Toward Securing AI Agents Like Operating Systems

Dieser Artikel argumentiert, dass die Absicherung von auf LLMs basierenden KI-Agenten die Anwendung von Betriebssystem-Sicherheitsprinzipien erfordert, und zeigt durch eine Analyse einer einheitlichen Architektur sowie eine Fallstudie, dass, obwohl einige Risiken inhärent sind, viele Schwachstellen mit etablierten Betriebssystemtechniken wie Ressourcenisolierung und Privilegentrennung gemildert werden können.

Das Wesentliche

Stellen Sie sich vor, Sie haben einen super-intelligenten, unglaublich eifrigen persönlichen Assistenten namens „Agent" eingestellt. Dieser Assistent kann Ihre E-Mails lesen, Ihren Kalender verwalten, Flüge buchen und sogar Code für Sie schreiben. Es ist, als hätte man einen magischen Mitarbeiter, der niemals schläft.

Aber hier liegt der Haken: Sie haben diesem Mitarbeiter die Schlüssel zu Ihrem gesamten Haus, Ihrem Bankkonto und Ihrem Tagebuch gegeben. Wenn ein cleverer Dieb den Assistenten dazu bringt zu glauben, er sei Sie, oder ihn überzeugt, die Hintertür zu öffnen, erhält der Dieb alles.

Dies ist das Kernproblem, das der Artikel angeht. Die Autoren argumentieren, dass wir diese KI-Agenten wie brandneue, magische Wesen bauen, wir sie jedoch tatsächlich wie Betriebssysteme (die Software, die Ihren Computer ausführt, wie Windows oder macOS) behandeln sollten.

Hier ist die Aufschlüsselung ihrer Erkenntnisse, unter Verwendung einfacher Analogien:

1. Die große Idee: Der Agent ist das Betriebssystem

Die Autoren sagen: „Hören Sie auf, die KI nur als Chatbot zu betrachten. Betrachten Sie sie als das OS Ihres digitalen Lebens."

• Die KI (LLM) ist der Benutzer: In einem Computer gibt der Benutzer Befehle ein. Bei einem KI-Agenten ist das Large Language Model (das „Gehirn") derjenige, der die Befehle eingibt. Aber genau wie ein menschlicher Benutzer durch eine Phishing-E-Mail getäuscht werden kann, kann eine KI durch einen „Jailbreak"-Prompt getäuscht werden.
• Die Werkzeuge sind Systemaufrufe: Wenn Sie auf Ihrem Computer auf „Drucken" klicken, prüft das Betriebssystem, ob Sie die Berechtigung haben. Wenn eine KI eine E-Mail „senden" möchte, ist dies ein Werkzeug. Der Artikel argumentiert, dass diese Werkzeuge wie strikte Systemaufrufe behandelt werden sollten, nicht als freie Befehle.
• Die Laufzeitumgebung ist der Kernel: Der Teil der Software, der den Code tatsächlich ausführt, ist der „Kernel". In einem sicheren Computer ist der Kernel der Boss. Er entscheidet, wer was berühren darf. Bei aktuellen KI-Agenten ist der „Kernel" oft zu nett und lässt den „Benutzer" (die KI) tun, was er will, selbst wenn es gefährlich ist.

2. Das Problem: Die „Offenes Haus"-Party

Der Artikel betrachtet beliebte KI-Agenten (wie OpenClaw und seine Verwandten) und stellt fest, dass sie wie ein offenes Haus gebaut sind, in das jeder hineingehen und alles berühren kann.

