AiSec: AI-Agenten-Sicherheitsanalyse-Framework

Im Maerz 2025 erhielt das Sicherheitsteam von Xcapit eine Anfrage, die jede Annahme ueber AI-Sicherheit auf die Probe stellen sollte: OpenClaw auditieren, ein Open-Source-AI-Agenten-Framework, das in Finanzdienstleistungen und im Gesundheitswesen eingesetzt wurde — Branchen, in denen eine einzelne Schwachstelle Millionen von Datensaetzen offenlegen koennte. Das Team hatte sechs Jahre lang Sicherheitstools gebaut, angefangen mit manuellem Penetration Testing 2019 und weiterentwickelt waehrend des AI-Booms. Aber OpenClaw war anders. Seine Agenten konnten externe APIs aufrufen, Code ausfuehren und Aktionen autonom verketten. Die Angriffsflaeche war keine Webanwendung mit bekannten Endpunkten — es war ein System, das zur Laufzeit entscheiden konnte, Dinge zu tun, die seine Schoepfer nie vorhergesehen hatten.

Die Herausforderung

Traditionelle Sicherheitsscanner wurden fuer eine Welt gebaut, in der Software das tut, was ihr Code sagt. Snyk findet bekannte CVEs in Abhaengigkeiten. Semgrep gleicht Code-Muster mit Schwachstellendatenbanken ab. Diese Tools sind unverzichtbar — aber sie sind blind gegenueber einer voellig neuen Kategorie von Bedrohungen, die entstehen, wenn AI-Agenten autonom operieren.

Betrachten Sie die Angriffsvektoren, die traditionelle Scanner nicht erkennen koennen:

• Prompt Injection: Ein Angreifer bettet Anweisungen in vom Benutzer bereitgestellte Daten ein, die den System-Prompt des Agenten ueberschreiben. 2024 demonstrierten Forscher, dass ein in ein AI-gestuetztes HR-Tool hochgeladener Lebenslauf den Agenten anweisen konnte, alle Kandidatendaten an eine externe Adresse zu mailen — und der Agent gehorchte, weil er nicht zwischen seinen Anweisungen und denen des Angreifers unterscheiden konnte.
• Datenexfiltration durch Modellausgaben: Ein Agent, der vertrauliche Dokumente verarbeitet, kann manipuliert werden, sensible Daten in seinen Antworten zu kodieren — nicht durch einen Netzwerk-Exploit, sondern durch das Erstellen von Eingaben, die das Modell dazu bringen, Trainingsdaten oder Kontextfensterinhalte zu 'leaken'.
• Privilegieneskalation ueber Werkzeugnutzung: AI-Agenten, die Werkzeuge aufrufen koennen (Datenbanken, APIs, Shell-Befehle), koennen dazu verleitet werden, Werkzeugaufrufe so zu verketten, dass Privilegien eskaliert werden. Ein Agent mit schreibgeschuetztem Datenbankzugriff koennte beispielsweise manipuliert werden, ein anderes Werkzeug aufzurufen, das Daten schreibt.
• Supply-Chain-Angriffe auf Modellgewichte: Boesartige Akteure koennen feinabgestimmte Modelle veroeffentlichen, die Hinterthueren enthalten — das Modell verhaelt sich bei Standardeingaben normal, aktiviert aber schaedliches Verhalten bei bestimmten Trigger-Phrasen.

Kein bestehender Scanner adressiert diese Bedrohungen ganzheitlich. OWASP veroeffentlichte seine AI Top 10 im Jahr 2023, MITRE gab das ATLAS-Framework heraus, und der EU AI Act forderte Sicherheitsbewertungen — aber die Werkzeuge blieben hinter den Standards zurueck. Organisationen wussten, was sie testen sollten, hatten aber keine automatisierte Moeglichkeit dazu.

Das OpenClaw-Audit: Validierung in der realen Welt

Warum OpenClaw

OpenClaw wurde als Validierungsziel fuer AiSec gewaehlt, weil es das am haeufigsten eingesetzte Architekturmuster in der Unternehmens-AI repraesentiert: ein Multi-Agenten-Framework, in dem Agenten ueber gemeinsamen Zustand koordinieren, externe Werkzeuge ueber APIs aufrufen und Benutzereingaben mit minimaler Bereinigung verarbeiten. Wenn AiSec OpenClaw umfassend auditieren konnte, konnte es die ueberwiegende Mehrheit der produktiven AI-Agenten-Deployments auditieren.

Audit-Methodik

AiSec setzte alle 35 spezialisierten Sicherheitsagenten gegen die OpenClaw-Codebasis in einem dreiphasigen Prozess ein:

• Phase 1 — Individuelle Agentenscans: Jeder der 35 Agenten analysierte die Codebasis unabhaengig aus seiner spezialisierten Perspektive. Der Prompt-Injection-Agent testete die Eingabebehandlung an allen Agenten-Endpunkten. Der Privilegieneskalations-Agent kartierte Werkzeugaufrufketten und Berechtigungsgrenzen. Der Supply-Chain-Agent analysierte das Laden von Modellen und die Integritaet der Abhaengigkeiten.
• Phase 2 — Agentenuebergreifende Korrelation: Die Korrelations-Engine nahm alle Befunde der 35 Agenten auf und wandte 31 Korrelationsregeln an, um zusammengesetzte Schwachstellen zu identifizieren — Faelle, in denen individuell niedrigschwellige Befunde sich zu kritischen Angriffsketten kombinieren. Beispiel: Eine mittelschwere Eingabevalidierungsluecke plus eine mittelschwere Werkzeugberechtigungs-Fehlkonfiguration ermoeglichen zusammen einen kritischen Datenexfiltrationspfad.
• Phase 3 — Manuelle Verifikation und Schweregradklassifizierung: AiSecs AI-CVSS-Bewertungssystem klassifizierte jeden Befund nach Schweregrad unter Beruecksichtigung AI-spezifischer Faktoren wie Modell-Manipulierbarkeit, Chain-of-Thought-Offenlegung und autonomer Aktionsumfang. Menschliche Sicherheitsingenieure verifizierten dann eine Stichprobe der Befunde zur Genauigkeitsvalidierung.

