Governance Architecture for Autonomous Agent Systems: Threats, Framework, and Engineering Practice

Diese Arbeit stellt die Layered Governance Architecture (LGA) vor, einen vierstufigen Rahmen zur Abwehr von Ausführungsschicht-Schwachstellen autonomer Agenten, der durch ein umfassendes Benchmark-Testing und experimentelle Ergebnisse belegt wird, dass eine Kombination aus Sandboxing, Intent-Verifikation und Zero-Trust-Autorisierung sowohl hohe Abfangquoten bei bösartigen Tool-Aufrufen als auch geringe Latenzzeiten ermöglicht.

Das Wesentliche

Stellen Sie sich vor, Sie haben einen extrem intelligenten, aber manchmal etwas naiven Assistenten (den „KI-Agenten"), der für Sie arbeitet. Dieser Assistent kann nicht nur Texte schreiben, sondern auch echte Dinge tun: Dateien löschen, E-Mails senden, Programme starten oder Geld überweisen. Das ist mächtig, aber auch gefährlich. Wenn jemand dem Assistenten einen versteckten, böswilligen Befehl in eine harmlose Nachricht einflüstert, könnte der Assistent plötzlich alles löschen, was Sie besitzen, ohne dass Sie es merken.

Dieses Papier von Yuxu Ge aus York beschreibt, wie man einen solchen Assistenten sicher macht. Es nennt das „Layered Governance Architecture" (LGA) – auf Deutsch etwa: Eine mehrschichtige Sicherheitsarchitektur.

Stellen Sie sich diese Architektur wie ein hochsicheres Schloss mit vier verschiedenen Sicherheitsebenen vor, die zusammenarbeiten:

1. Die erste Ebene: Der „Schutzraum" (Execution Sandbox)

Stellen Sie sich vor, Ihr Assistent arbeitet in einem kleinen, abgeschotteten Zimmer (einem „Schutzraum").

• Die Metapher: Selbst wenn der Assistent verrückt wird und versucht, die Wände zu durchbrechen, kann er nichts außerhalb dieses Zimmers anfassen. Er hat keine Schlüssel zu den anderen Räumen.
• Im Papier: Das ist die technische Isolation. Der Assistent darf nur in einem begrenzten Bereich arbeiten. Wenn er versucht, eine Datei zu löschen, die nicht in seinem Zimmer liegt, wird er gestoppt.

2. Die zweite Ebene: Der „Wachhund" (Intent Verification)

Das ist das Herzstück des Papiers. Bevor der Assistent etwas tut, muss er einen Wachhund passieren.

• Die Metapher: Der Assistent sagt: „Ich muss jetzt die Tür öffnen, um das Paket zu holen." Der Wachhund (ein kleineres KI-Modell) prüft: „Hast du wirklich einen Auftrag, die Tür zu öffnen? Oder versucht jemand, dich zu täuschen?"
• Das Problem: Frühere Sicherheitsmaßnahmen schauten nur auf die Worte. Wenn der Text harmlos aussah, ließen sie alles durch. Aber ein böser Befehl kann sich wie ein harmloser Text verkleiden.
• Die Lösung: Der Wachhund prüft nicht nur die Wörter, sondern die Absicht. Er vergleicht den Befehl mit dem ursprünglichen Auftrag.
• Das Ergebnis: Die Forscher haben verschiedene Wachhunde getestet. Ein einfacher Wachhund (NLI-Modell) war zu dumm und ließ fast alles durch. Aber moderne, lokale KI-Modelle (wie Qwen oder Llama) waren sehr gut: Sie fingen etwa 93–98 % der bösen Befehle ab, ohne viele harmlose Aktionen zu blockieren.

3. Die dritte Ebene: Der „Ausweis-Check" (Zero-Trust Inter-Agent Protocol)

Wenn mehrere Assistenten zusammenarbeiten, vertrauen sie sich nicht blind.

