Launch ForExternal Clients
00Tage
00Std
00Min
00Sek
General05. Juni 2026

Agentic Ops/Dev: Die Risiken - kurz und knapp!

Agentic Ops/Dev: Die Risiken - kurz und knapp!

AI-Agents werden im Ops/Dev erst dann wirklich „agentic“, wenn sie Tools ausführen (Tickets, Git, IaC, Kubernetes, Observability). Genau das erhöht den Nutzen – und den Blast Radius. Standards wie MCP vereinfachen Tool-Anbindung, machen aber auch „mehr Tools schneller verfügbar“. Damit werden Security & Governance zum Pflichtprogramm.

Die größten Risikoklassen

  1. Prompt Injection / Indirect Injection („Confused Deputy“)
    Angreifer verstecken Instruktionen in Quellen, die der Agent liest (Ticket, Wiki, Logs, Slack).
    Der Agent übernimmt sie und nutzt seine Rechte. Das ist ein Top-  Risiko in gängigen LLM-Security-Frameworks.

  2. Rechte-Explosion (Scope Creep)
    Jede neue Integration (Jira, Git, Terraform, K8s) vergrößert den Schaden bei Fehlern oder Missbrauch – besonders bei Write-Rechten.
  3. Tool-Chaining / Composition Attacks
    Einzeln harmlose Tools werden in Kombination gefährlich (Git/Filesystem/Shell → bis hin zu RCE). Genau solche Ketteneffekte wurden im MCP-Umfeld in Security-Berichten diskutiert.
  4. Supply-Chain-Risiko
    MCP macht das Einbinden neuer Server/Connectoren leicht – dadurch steigt das Risiko durch unsichere oder kompromittierte Tool-Komponenten.
  5. Datenabfluss
    Agents sammeln viel Kontext (Logs, Tickets, Configs). Ohne Filter/Redaction können Secrets, interne Details oder Kundendaten „mitzusammengefasst“ werden.
  6. DoS & Kostenexplosion
    Große Abfragen (Logs/Traces/Repos) können Systeme und Budgets belasten („Model/Tool DoS“).
  7. Guardrails, die sich bewähren
  • Read-only Default, Write nur gezielt.
  • PR-first statt exec-first (Changes als Pull Request).
  • Approval Gates für riskante Aktionen (Ticket + Review + Policy).
  • Least Privilege: pro Tool eigener Identity-Scope, getrennt nach Dev/Prod.
  • Gateway/Policy Layer vor MCP-Servern (AuthZ, Rate limits, Logging).
  • Egress-Kontrolle (Allowlists, private endpoints).
  • Tool-Design ohne freie Shell-Strings: strukturierte Parameter + serverseitige Validierung.
  • Untrusted Context markieren (Tickets/Logs nie direkt zu Actions machen).
  • Audit Trails für jeden Tool-Call.
  • Break-glass: zeitlich begrenzte Elevated Rights + 4-Augen-Prinzip.

Wichtig: Autonomie nur dort, wo du auch einem Cronjob ohne Aufsicht vertrauen würdest.

Weitere Blogs zum Thema: www.digital-engineering-jobs.ch

Ähnliche Beiträge