● 14 · LEHRTAFEL · AGENT SECURITY · LEHRTAFEL · AGENT-SICHERHEIT

Assume the input is hostile.

Nimm an, die Eingabe ist feindlich.

A helpful agent and an open door look the same until someone walks through. The moment an agent reads outside text and holds real permissions, it can be steered by whoever wrote that text. This article covers the three ways agents get attacked, the four guardrails that contain them, and a habit that keeps a useful agent from becoming a liability.

Ein hilfreicher Agent und eine offene Tür sehen gleich aus, bis jemand hindurchgeht. In dem Moment, in dem ein Agent fremden Text liest und echte Rechte hält, kann ihn lenken, wer diesen Text geschrieben hat. Diese Tafel behandelt die drei Arten, wie Agents angegriffen werden, die vier Leitplanken, die sie eindämmen, und eine Gewohnheit, die einen nützlichen Agent davon abhält, ein Risiko zu werden.

3
Attack classes behind most incidentsAngriffsklassen hinter den meisten Vorfällen
4
Guardrails that contain themLeitplanken, die sie eindämmen
1
Human gate before irreversible actsMenschliche Schranke vor irreversiblen Akten
READ THE METHOD METHODE LESEN ┌──→
FILE · 14 / SERIE AI & AGENTIC EXPLAINED READING TIME · 12 MINUTESLESEZEIT · 12 MINUTEN VERSION · v.2026.06
● 01 · THREE WAYS AGENTS GET ATTACKED · DREI ARTEN, WIE AGENTS ANGEGRIFFEN WERDEN

Three doors, one building.

Drei Türen, ein Gebäude.

Almost every agent incident fits one of three shapes. The agent is told to do something other than its job, the agent uses a real permission for the wrong end, or the agent says something it should have kept private. Naming the three makes them defensible. Each one has a place it enters and a kind of damage it does.

Fast jeder Agent-Vorfall passt in eine von drei Formen. Dem Agent wird etwas anderes als seine Aufgabe aufgetragen, der Agent nutzt ein echtes Recht für den falschen Zweck, oder der Agent sagt etwas, das er hätte für sich behalten sollen. Die drei zu benennen macht sie verteidigbar. Jede hat einen Ort, an dem sie eindringt, und eine Art Schaden, die sie anrichtet.

HIJACK · THE INPUT KAPERN · DIE EINGABE

The input takes over.

Die Eingabe übernimmt.

Prompt injection. Hidden instructions inside a document, web page, or email tell the agent to ignore its task and follow them instead. The agent reads commands and content through the same eyes, so unless you teach it the difference, the attacker's text wins.

Prompt Injection. Versteckte Anweisungen in einem Dokument, einer Webseite oder einer Mail sagen dem Agent, seine Aufgabe zu ignorieren und stattdessen ihnen zu folgen. Der Agent liest Befehle und Inhalt mit denselben Augen, also gewinnt der fremde Text, solange du ihm den Unterschied nicht beibringst.

  • Hidden in fetched content
  • Overrides the real task
  • Invisible to the user
  • Versteckt im geholten Inhalt
  • Überschreibt die echte Aufgabe
  • Für den Nutzer unsichtbar
MISUSE · THE TOOLS MISSBRAUCH · DIE TOOLS

The tools go too far.

Die Tools gehen zu weit.

Tool misuse. The agent is confused or steered into using a real permission for the wrong end: deleting records, sending mail, moving money. Nothing is exploited in the classic sense; a legitimate capability is simply pointed at the wrong target. The damage scales with what the agent may touch.

Tool-Missbrauch. Der Agent wird verwirrt oder dazu gelenkt, ein echtes Recht für den falschen Zweck zu nutzen: Datensätze löschen, Mails senden, Geld bewegen. Nichts wird im klassischen Sinn ausgenutzt; eine legitime Fähigkeit wird einfach auf das falsche Ziel gerichtet. Der Schaden skaliert mit dem, was der Agent berühren darf.

