Die OWASP Top 10 für agentische Anwendungen 2026 identifizieren kritische Sicherheitslücken in autonomen KI-Systemen. Diese Systeme agieren, indem sie Aufgaben durch komplexe Orchestrierung und mehrstufige Autonomie planen, entscheiden und ausführen. Die Bedrohungen ergeben sich aus der Interaktion zwischen Agenten, umfangreichen Lieferketten, persistentem Speicher sowie der Möglichkeit, Eingaben und Aktionen zu manipulieren. Der Schutz erfordert spezifische Kontrollen, die der autonomen Natur der Agenten und ihrer verteilten Integration gerecht werden.

Die 10 wichtigsten Schwachstellen laut OWASP

ASI01: Agent Goal Hijack (Entführung von Agentenzielen)

Angreifer manipulieren Ziele, Aufgaben oder Entscheidungen eines Agenten durch indirektes Prompt-Injection, irreführende Tool-Ausgaben, vergiftete Dokumente, bösartige Artefakte oder manipulierte externe Daten. Der Agent, der nicht in der Lage ist, zwischen legitimen Anweisungen und toxischen Inhalten in natürlicher Sprache zu unterscheiden, kann von seinen ursprünglichen Zielen abweichen. Dies führt zu Datenexfiltration, betrügerischen Finanztransaktionen, der Überschreibung von Zielen durch E-Mails und Dokumente oder der Erstellung von Falschinformationen.

Mitigierungsmaßnahmen: Jede Eingabe als nicht vertrauenswürdig behandeln, Validierung mit Anti-Prompt-Injection-Mechanismen, Anwendung des Least-Privilege-Prinzips auf Tools, Bestätigungspflicht für Aktionen mit hoher Auswirkung, Audit von Zieländerungen, Laufzeitvalidierung von Absichten, Bereinigung von Datenquellen, kontinuierliches Logging und Monitoring sowie Red-Team-Tests auf Goal-Override.

ASI02: Tool Misuse & Exploitation (Tool-Missbrauch und -Ausnutzung)

Agenten können legitime Tools aufgrund von Prompt-Injection, Fehlkonfigurationen oder mangelhafter Validierung auf schädliche Weise nutzen. Dies umfasst das Löschen kritischer Daten, wiederholte und kostspielige Aufrufe, den Aufruf bösartiger Shells, Datenvergiftung durch externe Inhalte oder die übermäßige Nutzung zugewiesener Tool-Privilegien.

Mitigierungsmaßnahmen: Least Privilege für Tools, Sandboxing, Authentifizierung bei jeder Aktion, Durchsetzung von Richtlinien, Verwaltung sitzungsbezogener, ephemerer Anmeldeinformationen, semantische Validierung, kontinuierliches Audit aller Tool-Aktionen und unveränderliche Protokolle.

ASI03: Identity & Privilege Abuse (Identitäts- und Privilegienmissbrauch)

Die Vererbung und Delegation von Privilegien kann dazu führen, dass Agenten Anmeldeinformationen für nicht autorisierte Aktionen verwenden. Dies nutzt Lücken zwischen Identitätssystemen und agentischem Design aus (Authentifizierungskontexte, Caching, Cross-Agent-Trust). Zu den Risiken gehören Rollenmissbrauch durch Delegationsketten, das Speichern von Schlüsseln im Arbeitsspeicher und Phishing zwischen Agenten.

Mitigierungsmaßnahmen: Sitzungs-Sandboxing, Begrenzung von Dauer und Umfang der Anmeldeinformationen, Isolierung der Identitäten pro Agent, Zentralisierung von Autorisierungen und Genehmigungen für privilegierte Schritte, Bindung von Absichten an Autorisierungen, Erkennung von eskalierenden Anomalien oder Device-Code-Phishing bei Agenten.

ASI04: Agentic Supply Chain Vulnerabilities (Schwachstellen in der agentischen Lieferkette)

Der Agent kann dynamisch geladenen und potenziell bösartigen oder manipulierten Komponenten, Tools, Modellen oder externen Registern ausgesetzt sein. Risiken wie vergiftete Prompt-Templates, Injections in Tool-Metadaten, Agenten-Impersonation oder Typosquatting vergrößern die Angriffsfläche.

Mitigierungsmaßnahmen: Signierung und Attestierung jeder Komponente mittels SBOM/AIBOM, Sandboxing von Agenten, gegenseitige Authentifizierung zwischen Peers, kontinuierliche Validierung, Content-Pinning, Kill-Switch-Mechanismus für den Notfallwiderruf.

ASI05: Unexpected Code Execution (RCE) (Unerwartete Codeausführung)

Agenten, die Code generieren oder ausführen, sind aufgrund von Prompt-Injection, unsicherer Deserialisierung, Verwendung unsicherer Eval-Funktionen, Installation bösartiger Pakete und nicht validierter Shell-Befehle Exploits ausgesetzt. Szenarien beinhalten die Ausführung unerwarteten Codes und die dauerhafte Kompromittierung des Host-Systems.

Mitigierungsmaßnahmen: Verbot von Eval in der Produktion, Sandboxing für Code, minimale Privilegien, statische Analyse der generierten Ausgabe, menschliche Genehmigung bei kritischen Aktionen, dynamische Analyse und Blocklisten für verdächtige Pakete.