• Keine Wände: In einem sicheren Computer sind verschiedene Programme isoliert. Wenn ein Virus Ihre Taschenrechner-App infiziert, sollte er nicht in der Lage sein, Ihre Bankdateien zu lesen. Aber bei diesen KI-Agenten befinden sich der „Taschenrechner" (ein Werkzeug) und die „Bankdateien" (Speicher) alle im selben Raum. Wenn die KI verwirrt wird, kann sie sie versehentlich (oder böswillig) vermischen.
• Der „Vertrau mir"-Fehlschluss: Diese Agenten verlassen sich darauf, dass die KI sich „erinnert", sicher zu sein. Sie haben Regeln wie „Löschen Sie keine Dateien", aber diese sind nur in einfachem Englisch geschrieben. Wenn ein Hacker der KI einen Trick zuflüstert, vergisst die KI die Regel. Es ist, als würde man einen Wächter bitten, Wache zu stehen, ihm aber sagt: „Nutzen Sie einfach Ihr bestes Urteil."
• Das „Drittanbieter"-Risiko: Diese Agenten erlauben Ihnen, „Fähigkeiten" (wie Apps) zu installieren. Stellen Sie sich vor, Sie könnten eine „Wetter-App" herunterladen, die heimlich eine Hintertür zu Ihrem Bankkonto hat. Der Artikel fand heraus, dass viele dieser Agenten es zulassen, diese Fähigkeiten zu installieren, ohne zu prüfen, ob sie sicher sind.

3. Das Experiment: Die Agenten brechen

Die Forscher nahmen vier beliebte KI-Agenten und versuchten, sie zu brechen, und agierten dabei wie ein Hacker mit bescheidenen Fähigkeiten. Sie mussten keine Genies sein; sie mussten nur wissen, wie das „Haus" gebaut war.

Was sie fanden:

• OpenClaw (Der „Vanilla"-Agent): Dies war der beliebteste. Er war anfällig für jeden einzelnen Angriff, den die Forscher versuchten. Es war, als würde man die Haustür, die Hintertür und die Fenster weit offen lassen.
• IronClaw (Der „Sicherheits"-Agent): Dieser versuchte, sicherer zu sein. Er stellte einige Werkzeuge in eine „Sandbox" (eine Glasbox, in der sie den Rest des Hauses nicht berühren können). Es ging ihm besser, aber die Forscher fanden immer noch Wege, ihn zu täuschen oder das Glas zu brechen.
• Nanobot (Der „Minimal"-Agent): Dieser hatte sehr wenig Code, in der Hoffnung, dass weniger Code weniger Fehler bedeutet. Aber selbst mit einer kleinen Codebasis fehlten ihm die grundlegenden „Wände", die benötigt werden, um Daten getrennt zu halten.
• NemoClaw (Der „Wrapper"-Agent): Dieser setzte den gesamten Agenten in einen sicheren Container (wie einen Versandcontainer). Es war am schwierigsten, ihn zu brechen, aber die Forscher fanden immer noch einen Weg, hineinzuspähen oder ihn zu täuschen.

Das schockierende Ergebnis: Selbst die „sicheren" Versionen versagten bei grundlegenden Dingen, wie etwa zu verhindern, dass ein Benutzer die privaten Notizen eines anderen Benutzers liest, oder zu verhindern, dass der Agent Nachrichten an Fremde sendet.

4. Die Lösung: Aus der Vergangenheit lernen

Die Hauptkonklusion des Artikels ist einfach: Wir müssen keine neue Magie erfinden, um dies zu beheben. Wir müssen nur die Sicherheitsregeln anwenden, die wir seit 50 Jahren kennen.

Betriebssysteme haben diese exakten Probleme bereits gelöst. Die Autoren schlagen vor, diese altmodischen Regeln auf KI anzuwenden:

• Isolation: Setzen Sie jedes Werkzeug in seine eigene Glasbox (Sandbox), damit es andere Werkzeuge oder Ihre privaten Dateien nicht berühren kann, es sei denn, dies wird ausdrücklich erlaubt.
• Minimale Rechte: Nur weil der Agent Ihre E-Mails lesen kann, bedeutet das nicht, dass er es sollte. Geben Sie ihm nur die Schlüssel, die er für die spezifische Aufgabe benötigt.
• Härtetes Protokollieren: Führen Sie Aufzeichnungen über alles, was der Agent tut, aber stellen Sie sicher, dass der Agent diese Aufzeichnungen nicht löschen oder ändern kann (wie eine manipulationssichere Überwachungskamera).
• Strenge Grenzen: Lassen Sie die KI nicht entscheiden, was sicher ist. Der „Kernel" (das System) muss die Regeln durchsetzen, nicht das „Gehirn" der KI.