  • Real permission, wrong goal
  • Scales with access
  • Often irreversible
  • Echtes Recht, falsches Ziel
  • Skaliert mit dem Zugriff
  • Oft nicht rückgängig
LEAK · THE OUTPUT ABFLUSS · DER OUTPUT

The data walks out.

Die Daten spazieren hinaus.

Data exfiltration. Secrets, internal records, or one user's data end up in an output that reaches somewhere it should not. A leak needs no dramatic exploit. It needs an answer that simply says too much, returned to the wrong reader at the wrong moment.

Datenabfluss. Geheimnisse, interne Datensätze oder die Daten eines Nutzers landen in einem Output, der irgendwohin gelangt, wo er nicht hingehört. Ein Abfluss braucht keinen dramatischen Exploit. Er braucht eine Antwort, die schlicht zu viel sagt, geliefert an den falschen Leser im falschen Moment.

  • Secrets in plain output
  • Crosses a trust boundary
  • Hard to take back
  • Geheimnisse im offenen Output
  • Überschreitet eine Vertrauensgrenze
  • Schwer zurückzuholen
● 02 · WHAT TO PUT IN THE WAY · WAS MAN DAZWISCHENSTELLT

Four guardrails do the work.

Vier Leitplanken erledigen die Arbeit.

You do not secure an agent by trusting it more. You secure it by placing constraints around it that hold even when its reasoning fails. Four guardrails cover most of the job: check what comes in, limit what it can reach, check what goes out, and pause what cannot be undone. Each closes one door, and each has a trap that makes it feel safe while leaking.

Du sicherst einen Agent nicht, indem du ihm mehr vertraust. Du sicherst ihn, indem du Schranken um ihn legst, die halten, selbst wenn sein Denken versagt. Vier Leitplanken decken das meiste ab: prüfen, was hereinkommt, begrenzen, was er erreichen kann, prüfen, was hinausgeht, und anhalten, was nicht rückgängig zu machen ist. Jede schließt eine Tür, und jede hat eine Falle, die sich sicher anfühlt, während sie leckt.

GUARDRAILLEITPLANKE What it doesWas sie tut How to apply itWie man sie anwendet The trapDie Falle
INPUT VALIDATIONEINGABE-PRÜFUNG Separates trusted instructions from untrusted contentTrennt vertrauenswürdige Anweisungen von fremdem Inhalt Label fetched text as data, never as commands; quote or strip embedded instructionsGeholten Text als Daten kennzeichnen, nie als Befehle; eingebettete Anweisungen zitieren oder entfernen A filter that blocks known phrases misses every phrasing it has not seen yetEin Filter, der bekannte Formeln blockt, verpasst jede Formulierung, die er noch nicht kennt
LEAST PRIVILEGEGERINGSTE RECHTE Limits what the agent can reach at allBegrenzt, was der Agent überhaupt erreichen kann Grant the fewest permissions and narrowest scope that still finish the job; read-only where possibleDie wenigsten Rechte und den engsten Umfang vergeben, die die Aufgabe noch erledigen; nur lesend, wo möglich Broad credentials granted for convenience become the blast radius of every mistakeBreite Zugänge aus Bequemlichkeit werden zum Schadensradius jedes Fehlers
OUTPUT FILTERINGOUTPUT-FILTER Catches secrets and private data before they leaveFängt Geheimnisse und private Daten ab, bevor sie hinausgehen Scan the response for keys, internal IDs, and other users' data; redact or block before sendingDie Antwort auf Schlüssel, interne IDs und fremde Nutzerdaten prüfen; vor dem Senden schwärzen oder blocken A filter tuned to one secret format lets a different format pass untouchedEin auf ein Geheimnis-Format getrimmter Filter lässt ein anderes Format unberührt durch
HUMAN GATEMENSCHLICHE SCHRANKE Stops irreversible actions for a person to confirmHält irreversible Aktionen an, damit ein Mensch bestätigt Require explicit approval before sending, paying, deleting, or publishingAusdrückliche Freigabe verlangen vor Senden, Zahlen, Löschen oder Veröffentlichen Gate everything and people approve blindly; gate only what truly cannot be undoneAlles abriegeln und Menschen winken blind durch; nur abriegeln, was wirklich nicht rückgängig ist
● 03 · HARDENING IN FOUR STEPS · ABSICHERN IN VIER SCHRITTEN

Map it before you trust it.