ASI06: Memory & Context Poisoning (Speicher- und Kontextvergiftung)

Der persistente Agentenspeicher (Vektordatenbanken, Sitzungen, RAG-Stores, Zusammenfassungen, gemeinsamer Kontext) kann durch falsche oder manipulierte Daten kontaminiert werden. Dies verändert zukünftige Entscheidungen, Schlussfolgerungen oder die Tool-Auswahl, was zu systemischen Fehlern und Datenlecks zwischen Benutzern oder Sitzungen führt.

Mitigierungsmaßnahmen: Verschlüsselung und Segmentierung des Speichers, Validierung und Herkunftsnachweis von Informationen, Isolierung von Kontexten, Minimierung der Aufbewahrungsdauer, Rollback bei Anomalien, Verfall nicht verifizierter Speicherinhalte und Blockierung der automatischen Wiedereinspeisung selbst generierter Ausgaben.

ASI07: Insecure Inter-Agent Communication (Unsichere Kommunikation zwischen Agenten)

Nicht authentifizierte oder nicht integrierte Kommunikation zwischen Agenten setzt diese Replay-Angriffen, Man-in-the-Middle, Spoofing, Manipulation, Schema-Fälschung und Metadaten-Inferenz aus. Da es an starker Authentifizierung und verschlüsselten Kanälen mangelt, können Agenten bösartige Rollen und Ziele annehmen und Angriffe im Netzwerk verbreiten.

Mitigierungsmaßnahmen: Ende-zu-Ende-Verschlüsselung mit Anmeldeinformationen pro Agent, digitale Signaturen für Nachrichten, Anti-Replay-Schutz, authentifizierte Erkennung und Routing, Versionsrichtlinien und Deaktivierung schwacher Protokolle, Überprüfung von Agenten-Deskriptoren und Fähigkeiten.

ASI08: Cascading Failures (Kaskadierende Ausfälle)

Ein einzelner Fehler (Halluzination, Speichervergiftung, Tool-Kompromittierung) verstärkt sich durch die Ausbreitung zwischen Agenten, Tools und Workflows und verursacht systemische Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. Es besteht das Risiko oszillierender Wiederholungsversuche, Feedbackschleifen und Schadenseskalation ohne menschliche Kontrolle.

Mitigierungsmaßnahmen: Zero-Trust-Design und Resilienz, externe Richtliniendurchsetzung, Checkpoints und menschliche Überprüfungen bei Bedarf, Segmentierung, Just-in-Time-Anmeldeinformationen, Ratenbegrenzung, Ex-post-Simulationen für Audits und Policy-Gating, manipulationssichere Protokolle.

ASI09: Human-Agent Trust Exploitation (Ausnutzung des Vertrauens zwischen Mensch und Agent)

Die natürliche menschliche Neigung, autonomen Agenten zu vertrauen, wird durch irreführende Erklärungen, emotionale Manipulation oder wahrgenommene Autorität ausgenutzt. Gefährliche Aktionen werden so vom Benutzer genehmigt und entziehen sich den Sicherheitskontrollen.

Mitigierungsmaßnahmen: Mehrstufige Bestätigungen, unveränderliche Protokolle, Verhaltenserkennung, Meldung von Anomalien, adaptive Vertrauenskalibrierung, Durchsetzung der Datenherkunft, Trennung von Vorschau und Aktion, visuelle Hinweise und Schulungen gegen Manipulation.

ASI10: Rogue Agents (Abtrünnige Agenten)

Kompromittierte Agenten weichen ab und agieren autonom auf bösartige oder kollusive Weise, indem sie Kontrolllücken ausnutzen, um Daten zu exfiltrieren, illegale Workflows zu orchestrieren, sich selbst zu replizieren oder Systeme zu sabotieren. Das emergente Verhalten wird schädlich und ist schwer einzudämmen.

Mitigierungsmaßnahmen: Unveränderliche und signierte Audits, Vertrauenszonen und Sandboxes, Verhaltensüberwachung, Eindämmung und schneller Widerruf, signierte und verifizierte Verhaltensmanifeste, Wiedereingliederung nur nach Überprüfung und menschlicher Genehmigung.

Übergreifende Mitigierungsmaßnahmen und Best Practices

• Stets das Prinzip der geringsten Privilegien und der geringsten Autonomie anwenden: Reduzierung unnötiger Autonomie und Privilegien für Agenten und Tools.
• Bereinigung und Validierung jeglicher Eingaben (Prompts, Tools, Daten, Dokumente, Kommunikationskanäle).
• Verwendung von Sandboxes und Richtliniendurchsetzung auf jeder Ebene der Aktion und Kommunikation zwischen Agenten.
• Einrichtung umfassender Protokollierung, Rückverfolgbarkeit, Alarmierung bei Anomalien und regelmäßige Tests (Red Teaming und Digital Twin Replay).
• Integration von Kill-Switches für den sofortigen Widerruf, gestaffelte Rollouts, Resilienz von Abhängigkeiten und Governance der Lieferkette.
• Einplanung von Human-in-the-Loop für kritische und richtlinienwidrige Aktionen, kontinuierliche Schulung und Feedback zu Vertrauensmissbrauch.

Referenzen und weiterführende Informationen

• OWASP Top 10 für agentische Anwendungen 2026 – Offizielles Dokument des OWASP GenAI Security Projekts
• ASI Agentic Exploits & Incidents – GitHub-Repository mit aktuellen Vorfällen und Anwendungsfällen

Die Sicherheit agentischer Systeme erfordert gezielte Mitigierungsmaßnahmen, um Autonomie zu begrenzen, Kontexte zu isolieren, jeden Kanal und jede Aktion zu validieren, Anzeichen von Abweichungen zu überwachen und durch Audit- und Kontrollinstrumente schnell zu reagieren.