Was gefunden wurde

Das Audit identifizierte 63 Sicherheitsbefunde — 4.2x mehr als Snyk und Semgrep beim Scannen derselben Codebasis fanden. Die Aufschluesselung nach Kategorie zeigt die Kluft zwischen traditionellem Scanning und AI-spezifischer Sicherheitsanalyse:

• Prompt-Injection-Schwachstellen: 14 Befunde, darunter 3 kritische Pfade, auf denen Benutzereingaben System-Prompts in produktiven Agentenkonfigurationen ueberschreiben konnten
• Werkzeugnutzung und Privilegieneskalation: 11 Befunde, darunter Agent-zu-Agent-Delegationsketten, die Berechtigungsgrenzen umgingen
• Datenhandhabung und Exfiltrationsrisiken: 9 Befunde, darunter unverschluesselte Kontextfensterinhalte, die auf gemeinsam genutztem Speicher persistiert wurden
• Supply-Chain- und Abhaengigkeitsrisiken: 8 Befunde, darunter unsignierte Modellgewichts-Downloads aus oeffentlichen Registries
• Zusammengesetzte Schwachstellen (agentenuebergreifende Korrelation): 12 Befunde, die kein einzelner Scanner erkannte und die die kritischsten Angriffsketten darstellten
• Konfigurations- und Deployment-Haertung: 9 Befunde im Zusammenhang mit Standardkonfigurationen, exponierten Debug-Endpunkten und fehlenden Rate Limits

Die 12 zusammengesetzten Schwachstellen waren besonders bedeutsam. Es handelt sich um Angriffsketten, die nur sichtbar werden, wenn man Befunde aus mehreren Sicherheitsdomaenen korreliert — genau die Art von Bedrohung, die Einzweck-Scanner uebersehen. Ein statisches Analysetool sieht einen permissiven Eingabehandler. Ein Abhaengigkeitsscanner sieht eine veraltete Bibliothek. Nur eine Korrelations-Engine sieht, dass sie zusammen einem Angreifer ermoeglichen, einen Prompt zu injizieren, der eine verwundbare Abhaengigkeit zur Datenexfiltration ausloest.

Von der Beratung zum Produkt

AiSec begann nicht als Produkt. Es begann als interne Notwendigkeit. 2019 fuehrte Xcapits Cybersecurity-Praxis manuelles Penetration Testing und Sicherheitsberatung fuer Kunden in Lateinamerika und Europa durch. Als das Team Audit-Methodiken ansammelte, begann es, repetitive Analyseaufgaben zu automatisieren — zuerst als Skripte, dann als koordinierte Agenten, dann als vollstaendiges Framework.

Die Entwicklung folgte einem klaren Pfad: Manuelle Beratung (2019-2021) baute die Domaenenkompetenz auf. Interne Tools (2021-2023) kodierten diese Kompetenz in automatisierte Agenten. Das Open-Source-Framework (2023-2024) machte die Tools projektuebergreifend wiederverwendbar. Und die Cloud-Plattform (2025) machte sie fuer Organisationen ohne dedizierte Sicherheitsteams zugaenglich. Jede Phase baute auf den Artefakten der vorherigen auf, weshalb AiSecs 250+ Detektoren reale Audit-Befunde widerspiegeln und nicht theoretische Schwachstellentaxonomien.

Ergebnisse und Auswirkungen

• 35 spezialisierte Sicherheitsagenten mit 250+ Schwachstellendetektoren
• 63 Befunde im OpenClaw-Audit (4.2x mehr als Snyk/Semgrep allein)
• 31 agentenuebergreifende Korrelationsregeln zur Erkennung zusammengesetzter Schwachstellen
• 8 Compliance-Frameworks (OWASP AI Top 10, NIST AI RMF, EU AI Act, ISO 42001, ISO 27001, DSGVO, SOC2, MITRE ATLAS)
• 4 Minuten durchschnittliche Scan-Zeit mit paralleler Agentenausfuehrung
• Auto-Remediation mit generierten Code-Patches und PR-Erstellung
• 12 zusammengesetzte Schwachstellen entdeckt, die kein einzelner Scanner erkannte

Technologie-Stack

• Python/Django-Orchestrierungs-Engine, die 35 Sicherheitsagenten parallel koordiniert
• Docker/Kubernetes fuer isolierte Scan-Ausfuehrung mit Ressourcenlimits pro Agent
• Falco mit eBPF-Sonden fuer Container-Laufzeitueberwachung und Anomalie-Erkennung
• AI-CVSS-Bewertungssystem fuer AI-spezifische Schwachstellen-Schweregradabschaetzung angepasst
• SARIF-Format-Export fuer native Integration mit GitHub Actions, GitLab CI und Jenkins