Kartiere es, bevor du ihm traust.

Securing an agent is a routine, not a one-time switch. The order matters: you cannot constrain what you have not drawn, and you cannot trust what you have not attacked. Four steps take an agent from hopeful to hardened, and the last one is the one most teams skip until an incident forces it.

Einen Agent abzusichern ist eine Routine, kein einmaliger Schalter. Die Reihenfolge zählt: Du kannst nicht begrenzen, was du nicht gezeichnet hast, und nicht trauen, was du nicht angegriffen hast. Vier Schritte bringen einen Agent von hoffnungsvoll zu gehärtet, und den letzten überspringen die meisten Teams, bis ein Vorfall ihn erzwingt.

01 · MAPKARTIEREN

List what it can touch.

Auflisten, was es berühren kann.

Write down every tool, permission, and data source the agent can reach. You cannot secure an attack surface you have never drawn. Most teams are surprised by how long the list turns out to be.

Schreib jedes Tool, jedes Recht und jede Datenquelle auf, die der Agent erreichen kann. Du kannst eine Angriffsfläche nicht sichern, die du nie gezeichnet hast. Die meisten Teams überrascht, wie lang die Liste ausfällt.

02 · CONSTRAINBEGRENZEN

Cut to least privilege.

Auf geringste Rechte kürzen.

Remove every permission the task does not strictly need. Narrow the scopes, switch to read-only where you can, and give each job its own credentials. Convenience is the enemy at this step.

Entfern jedes Recht, das die Aufgabe nicht zwingend braucht. Eng die Umfänge ein, wechsle auf nur lesend, wo es geht, und gib jeder Aufgabe eigene Zugänge. Bequemlichkeit ist hier der Feind.

03 · MONITORBEOBACHTEN

Log every action.

Jede Aktion protokollieren.

Record each tool call and output with enough detail to reconstruct what happened. A silent agent cannot be audited, and an agent that cannot be audited cannot be trusted after the first surprise.

Halt jeden Tool-Call und Output mit genug Detail fest, um zu rekonstruieren, was geschah. Ein stiller Agent lässt sich nicht prüfen, und ein Agent, der sich nicht prüfen lässt, ist nach der ersten Überraschung nicht mehr vertrauenswürdig.

04 · DRILLANGREIFEN

Attack it on purpose.

Mit Absicht angreifen.

Try to make the agent misbehave before an attacker does. Inject instructions into its inputs, ask it for secrets, push it past its scope. Every weakness you find becomes the next guardrail you write.

Versuch, den Agent zum Fehlverhalten zu bringen, bevor ein Angreifer es tut. Schleus Anweisungen in seine Eingaben, frag ihn nach Geheimnissen, treib ihn über seinen Umfang hinaus. Jede gefundene Schwäche wird zur nächsten Leitplanke, die du schreibst.

● 04 · THE REQUEST LIFECYCLE · CLICK ANY STAGE · DER REQUEST-LEBENSZYKLUS · STUFE ANKLICKEN

Six stages, four gates.

Sechs Stufen, vier Schranken.

Every request an agent handles travels the same road, from raw input to a real action. The guardrails from chapter two are not abstract: each one lives at a specific stage on this road. Click any stage to see what it does and what gets through when it is missing. The dashed boxes are the gates; the solid ones are where the agent itself works.

Jede Anfrage, die ein Agent bearbeitet, fährt dieselbe Straße, von der rohen Eingabe zur echten Aktion. Die Leitplanken aus Kapitel zwei sind nicht abstrakt: Jede wohnt an einer bestimmten Stufe dieser Straße. Klick eine beliebige Stufe an, um zu sehen, was sie tut und was durchkommt, wenn sie fehlt. Die gestrichelten Kästen sind die Schranken; die durchgezogenen sind dort, wo der Agent selbst arbeitet.