• Die Metapher: Wenn Assistent A zu Assistent B sagt: „Hey, mach das!", muss A einen gültigen Ausweis vorzeigen. Dieser Ausweis sagt genau: „Ich darf nur diese eine Sache tun, und nur für diese Zeit."
• Im Papier: Jeder Assistent bekommt nur die minimalen Rechte, die er gerade braucht. Wenn ein Assistent gehackt wird, kann er sich nicht einfach auf andere Assistenten ausbreiten, weil er keinen Ausweis für deren Aufgaben hat.

4. Die vierte Ebene: Das „Unveränderliche Tagebuch" (Immutable Audit Log)

Jede Aktion wird aufgeschrieben.

• Die Metapher: Stellen Sie sich ein Notizbuch vor, das mit Tinte geschrieben ist und in ein Glas eingegossen wurde. Niemand kann die Seiten herausreißen oder etwas unleserlich machen.
• Im Papier: Jedes Mal, wenn der Assistent etwas tut (oder versucht zu tun), wird es protokolliert. Wenn etwas schiefgeht, können die Menschen später genau nachsehen, was passiert ist, wer es getan hat und wann.

Was haben die Forscher herausgefunden?

1. Der Wachhund ist entscheidend: Die alten Sicherheitsmethoden (die nur auf Text schauten) waren wie ein Wachhund, der schläft. Die neuen KI-Wachhunde sind wach und clever. Sie erkennen, wenn jemand versucht, den Assistenten zu manipulieren (z. B. durch „Prompt Injection" – das Einflüstern von Befehlen).
2. Die Geschwindigkeit: Man könnte denken, so viele Sicherheitschecks würden alles extrem verlangsamen. Aber die Forscher haben gezeigt, dass die drei anderen Ebenen (Schutzraum, Ausweis, Tagebuch) fast keine Zeit kosten. Die einzige Zeit, die vergeht, ist die, die der Wachhund braucht, um nachzudenken (etwa 1 Sekunde). Das ist akzeptabel für Sicherheit.
3. Die „Kaskade" (Der Doppel-Wachhund): Manchmal ist ein Wachhund zu vorsichtig und blockiert auch harmlose Dinge. Die Forscher schlugen vor, zwei Wachhunde hintereinander zu stellen: Der erste (schnell, lokal) filtert die offensichtlichen Bösewichte. Wenn er unsicher ist, schickt er den Fall an einen zweiten, noch klügeren Wachhund (in der Cloud oder ein größeres lokales Modell). So bekommt man die beste Sicherheit mit wenig Fehlalarmen.
4. Spezielle Fallen: Es gibt eine Art von Angriff, bei der ein Assistent eine harmlose Aufgabe erledigt, aber im Hintergrund heimlich Daten stiehlt (wie ein Dieb, der einen Briefträger spielt). Das ist für den Wachhund schwerer zu erkennen. Hier helfen die anderen Ebenen (Schutzraum und Ausweis-Check), um sicherzustellen, dass selbst wenn der Wachhund etwas übersehen hat, der Dieb trotzdem nichts stehlen kann.

Fazit für den Alltag

Dieses Papier sagt uns: Wir können KI-Assistenten nicht nur darauf verlassen, dass sie „gut" sind. Wir müssen sie in ein System einbetten, das wie ein mehrstufiges Sicherheitssystem funktioniert.

• Nicht nur auf den Text achten: Schauen Sie nicht nur, was die KI sagt, sondern was sie tut.
• Ebenen bauen: Ein Schutzraum, ein Wachhund, Ausweis-Checks und ein Tagebuch sind notwendig.
• Lokal ist möglich: Man braucht keine riesigen Cloud-Dienste, um sicher zu sein. Auch kleinere, lokale KI-Modelle können als Wachhunde hervorragend funktionieren.

