KI-Pentester vs. AIS-1: Zwei Welten an einem Montag
Die einen feiern KI-Agenten, die Pentests machen. Die anderen bauen gerade einen Standard, der solche Agenten überhaupt erst identifiziert.
Montag. Meine Timeline: KI-Pentester auf der einen Seite, AIS-1 auf der anderen. Die einen feiern gerade KI-Agenten, die Pentests machen. Open-Source-„AI-Hacker", die in CI/CD-Pipelines laufen, ENV-Variablen auslesen, Secrets sehen und dann schön Schwachstellen melden. Die anderen bauen einen Standard, der genau diese Agenten überhaupt erst identifizieren soll, bevor sie irgendwo zugreifen dürfen. Das sind zwei völlig unterschiedliche Haltungen zu derselben Technologie.
Ich arbeite seit über zwanzig Jahren in Web-Infrastruktur und Security. Ich habe viele Hypes kommen und gehen sehen. Aber so selten wie gerade war die Lücke zwischen „das geht jetzt" und „das sollten wir auch noch schnell regeln" nicht. Und genau darum schreibe ich diesen Text.
Was mich an „KI-Pentester"-Euphorie stört
Ein KI-Agent, der autonom in einer Pipeline läuft, Secrets einsammelt und Reports schreibt, ist technisch faszinierend. Man kann mit ihm in wenigen Minuten Dinge finden, für die ein menschlicher Pentester Tage braucht. Das ist kein Strohmann, das ist die ehrliche Wahrheit.
Das Problem ist nicht die Fähigkeit. Das Problem ist der Kontext. Ein Agent, der heute in deiner Pipeline „nur" deine Testumgebung scannt, ist morgen derselbe Agent, der versehentlich in Production läuft, weil jemand einen Branch falsch gemergt hat. Der dieselben Secrets sieht, aber diesmal die echten. Und der im schlimmsten Fall irgendwohin raustelefoniert, weil er über einen frisch gezogenen Dependency-Baum an ein Modell angebunden ist, das nicht unter deiner Kontrolle läuft.
Wer sagt, das sei unrealistisch, hat in den letzten Monaten keine Supply-Chain-Incidents gelesen. Genau diese Muster sehen wir überall: harmloses Paket, später Update, bösartige Payload. Bei KI-Agenten ist die Supply-Chain noch länger. Da hängen Modelle, Plugins, Prompts, Toolchains dran, die du als Betreiber nur zum Teil wirklich reviewst.
Warum AIS-1 gerade so wichtig ist
Genau hier kommt AIS-1 ins Spiel. Es ist ein Standard für KI-Agenten-Identitäten. Also: Wie kann eine Infrastruktur nachweisen, dass ein Request von einem bestimmten Agenten kommt, wer diesen Agenten betreibt, welche Rechte er hat und wie weit man seinem Output trauen darf.
Das klingt trocken, ist aber das, was viele aktuelle AI-Hacker-Werkzeuge überhaupt nicht mitdenken. Sie laufen unter den Credentials des Menschen, der sie gestartet hat. Sie hinterlassen keine klar zuzuordnenden Spuren. Sie sind aus Sicht des Systems einfach „noch ein Prozess". In einem Welt, in der solche Agenten zunehmend in produktiven Kontexten laufen, ist das nicht haltbar.
Ein sauber implementierter Agent-Identity-Standard erlaubt mir als Betreiber: Ich kann einem Agenten eine eigene, zeitlich begrenzte Identität geben. Ich kann diese Identität widerrufen. Ich kann im Log klar unterscheiden, ob ein Mensch oder ein Agent eine Aktion ausgeführt hat. Ich kann per Policy festlegen, dass bestimmte Aktionen für Agenten schlicht verboten sind, unabhängig davon, wer sie gerade betreibt.