THE REQUEST LIFECYCLE ● CLICK A STAGE ● STUFE ANKLICKEN
01 INPUT ARRIVES 02 INPUT GUARD GATE 03 AGENT PLANS 04 TOOL GATE GATE 05 OUTPUT GUARD GATE 06 ACTION COMMITS
● 05 · THE RULE BEHIND THE RULE · DIE REGEL HINTER DER REGEL

Every permission is a liability.

Jedes Recht ist eine Last.

Most of agent security collapses into a single discipline: give the agent less. A guardrail you forget can still hold if the agent never had the permission to do harm in the first place. Access is not a feature you add for capability; it is a risk you accept on purpose, and the smallest acceptable amount is almost always less than what feels convenient.

Der Großteil der Agent-Sicherheit fällt in eine einzige Disziplin zusammen: Gib dem Agent weniger. Eine vergessene Leitplanke kann trotzdem halten, wenn der Agent das Recht zum Schaden nie hatte. Zugriff ist keine Fähigkeit, die du für Leistung hinzufügst; er ist ein Risiko, das du bewusst eingehst, und die kleinste vertretbare Menge ist fast immer weniger als das, was bequem wirkt.

0
FAUSTREGEL · LEAST PRIVILEGE
FAUSTREGEL · GERINGSTE RECHTE

"An agent should hold the fewest permissions that still let it finish the job, and zero beyond that. Every extra permission is not a convenience, it is the blast radius of the next mistake. When you cannot decide whether to grant access, the answer is no: adding a permission later costs a minute, explaining a leak costs a quarter."

"Ein Agent sollte die wenigsten Rechte halten, die ihn die Aufgabe noch erledigen lassen, und null darüber hinaus. Jedes zusätzliche Recht ist keine Bequemlichkeit, es ist der Schadensradius des nächsten Fehlers. Wenn du nicht entscheiden kannst, ob du Zugriff gibst, lautet die Antwort nein: Ein Recht später hinzuzufügen kostet eine Minute, einen Datenabfluss zu erklären kostet ein Quartal."

● 01 · THREE SIGNALS THE AGENT IS CONTAINED · DREI SIGNALE, DASS DER AGENT EINGEHEGT IST

It runs with narrow, named permissions. You can list exactly what it can touch and why each grant exists. An agent whose access fits on a sticky note is one you can actually reason about.

Er läuft mit engen, benannten Rechten. Du kannst genau auflisten, was er berühren kann und warum jedes Recht existiert. Ein Agent, dessen Zugriff auf einen Notizzettel passt, ist einer, über den du wirklich nachdenken kannst.

Untrusted content cannot give it orders. Text it fetches is treated as data to read, not instructions to follow. You confirmed this with a hostile document on purpose, and the agent held its task.

Fremder Inhalt kann ihm keine Befehle geben. Text, den er holt, gilt als Daten zum Lesen, nicht als Anweisung zum Befolgen. Du hast das mit einem feindlichen Dokument absichtlich geprüft, und der Agent hielt an seiner Aufgabe fest.

Irreversible actions wait for a human. Sending, paying, deleting, and publishing pause for approval. The agent proposes the action; a person commits it.

Irreversible Aktionen warten auf einen Menschen. Senden, Zahlen, Löschen und Veröffentlichen halten zur Freigabe an. Der Agent schlägt die Aktion vor; ein Mensch führt sie aus.

● 02 · THREE SIGNALS IT IS EXPOSED · DREI SIGNALE, DASS ER OFFEN LIEGT

Nobody can list its permissions. If "what can this agent reach" takes a meeting to answer, the honest answer is "too much". Unknown scope is unbounded risk wearing a calm face.

Niemand kann seine Rechte auflisten. Wenn "was kann dieser Agent erreichen" ein Meeting zur Beantwortung braucht, lautet die ehrliche Antwort "zu viel". Unbekannter Umfang ist unbegrenztes Risiko mit ruhigem Gesicht.