Zusammenfassung

Der Artikel argumentiert, dass KI-Agenten derzeit wie wilde, unregulierte Grenzgebiete gebaut werden. Sie sind mächtig, aber gefährlich, weil sie sensible Daten mit nicht vertrauenswürdigen Anweisungen vermischen.

Die Autoren sagen: „Hören Sie auf, zu versuchen, die KI ‚klüger' zu machen, um sicher zu sein. Bauen Sie stattdessen das System darum herum wie ein sicheres Betriebssystem." Wenn wir die KI wie einen Benutzer behandeln, der von einem strengen Sicherheitswächter (dem Betriebssystem) überwacht und eingeschränkt werden muss, können wir diese mächtigen Werkzeuge sicher in unseren Häusern und Unternehmen einsetzen.

Das Fazit: Wir bauen digitale Mitarbeiter mit Hauptschlüsseln zu unserem Leben, aber wir haben noch keine Schlösser, Zäune oder Sicherheitswächter gebaut. Es ist Zeit, die Baupläne von den Cybersicherheitsexperten zu übernehmen, die seit Jahrzehnten diese Schlösser bauen.

Technische Zusammenfassung

Technische Zusammenfassung: Auf dem Weg zur Sicherung von KI-Agenten wie Betriebssysteme

Problemstellung

Autonome Agenten auf Basis von Large Language Models (LLMs) entwickeln sich von spezialisierten Assistenten zu universell einsetzbaren Systemen, die komplexe Aufgaben planen und ausführen können, wobei sie Zugriff auf sensible Benutzerdaten, lokale Dateien und externe Dienste haben. Während Systeme wie OpenClaw durch die Nutzung von Tools und Drittanbieter-Fähigkeiten erheblichen Nutzen bieten, führen sie erhebliche Sicherheitsrisiken ein. Die aktuelle Forschung konzentriert sich oft zu eng auf Prompt-Injection, doch die breitere Angriffsfläche – bestehend aus Laufzeit-Erweiterbarkeit, persistentem Zustand und unkontrolliertem Zugriff auf privilegierte Funktionen – bleibt unzureichend analysiert. Bestehende Schutzmechanismen in gängigen Agenten-Implementierungen sind häufig unzureichend und verhindern selbst bei bescheidenen Fähigkeiten eines Angreifers keine Datenexfiltration, keine Privilegienausweitung und keinen unbefugten Systemzugriff. Die Arbeit argumentiert, dass die Sicherheits-Herausforderungen von KI-Agenten strukturell denen ähneln, die historisch durch Betriebssysteme (OS) gelöst wurden, doch aktuelle Agenten-Designs verletzen häufig fundamentale OS-Sicherheitsprinzipien wie Isolation, Privilegentrennung und Vermittlung.

Methodik

Die Autoren wenden eine dreifache Methodik an, um die Sicherheit von Agenten zu untersuchen:

1. Konzeptionelle Analogie und Architekturableitung: Die Arbeit stellt eine strukturelle Analogie zwischen KI-Agenten und Betriebssystemen her. Sie ordnet Agenten-Komponenten OS-Konzepten zu: Das LLM fungiert als nicht vertrauenswürdiger Benutzer, Tools und Fähigkeiten entsprechen Systemaufrufen und Programmen, die Agenten-Laufzeitumgebung fungiert als Kernel und der Agenten-Kontext ähnelt dem Prozessspeicher. Basierend auf dieser Analogie leiten die Autoren eine einheitliche Architektur für OpenClaw-artige Agenten ab, identifizieren Schlüsselkomponenten (Laufzeit-Kern, Agenten-Kern, Gateways, persistenter/ephemerer Zustand) und Vertrauensgrenzen.