Kurz gesagt: Die Autoren haben einen Bauplan geliefert, wie man KI-Agenten so baut, dass sie mächtig, aber nicht gefährlich sind – wie ein Roboter, der in einem sicheren Käfig arbeitet, von einem Wachhund bewacht wird und jede Bewegung aufschreibt.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Governance Architecture for Autonomous Agent Systems: Threats, Framework, and Engineering Practice" von Yuxu Ge auf Deutsch:

1. Problemstellung

Autonome Agenten, die durch Large Language Models (LLMs) angetrieben werden, vollziehen einen Paradigmenwechsel von reinen Konversationssystemen zu ausführenden Systemen („executive"). Frameworks wie AutoGen oder LangChain ermöglichen es Modellen, Dateien zu schreiben, Shell-Befehle auszuführen und API-Aufrufe zu tätigen. Dies verlagert das Risiko von der kognitiven Ebene (falscher Text) auf die Ausführungsebene (irreversible Systemzustandsänderungen).

Bestehende Sicherheitsmechanismen („Guardrails") wie Llama Guard oder NeMo Guardrails operieren primär auf der Textgenerierungsebene und filtern schädliche Inhalte. Sie versagen jedoch systematisch bei der Abwehr von Ausführungsebenen-Bedrohungen, die aus semantisch harmlos wirkenden Eingaben resultieren, aber zu unbefugten Tool-Aufrufen führen. Es fehlt eine einheitliche Architektur, die folgende drei Bedrohungsklassen umfassend adressiert:

1. Prompt Injection (TC1): Manipulation der Agenten-Logik durch eingebettete Anweisungen.
2. RAG-Vergiftung (TC2): Vergiftung der Wissensdatenbank, um falsche Retrieval-Ergebnisse zu erzwingen.
3. Bösartige Skill-Plugins (TC3): Plugins, die deklarative Berechtigungen überschreiten und verdeckte Aktionen (z. B. Datenexfiltration) durchführen.

2. Methodik und Architektur (LGA)

Die Autoren stellen die Layered Governance Architecture (LGA) vor, einen vierstufigen Verteidigungsansatz („Defense-in-Depth"), der unabhängig voneinander einsetzbar ist:

• Layer 1: Execution Sandbox (Ausführungssandbox):
  • Erzwingt OS-Level-Isolation (z. B. Linux-Container, unshare-Namespaces, Read-Only-Dateisysteme).
  • Ziel: Physische Trennung, die nicht durch Prompt-Injection umgangen werden kann.
• Layer 2: Intent Verification (Intentitätsprüfung):
  • Ein unabhängiges „Judge"-Modell (LLM oder NLI-Klassifikator) prüft vor jedem Tool-Aufruf die semantische Konsistenz zwischen der ursprünglichen Aufgabenbeschreibung und dem vorgeschlagenen Tool-Call.
  • Blockiert nicht-konsistente Aufrufe.
• Layer 3: Zero-Trust Inter-Agent Protocol:
  • Kommunikation zwischen Agenten erfolgt nur mit minimalen Berechtigungs-Token (Capability Tokens).
  • Strukturierte Daten werden via HMAC-SHA256 authentifiziert und gegen JSON-Schemas validiert, um laterale Angriffe zu verhindern.
• Layer 4: Immutable Audit Log:
  • Alle Tool-Aufrufe werden in einem append-only Speicher (z. B. mit Write-Once-Read-Many-Prinzip) protokolliert, um forensische Nachverfolgbarkeit und Compliance zu gewährleisten.

Evaluation:
Die Architektur wurde am Framework OpenClaw getestet. Es wurde ein bilingualer Benchmark (Chinesisch/Englisch) mit 1.081 Tool-Aufruf-Samples erstellt, der alle drei Bedrohungsklassen abdeckt. Als „Judges" wurden verschiedene Modelle evaluiert:

• Lokale LLMs: Qwen3.5-4B, Llama-3.1-8B, Qwen3.5-9B, Qwen2.5-14B.
• Cloud-LLM: GPT-4o-mini.
• Baselines: NLI-Modelle (BART-MNLI, mDeBERTa-NLI).

