Leitfaden
Die meisten KI-Agenten sichert man so ab: breiter Zugriff, dazu ein Prompt, der gutes Verhalten anweist. Das funktioniert eine Weile, und wenn es kippt, dann lautlos. Dieser Leitfaden zeigt, warum die Grenze im Code liegen muss und warum eine Allow-List mit Standard-Verbot der sichere Weg ist.
Berechtigungen legen fest, welche Werkzeuge ein Agent nutzen und welche Daten er erreichen darf. Der verbreitete Ansatz verwechselt zwei Dinge: Man gibt dem Agenten breiten Zugriff und schreibt einen Prompt, der ihn einschränken soll. Doch der Prompt ist eine Anweisung an das Modell, und genau das Modell wollen wir ja begrenzen. Das steht auf dem Kopf.
Wir entwickeln Pinchy und haben dazu eine klare Meinung, sind hier also nicht neutral. Eine breitere Einordnung gibt der Leitfaden zu souveränen KI-Agenten.
Zwei Fehlerquellen machen das konkret. Erstens Prompt Injection: Ein bösartiges Dokument, eine E-Mail oder eine Webseite kann Anweisungen einschleusen. Liest der Agent sie, bringen sie ihn dazu, Ihre eigenen Anweisungen zu ignorieren. Zweitens Drift: Auch ohne Angreifer befolgt ein Modell eine Anweisung nicht jedes Mal. Ein „Niemals“ im Prompt ist eine Wahrscheinlichkeit, keine Garantie. Steht zwischen Ihrem Agenten und Ihrer Produktionsdatenbank nur ein Satz im Prompt, haben Sie kein Berechtigungsmodell, sondern einen Vorschlag.
Die Lösung verschiebt die Grenze aus dem Prompt in das System rund um das Modell. Ist ein Werkzeug nicht freigegeben, kann der Agent es nicht aufrufen. Daran ändert nichts, was der Prompt sagt, was ein Dokument ihm einredet oder was die Nutzerin verlangt. Der Agent bekommt also nie volle, ungefilterte Fähigkeiten: keine Shell, kein Dateisystem, keinen offenen HTTP-Client. Er bekommt einzeln freigegebene, eng begrenzte Werkzeuge, jedes in einem Plugin mit eigener Konfiguration und Autorisierung. Nicht „Code ausführen“, sondern „Odoo-Aufträge lesen“. Das Plugin zieht die Grenze, und das Modell arbeitet darin.
Sobald Berechtigungen im Code liegen, bleibt die Wahl des Standards. Aus ihr kommt der größte Teil der Sicherheit. Entscheidend ist eine Frage: Was passiert, wenn Sie etwas vergessen?
Für alles, was echte Systeme berührt, taugt nur der Allow-List-Fehlermodus. Ein neuer Agent startet deshalb mit null Werkzeugen und kann nichts, bis eine Administratorin jede Fähigkeit einzeln freischaltet. Eine „Alles erlauben“-Abkürzung gibt es bewusst nicht, denn genau über sie leckt am Ende jede Deny-List.
„Darf Odoo nutzen“ ist keine Berechtigung, sondern eine Kategorie. Was ein Unternehmen wirklich braucht, ist feiner: „Darf Aufträge lesen, aber nicht schreiben, für diesen einen Agenten“. Je enger die Freigabe, desto kleiner der Schaden, wenn ein Agent sich falsch verhält. Und das tut er, denn er arbeitet mit Wahrscheinlichkeiten. Also gilt: minimale Rechte je Agent (Least Privilege). Ein Support-Agent, der Antworten entwirft, braucht keinen Schreibzugriff auf das ERP.
Ein vollständiges Modell braucht zwei unabhängige Kontrollen. Wer darf den Agenten nutzen (Identität, Rollen, gruppenbasierte Sichtbarkeit), und was darf der Agent tun (die Werkzeug-Allow-List von oben). Diese Achsen bleiben getrennt: Ein Finanz-Agent ist vielleicht nur für die Finanzgruppe sichtbar (das Wer) und darf zugleich nur Buchhaltungsdaten lesen (das Was). Wer beide richtig setzt, sorgt dafür, dass die Praktikantin im Gespräch mit dem Buchhaltungs-Agenten nicht die Rechte der Administratorin erbt.
Berechtigungen begrenzen, was ein Agent erreichen kann. Sie machen die Entscheidungen des Modells innerhalb dieser Grenze nicht richtig. Ein Agent mit der Freigabe „Antwort entwerfen“ kann eine schlechte Antwort entwerfen. Berechtigungen sind also notwendig, aber nicht hinreichend, und gehören mit einem Audit-Trail zusammen: Die eine Schicht hält den Agenten in Schranken, die andere weist nach, was in diesen Schranken geschah.
Dieser Abschnitt beschreibt unser eigenes Produkt. In Pinchy startet ein neuer Agent mit null Werkzeugen, und Admins schalten jedes Werkzeug einzeln und je Agent frei. Zusammen mit Rollen und Gruppen steuert das beides: was ein Agent tun und wer ihn beauftragen darf. Die volle Sicht zeigt die Agent-Permissions-Seite.
FAQ
KI-Agenten-Berechtigungen legen fest, welche Werkzeuge ein Agent benutzen und welche Daten er erreichen darf. Das sichere Modell ist eine Allow-List: Ein neuer Agent darf nichts, bis eine Administratorin jede Fähigkeit einzeln freischaltet, Werkzeug für Werkzeug. Das ist das Gegenteil des verbreiteten Standards, bei dem ein Agent breiten Zugriff bekommt und ein Prompt ihn in der Spur halten soll.
Ein Prompt ist eine Bitte an das Modell, und das Modell ist genau das, was eingeschränkt werden soll. Prompt Injection (ein bösartiges Dokument bringt das Modell dazu, seine Anweisungen zu ignorieren) und Drift (das Modell hält sich nicht zuverlässig an eine Anweisung) bedeuten: Liegt die einzige Grenze in einem Prompt, ist sie keine Grenze, sondern ein Vorschlag. Echte Berechtigungen liegen im Code, außerhalb des Modells.
Allow-List. Die Entscheidung fällt an der Frage, was bei einem Versehen passiert. Bei einer Deny-List ist alles erlaubt, was man zu sperren vergisst, also bleibt eine vergessene Fähigkeit offen. Bei einer Allow-List ist alles verboten, was man nicht freigibt, also kann der Agent eine vergessene Fähigkeit schlicht nicht nutzen. Für Agenten, die echte Systeme berühren, taugt nur der zweite Fehlermodus.
In Pinchy startet jeder Agent mit null Werkzeugen; Sie schalten jedes einzeln frei. Allow-List, Standard-Verbot, in Code durchgesetzt. Quelloffen und selbst gehostet.
Oder schreiben Sie uns: info@heypinchy.com