• Validierung jeder Kommunikation zwischen Agenten.
  ZwischenAgenten übermittelte Befehle müssen an jeder Schnittstelle validiert werden. Die Verkettung nicht vertrauenswürdiger Eingaben (die entweder von einem Benutzer oder einem anderen Agenten stammen) mit Systembefehlen über Agentengrenzen hinweg kann schwerwiegende Folgen nach sich ziehen. 

• Protokollierung pro Agent und nachvollziehbare Prüfpfade.
  Jede empfangene Anweisung, jede durchgeführte Aktion und jedes von jedem Agenten erzeugte Ergebnis wird separat protokolliert. Die Prüfpfade müssen die Rekonstruktion der gesamten Anweisungskette vom Ursprung bis zur endgültigen Ausführung ermöglichen. 

• Eindämmung des Schadensumfangs.
  Architektonische Kontrollmechanismen begrenzen die Auswirkungen eines kompromittierten Agenten. Wird Agent C gekapert, ist der Schaden, den er anrichten kann, durch seine Berechtigungen, die ihm zur Verfügung stehenden Tools und seine Netzwerkreichweite begrenzt. 

• Anomalieerkennung und Kill-Switches.
  Die automatisierte Überwachung erkennt Verhaltensabweichungen in Echtzeit. Mit Kill-Switches können Betreiber einzelne Agenten oder ganze Agentenketten stoppen, ohne den Abschluss der aktuellen Ausführung abwarten zu müssen. 

Neue Standards und sofortige Sicherheit 

Die Sicherheitsgemeinschaft sorgt im Rahmen der Normungsarbeit der IETF für die Formalisierung der Sicherheit von KI-Agenten und Eingabeaufforderungen.  

Ein Beispiel hierfür ist ein Entwurf zurAuthentifizierung und Autorisierung von KI-Agenten(draft-klrc-aiagent-auth), der sich darauf konzentriert, ein Modell zu definieren, wie KI-Agenten bei der Interaktion mit Systemen und Diensten identifiziert, authentifiziert und autorisiert werden. Der Entwurf beschreibt Agenten als Workloads, die ein strukturiertes Identitätsmanagement erfordern, einschließlich Identifikatoren, Anmeldedaten und Beglaubigungsmechanismen. Er behandelt Eingabeaufforderungen als Teil authentifizierter und autorisierter Interaktionen und nicht als eigenständige Eingaben. Außerdem legt er fest, dass die Ausführung von Agentenanfragen von einem verifizierten Identitätskontext und delegierten Berechtigungen abhängt.   

Darüber hinaus verfolgt ein zweiter Entwurf zuSicherheitsanforderungen für KI-Agenten(draft-ni-a2a-ai-agent-security-requirements) einen umfassenderen Ansatz für agentische Systeme und ordnet Sicherheitsaspekte über mehrere Lebenszyklusphasen der Agenteninteraktion hinweg. Dieser Entwurf bettet Prompts in einen umfassenderen Interaktionslebenszyklus ein, in dem Anfragen durch Infrastrukturkomponenten wie einen Master-Agenten (der im selben Dokument definiert ist) vermittelt werden. Prompt-Eingaben unterliegen daher implizit der Validierung, Authentifizierung und Durchsetzung von Richtlinien in mehreren Phasen, einschließlich domänenübergreifender Kommunikation und Entscheidungen zur Zugriffskontrolle. Diese und weitere geplante Initiativen zielen darauf ab, Leitlinien für sicheres Prompting und letztlich für den sicheren Einsatz von KI bereitzustellen. Unternehmen, die heute in kryptografische Infrastruktur für Prompt-Sicherheit investieren, werden in der Lage sein, diese Standards zu übernehmen, sobald sie ausgereift sind, anstatt Sicherheitskontrollen erst nach der Bereitstellung nachzurüsten. 

WieKeyfactor helfenKeyfactor 

Keyfactor die kryptografische Infrastruktur Keyfactor , die für die Umsetzung sofortiger Sicherheitsmaßnahmen im Unternehmensmaßstab erforderlich ist. Die gleichen PKI- und Codesignatur-Prinzipien, die software , Geräteidentitäten und die Authentifizierung von Workloads schützen, lassen sich direkt auf die Sicherung von Anweisungen für KI-Agenten anwenden. 

SignServer bietet eine zentralisierte Signaturinfrastruktur für die Signierung von Richtlinien. Unternehmen können Agent-Richtlinien über REST-APIs, PKCS#11 oder Windows KSP signieren, ohne private Schlüssel an einzelne Agenten oder Anwendungsteams verteilen zu müssen. Die Schlüsselverwaltung wird hinter einem zentralisierten Dienst abstrahiert, wodurch sich der operative Aufwand für die Wartung der Signaturinfrastruktur bei großen Agent-Bereitstellungen verringert. 

Verwaltung des Zertifikatslebenszyklus automatisiert die laufenden betrieblichen Anforderungen für zeitnahe Sicherheit: Zertifikatserneuerung, Überprüfung auf Sperrung und Aktualisierung der CA-Vertrauensstellung. Mit zunehmender Skalierung der Agent-Bereitstellungen wird die manuelle Zertifikatsverwaltung unhaltbar. Das automatisierte Lebenszyklusmanagement stellt sicher, dass kryptografische Vertrauensbeziehungen aktuell bleiben, ohne dass ständige manuelle Eingriffe erforderlich sind. 

EJBCA bietet eine Zertifizierungsstelleninfrastruktur für Unternehmen zur Ausstellung und Verwaltung digitaler Zertifikate, die die Identität von Agenten und Signaturberechtigungen festlegen. Jeder Agent erhält eine eindeutige, zertifikatsgestützte Identität, wodurch die gegenseitige Authentifizierung und die agentenspezifische Verantwortlichkeit ermöglicht werden, die Multi-Agenten-Architekturen erfordern. 

Durch die Durchsetzung von Richtlinienwerden Autorisierungsentscheidungen von dezentralen Agenten auf einen zentralen Signaturdienst verlagert. Anstatt darauf zu vertrauen, dass jeder Agent Autorisierungsrichtlinien eigenständig durchsetzt, definieren und setzen Unternehmen Richtlinien bereits beim Signieren der Anweisungen durch. Nur Anweisungen, die die Richtlinienprüfungen bestehen, erhalten eine gültige Signatur. 

Der HSM-gestützte Schlüsselschutzgewährleistet, dass Signaturschlüssel in hardware gespeichert werden, wodurch eine manipulationssichere Schlüsselspeicherung gewährleistet ist, die den Compliance-Anforderungen regulierter Branchen entspricht. 

Zusammen sorgen diese Funktionen dafür, dass sich die KI-Sicherheit von heuristischer Filterung hin zu kryptografischer Absicherung verlagert, wodurch eine sofortige Sicherheit auf denselben bewährten Grundlagen entsteht, die weltweit kritische Infrastrukturen schützen.