3. Wichtige Ergebnisse

A. Sicherheit und Effektivität (RQ1)

• LLM vs. NLI: Alle fünf LLM-basierten Judges blockierten 93,0 % bis 98,5 % der bösartigen Aufrufe bei TC1 (Prompt Injection) und TC2 (RAG Poisoning). Im Gegensatz dazu blieben NLI-Baselines unter 10 % Interception Rate (IR).
• Herausforderung TC3: Bei bösartigen Plugins (TC3) sank die IR auf 75–94 %, da die Aktionen teilweise legitim erscheinen. Dies unterstreicht die Notwendigkeit von Layer 1 (Sandbox) und Layer 3 (Schema-Validierung) als ergänzende Maßnahmen.
• Beste lokale Balance: Qwen2.5-14B erreichte die beste lokale Balance mit 98 % IR und einer False-Positive-Rate (FPR) von ca. 10–20 %.
• Cascade-Ansatz: Eine zweistufige Kaskade (z. B. Qwen3.5-9B → GPT-4o-mini) reduzierte die FPR drastisch auf 1,9–6,7 % bei Beibehaltung einer hohen IR (91,9–92,6 %). Auch eine rein lokale Kaskade (Qwen3.5-9B → Qwen2.5-14B) war effektiv (94,7–95,6 % IR, 6,0–9,7 % FPR).

B. Latenz und Performance (RQ2 & RQ3)

• Overhead: Die nicht-urteilenden Layer (1, 3 und 4) verursachen einen vernachlässigbaren Overhead von nur ~18 ms (P50).
• Dominanter Faktor: Die Latenz wird fast ausschließlich durch Layer 2 (LLM-Inferenz) bestimmt.
  • Qwen3.5-4B: ~490 ms (schnellste LLM-Lösung).
  • GPT-4o-mini: ~1.000 ms.
  • End-to-End-Pipeline (mit GPT-4o-mini): ~980 ms P50 bei 96 % IR.
• Optimierung: Durch Begrenzung der Ausgabe-Token (num_predict=10) konnte die Latenz von Qwen3.5-9B von 2.000 ms auf **303 ms** gesenkt werden, ohne signifikante Einbußen bei der Sicherheit.

C. Generalisierung

• Die Evaluierung auf dem externen InjecAgent-Benchmark bestätigte eine Interception Rate von 99–100 %, was zeigt, dass die Methode robust ist und nicht nur auf synthetischen Daten überangepasst ist.

4. Hauptbeiträge

1. Paradigmenwechsel: Argumentation, dass sich der Fokus von der Fehlerbehebung („Defect Remediation") hin zur System-Governance und der Definition von Invarianten (Sandboxing, Audit) verschieben muss.
2. Threat Model: Formalisierung von drei spezifischen Ausführungsebenen-Bedrohungen (Agency Abuse, RAG Poisoning, Malicious Plugins).
3. LGA-Framework: Vorstellung und Validierung einer vierstufigen Architektur, die semantische Prüfung mit physischer Isolation kombiniert.
4. Empirische Evidenz: Umfassende Evaluation auf einem großen, bilingualen Datensatz, die zeigt, dass LLM-basierte Intent-Prüfung NLI-Modelle weit übertrifft und dass Cascade-Architekturen das Trade-off zwischen Sicherheit und Usability optimieren.

5. Bedeutung und Ausblick

Das Paper demonstriert, dass autonome Agenten sicher betrieben werden können, indem die Sicherheit nicht nur als Filter für Text, sondern als architektonische Invariante auf der Ausführungsebene behandelt wird. Die Ergebnisse zeigen, dass:

• LLMs als Judges notwendig sind, um komplexe semantische Zusammenhänge zwischen Aufgabe und Aktion zu verstehen.
• Hybride Ansätze (Kaskaden aus lokalen und Cloud-Modellen oder rein lokalen Modellen) praktikable Lösungen für datensouveräne Umgebungen bieten.
• Layer 1 (Sandbox) unverzichtbar bleibt, da keine Software-Prüfung (Layer 2) 100 %ige Sicherheit garantiert.

Zukünftige Arbeiten sollten sich auf die Optimierung der Inferenzgeschwindigkeit (vLLM/TensorRT), das Training kompakter Modelle für Autorisierungsaufgaben und die Verteidigung gegen adaptive Angriffe (wo Angreifer das Judges-Modell kennen) konzentrieren.