It follows instructions from anywhere. A web page or email that says "ignore your rules" changes how it behaves. The agent cannot tell a command from content, so every source it reads is a potential operator.

Er folgt Anweisungen von überall. Eine Webseite oder Mail, die "ignoriere deine Regeln" sagt, ändert sein Verhalten. Der Agent kann Befehl nicht von Inhalt unterscheiden, also ist jede Quelle, die er liest, ein möglicher Steuermann.

Its actions leave no trace. When something goes wrong, you cannot reconstruct what it did or why. An agent you cannot audit is an agent you cannot trust the next morning.

Seine Aktionen hinterlassen keine Spur. Wenn etwas schiefgeht, kannst du nicht rekonstruieren, was er tat oder warum. Ein Agent, den du nicht prüfen kannst, ist ein Agent, dem du am nächsten Morgen nicht trauen kannst.

● 06 · SIX TERMS FOR AGENT SECURITY · SECHS BEGRIFFE FÜR AGENT-SICHERHEIT

Six terms, one vocabulary.

Sechs Begriffe, eine Sprache.

Security has a small working vocabulary that keeps a review precise. These six terms cover most of what gets said when a team decides whether an agent is safe to let loose. Use them and the conversation stops talking past itself.

Sicherheit hat einen kleinen Arbeitswortschatz, der ein Review präzise hält. Diese sechs Begriffe decken das meiste ab, was gesagt wird, wenn ein Team entscheidet, ob ein Agent sicher freizulassen ist. Nutze sie und das Gespräch redet nicht mehr aneinander vorbei.

PROMPT INJECTION
PROMPT INJECTION
An attack that hides instructions inside content the agent reads, so the agent follows the attacker's command instead of the user's task. It is the defining risk of any agent that reads text it did not write itself.
Ein Angriff, der Anweisungen in Inhalt versteckt, den der Agent liest, sodass der Agent dem Befehl des Angreifers statt der Aufgabe des Nutzers folgt. Es ist das prägende Risiko jedes Agents, der Text liest, den er nicht selbst geschrieben hat.
LEAST PRIVILEGE
GERINGSTE RECHTE
The principle of granting an agent the fewest permissions and the narrowest scope that still let it do its job. It limits how much damage any single mistake or attack can cause, regardless of how the agent fails.
Das Prinzip, einem Agent die wenigsten Rechte und den engsten Umfang zu geben, die ihn seine Aufgabe noch erledigen lassen. Es begrenzt, wie viel Schaden ein einzelner Fehler oder Angriff anrichten kann, egal wie der Agent versagt.
TOOL GATE
TOOL-SCHRANKE
A checkpoint that validates each tool call against an allow-list and a scope before it runs. The gate is where a confused or hijacked agent gets stopped from acting on a plan it should never have formed.
Ein Prüfpunkt, der jeden Tool-Call gegen eine Erlaubnisliste und einen Umfang prüft, bevor er läuft. Die Schranke ist der Ort, an dem ein verwirrter oder gekaperter Agent davon abgehalten wird, einen Plan auszuführen, den er nie hätte fassen dürfen.
DATA EXFILTRATION
DATENABFLUSS
The leakage of secrets, internal records, or one user's data into an output that reaches somewhere it should not. It often needs no exploit at all, only an answer that says too much to the wrong reader.
Das Abfließen von Geheimnissen, internen Datensätzen oder den Daten eines Nutzers in einen Output, der irgendwohin gelangt, wo er nicht hingehört. Oft braucht es gar keinen Exploit, nur eine Antwort, die dem falschen Leser zu viel sagt.
GUARDRAIL
LEITPLANKE
A constraint placed around an agent that prevents a class of harmful behavior regardless of what the agent decides. A good guardrail holds even when the reasoning fails, which is exactly when you need it.
Eine Schranke um einen Agent, die eine Klasse schädlichen Verhaltens verhindert, egal was der Agent entscheidet. Eine gute Leitplanke hält auch dann, wenn das Denken versagt, also genau dann, wenn du sie brauchst.
BLAST RADIUS
SCHADENSRADIUS
The total damage a single mistake or attack could cause, set by what the agent is allowed to reach. Least privilege shrinks the blast radius; broad access for convenience widens it without anyone noticing.
Der gesamte Schaden, den ein einzelner Fehler oder Angriff anrichten könnte, bestimmt durch das, was der Agent erreichen darf. Geringste Rechte schrumpfen den Schadensradius; breiter Zugriff aus Bequemlichkeit weitet ihn, ohne dass es jemand bemerkt.
● 07 · WHAT COMES NEXT · WAS KOMMT ALS NÄCHSTES