2. Systematische Zuordnung von Verteidigungsmechanismen: Die Autoren untersuchen etablierte OS-Sicherheitsmechanismen (z. B. Prozessisolierung, Sandboxing, Least-Privilege-Prinzip, Netzwerkfilterung, Data Execution Prevention) und ordnen sie ihren agentischen Gegenstücken zu. Sie analysieren, welche Mechanismen direkt übertragbar sind, welche Anpassungen erfordern und welche Agenten-Fähigkeiten von Design her unsicher bleiben.

3. Empirische Fallstudie: Zur Validierung ihrer Analyse evaluieren die Autoren vier weit verbreitete, quelloffene OpenClaw-artige Agenten, die unterschiedliche Designphilosophien repräsentieren:

   • OpenClaw: Eine „vanilla"-Variante, die auf Funktionsumfang ausgerichtet ist.
   • IronClaw: Eine „Sicherheits"-Variante, die Isolation und Sandboxing priorisiert.
   • Nanobot: Eine „minimalistische" Variante mit reduzierter Codebasis.
   • NemoClaw: Eine „Wrapper"-Variante, die einen Agenten in einem sicheren Container ausführt.

   Die Evaluierung nutzt eine kontrollierte Umgebung (Debian 13.4 VMs) mit eBPF-basiertem Monitoring zur Beobachtung von Systemaufrufen, Dateizugriffen und Netzwerkverkehr. Die Autoren definieren ein Bedrohungsmodell, bei dem der Angreifer vollständiges Wissen über den Quellcode hat, aber keinen direkten Hardware- oder Host-Level-Zugriff, wobei das LLM als vollständig nicht vertrauenswürdige Komponente behandelt wird, die Manipulationen unterliegt. Sie führen eine Reihe realistischer Angriffsszenarien durch, die Hardware-Schnittstellen, Prozessisolierung, Sandboxing, Netzwerkfilterung und System-Logging angreifen.

Hauptbeiträge

• OS-Sicherheitsperspektive auf KI-Agenten: Die Arbeit etabliert eine formale Analogie zwischen KI-Agenten und Betriebssystemen und bietet einen Rahmen, um über Agentensicherheit unter Verwendung etablierter Konzepte wie Isolation, Privilegentrennung und Vermittlung nachzudenken.
• Einheitliche Agenten-Architektur: Sie leitet eine konsolidierte Architektur für OpenClaw-artige Agenten ab, die Komponenten, Vertrauensgrenzen und Kommunikationskanäle explizit definiert und eine systematische Sicherheitsanalyse ermöglicht.
• Systematische Übertragung von OS-Verteidigungen: Die Autoren ordnen OS-Verteidigungsmechanismen dem agentischen Bereich zu, kategorisieren sie nach ihrer Anwendbarkeit und identifizieren Lücken, in denen aktuelle Agenten-Designs grundlegende Sicherheitsprinzipien nicht durchsetzen.
• Empirische Evaluierung: Die Studie liefert eine umfassende empirische Bewertung von vier gängigen Agenten-Laufzeitumgebungen und zeigt, dass aktuelle Schutzmechanismen in der Praxis oft versagen und dass Schwachstellen mit OS-Level-Techniken erklärt und gemildert werden können.

Ergebnisse

Die Fallstudie zeigt, dass keiner der vier evaluierten Agenten gegen alle getesteten Angriffsvektoren verteidigen kann. Zu den wichtigsten Erkenntnissen gehören:

• Weitverbreitete Schwachstellen: Selbst Agenten, die mit Sicherheitsdenken entwickelt wurden (z. B. IronClaw), sind anfällig für spezifische Angriffe wie Konfigurationsmanipulation oder Extraktion von System-Prompts, oft aufgrund unvollständiger Implementierung von Sandboxing oder Privilegentrennung.
• Versagen der Isolation: Eine kritische Erkenntnis ist, dass alle vier Agenten vertrauenswürdige und nicht vertrauenswürdige Daten in einen gemeinsamen LLM-Kontext einspeisen, wodurch das Prinzip der Prozessisolierung verletzt wird. Dies ermöglicht, dass Zwischenergebnisse eines Tools nachfolgende Tools beeinflussen, was Angriffe wie Shell-Befehls-Injektion erlaubt.
• Verletzungen der Privilegentrennung: Die Zugriffskontrolle auf Dateien wird häufig auf derselben Privilegienebene wie die Eingabeverarbeitung durchgesetzt, anstatt durch einen weniger privilegierten Referenzmonitor vermittelt zu werden.
• Ineffektives Sandboxing: Während Sandboxing (z. B. WebAssembly in IronClaw, Container in NemoClaw) bestimmte Angriffsvektoren effektiv blockieren kann, lassen partielle oder falsch konfigurierte Implementierungen erhebliche Lücken. Beispielsweise war NemoClaw trotz seines containerisierten Designs anfällig für die Extraktion von System-Prompts.
• Universelle Schwächen: Zwei Klassen von Schwächen wurden bei allen Agenten beobachtet: Datenexfiltration zwischen Benutzern (Fehlende Benutzer-Level-Prozessisolierung) und unbefugtes Senden von Nachrichten (Fehlende strikte Egress-Filterung).
• LLM-Unabhängigkeit: Die Studie bestätigt, dass diese Schwachstellen aus der Agenten-Architektur und dem Laufzeitdesign stammen und nicht aus spezifischen LLM-Schlussfolgerungsfähigkeiten, da Angriffe über verschiedene Modelle hinweg (Qwen, Gemini, GPT) erfolgreich waren.

Bedeutung und Behauptungen

Die Arbeit behauptet, dass die Sicherung von KI-Agenten aufgrund ihrer riesigen und heterogenen Angriffsfläche eine gewaltige Aufgabe ist, dass aber bedeutender Fortschritt erreichbar ist, indem jahrzehntelange Betriebssystem-Sicherheitsforschung genutzt wird. Die Autoren argumentieren, dass:

1. Retrospektive Analyse wertvoll ist: Viele Sicherheits-Herausforderungen bei KI-Agenten sind nicht völlig neu, sondern Manifestationen klassischer OS-Probleme. Die Wiederbelebung etablierter OS-Ansätze bietet einen prinzipiengeleiteten Rahmen zur Sicherung agentischer Systeme.
2. Defense-in-Depth erforderlich ist: Das alleinige Vertrauen auf LLM-zentrierte Verteidigungen (wie Prompt-Injection-Minderung) ist unzureichend. Ein sicherer Betrieb erfordert detailliertes Systemwissen, sorgfältige Konfiguration und die Implementierung gestaffelter Verteidigungen einschließlich Isolation, Privilegentrennung und Vermittlung.
3. Designfehler in aktuellen Systemen inhärent sind: Einige agentische Fähigkeiten bleiben von Design her unsicher, weil sie fundamentale Prinzipien wie Least Privilege und Prozessisolierung verletzen. Dennoch können viele Schwachstellen mit gut verstandenen OS-Techniken gemildert werden.
4. Sofortige umsetzbare Schritte möglich sind: Die Autoren schließen, dass eine einfache Konsolidierung der bereits in verschiedenen Implementierungen eingesetzten partiellen Sicherheitsmechanismen (z. B. Kombination von Sandboxing, Netzwerkfilterung und Logging) erhebliche Sicherheitsverbesserungen bringen würde, ohne dass neue Forschung erforderlich ist.

Die Arbeit positioniert sich nicht als endgültige Lösung, sondern als notwendiger Schritt zur Strukturierung der Angriffsfläche von KI-Agenten und zur Führung zukünftiger Designs hin zu einem sichereren Zustand, der auf OS-Sicherheitsprinzipien basiert.