Meine Haltung: Fähigkeit ohne Kontext ist gefährlich
Ich halte wenig von „KI ist gefährlich"-Pauschalen. Ich halte aber sehr viel davon, zu fragen, in welchem Kontext eine Fähigkeit eingesetzt wird. Ein KI-Pentester im abgeschirmten Lab, mit eigener Identität, eigenen Secrets, klar definierten Targets und auditierbarem Output ist ein Werkzeug. Derselbe Pentester in einer unsegmentierten CI-Umgebung ist ein Sicherheitsrisiko, und zwar eines, das du selber mit deinem Deploy-Key im Hintern gefüttert hast.
Was ich Teams gerade empfehle: Bevor ihr auch nur einen „autonomen Security-Agenten" in eure Pipeline lasst, klärt drei Fragen. Erstens: Unter welcher Identität läuft er, und kann ich diese Identität einzeln entziehen, ohne den Rest der CI zu reißen? Zweitens: Welche Secrets sieht er wirklich, und passt das zu dem, was er tun soll? Drittens: Wohin sendet er seine Daten, und habe ich das auf Netzwerkebene auch tatsächlich durchgesetzt, nicht nur im Prompt verboten?
Die Tools werden schneller als die Standards. Das war immer so. Aber diesmal ist der Abstand größer, und der Schaden potenziell teurer. Deshalb finde ich die stille Arbeit an AIS-1 mindestens so spannend wie den lautesten KI-Pentester-Demo-Thread dieser Woche. Genau diese Arbeit entscheidet, ob wir in zwei Jahren mit KI-Agenten wirklich sauber arbeiten, oder ob wir dann reihenweise Post-Mortems schreiben, die mit dem Satz anfangen: „Der Agent hatte eigentlich nur Testrechte."
Fragen, die ich oft dazu höre
Ein paar Dinge, die Leserinnen und Leser mich zu diesem Thema regelmäßig fragen.
Wie unterscheidest du für dich „sinnvoll" von „Hype"?+
Ich frage immer: Was verliere ich, wenn der Agent morgen kompromittiert ist? Wenn ich auf diese Frage keine beruhigende Antwort habe, ist der Einsatz für mich Hype. Wenn die Antwort lautet „wir verlieren einen klar begrenzten, wiederherstellbaren Kontext", ist er sinnvoll.
Sollte ich warten, bis die Standards reif sind, bevor ich KI-Security-Tools einsetze?+
Nein, warten bringt nichts. Aber ich nehme sie bewusst nur für abgegrenzte Szenarien – Staging, Lab, gezielte Audits. Production-Zugriff in voller Breite ist mir heute ohne saubere Identitäten zu riskant, egal wie gut das Demo-Video aussah.
Wie grenze ich in der CI heute schon einen Agenten sauber ein?+
Ich mache das so: eigener Service-Account pro Agent, eigene Secrets, eigener Runner, Netzwerk-Policy, die nur die wirklich nötigen Ziele erlaubt. Und ein Kill-Switch, den ein Mensch drücken kann, ohne die ganze Pipeline zu sprengen.
Wann kommt AIS-1 denn in der Praxis an?+
Ich rechne damit, dass wir in den nächsten ein bis zwei Jahren erste ernsthafte Implementierungen in Produkten sehen, die das Thema wirklich ernst nehmen. Bis dahin hilft nur: Agenten-Identitäten selbst modellieren, auch wenn es noch kein Standard-Format gibt.
Bist du grundsätzlich gegen KI-Pentester?+
Nein. Ich nutze sie selbst, in klar abgegrenzten Laboren. Mein Punkt ist nur: ein KI-Agent mit denselben Rechten wie ein menschlicher Admin, ohne eigene Identität und ohne Netzwerksegmentierung, ist kein Werkzeug mehr, sondern ein Risiko. Die Frage ist nicht „ob", sondern „in welchem Kontext".
Wenn du das tiefer besprechen willst
Ich berate einzelne IT-Verantwortliche unter OnlyOle — 1:1, ohne Agentur-Overhead. Wenn dich das hier länger beschäftigt und du es in deinem Kontext sortieren willst, ruf einfach an oder schreib mir eine kurze Nachricht.