The agent is safe.
Can it also prove it?

Der Agent ist sicher.
Kann er es auch belegen?

Security closes the loop on building, running, and trusting a single agent. What remains is the harder world it has to live in: places where every action is audited and a regulator can ask, after the fact, exactly why the agent did what it did. The next article covers agents in regulated industries, where being safe is not enough until you can show it.

Sicherheit schließt den Kreis aus Bauen, Betreiben und Vertrauen für einen einzelnen Agent. Was bleibt, ist die härtere Welt, in der er leben muss: Orte, an denen jede Aktion geprüft wird und eine Aufsicht im Nachhinein fragen kann, warum genau der Agent tat, was er tat. Die nächste Tafel behandelt Agents in regulierten Branchen, wo sicher sein nicht genügt, solange du es nicht zeigen kannst.

NEXT · CARD 15 NÄCHSTE · TAFEL 15

Agents in regulated industries.

Agents in regulierten Branchen.

Running agents where every action is audited: finance, healthcare, the public sector. The controls a regulator expects, the evidence you keep, and how to prove what an agent did.

Agents betreiben, wo jede Aktion geprüft wird: Finanzwesen, Gesundheit, öffentlicher Sektor. Die Kontrollen, die eine Aufsicht erwartet, die Belege, die du aufhebst, und wie man beweist, was ein Agent getan hat.

REQUEST CARD 15 TAFEL 15 ANFORDERN ┌──→
COMING LATER BALD VERFÜGBAR

More cards in the series.

Mehr Tafeln in der Reihe.

The series continues with cards on the economics of long-running agents and the day-to-day of operating a fleet of them. New cards publish roughly every two weeks.

Die Reihe geht weiter mit Tafeln zur Ökonomie langlaufender Agents und zum Alltag, eine ganze Flotte davon zu betreiben. Neue Tafeln erscheinen etwa alle zwei Wochen.

FOLLOW ON READIX AUF READIX FOLGEN ┌──→
START THE SERIES REIHE VON VORNE

Start from card one.

Ab Tafel eins beginnen.

If this is the first card you've read, start at the beginning. Card 01 explains what AI and agentic AI actually are, without the hype. Each card builds on the previous one.

Wenn das die erste Tafel ist, die du gelesen hast, beginne am Anfang. Tafel 01 erklärt, was AI und Agentic AI tatsächlich sind, ohne den Hype. Jede Tafel baut auf der vorherigen auf.

READ CARD 01 TAFEL 01 LESEN ┌──→
← ALL CARDS IN THE SERIES ← ALLE TAFELN IN DER REIHE
01 · What is AI?· Was ist AI? 02 · How an Agent Thinks· Wie ein Agent denkt 03 · Tools & MCPs· Tools & MCPs 04 · Risk & Trust· Risiko & Trust 05 · Your First Agent· Dein erster Agent 06 · Agent Teams· Agent-Teams 07 · Care & Iteration· Pflege & Iteration 08 · Use-Case Library· Use-Case-Bibliothek 09 · Cost & ROI· Kosten & ROI 10 · Where This Is Going· Wohin die Reise geht 11 · Agents in the Team· Agents im Team 12 · Data Hygiene & Context· Datenhygiene & Context 13 · Evaluation Methodology· Evaluierungsmethodik