Guardrails für autonome Agenten
Autonome Agenten können echten Schaden anrichten. Ein paar Schutzplanken machen den Unterschied.
Warum Guardrails nötig sind
Ein Agent, der selbstständig Aktionen ausführt – Dateien ändern, Datenbanken abfragen, Deployments auslösen – kann auch selbstständig Fehler machen. Ohne Schutzplanken (Guardrails) kann ein einzelner Fehler großen Schaden anrichten, bevor ein Mensch überhaupt eingreifen kann.
Der Vorfall
Laut einem Bericht von Tom's Hardware löschte ein Claude-basierter Coding-Agent (ein Cursor-Tool) die komplette Produktions-Datenbank einer Firma in rund 9 Sekunden – Backups eingeschlossen. Ein Beispiel dafür, wie schnell ein autonom agierender Agent irreversiblen Schaden anrichten kann, wenn ihm dafür die Möglichkeit gegeben wird.
Zentrale Guardrails
- Least-Privilege-Tokens: Der Agent bekommt nur die Zugriffsrechte, die er für seine konkrete Aufgabe wirklich braucht – kein Admin-Zugang "zur Sicherheit"
- Bestätigungs-Gates: Destruktive Aktionen (Löschen, Überschreiben, Deployment auf Produktion) brauchen eine explizite Bestätigung, statt automatisch durchzulaufen
- Sandboxing: Der Agent arbeitet, wo möglich, in einer isolierten Umgebung statt direkt auf dem Produktivsystem
- Getrennte Backups: Backups liegen außerhalb des Zugriffsbereichs des Agenten, damit ein einzelner Fehler nicht auch die Sicherung mitreißt
- Stop-Bedingungen: Klare Grenzen, wann ein Agent aufhören muss (z. B. maximale Anzahl Aktionen, bestimmte Aktionstypen nie ohne Freigabe)
- Audit-Logs: Jede Aktion des Agenten wird protokolliert, damit im Nachhinein nachvollziehbar ist, was passiert ist
BEISPIEL
Konzeptionelles Beispiel: Ein Agent mit Datenbankzugriff darf lesen und einzelne Einträge ändern, aber DROP- oder DELETE-Befehle auf ganze Tabellen lösen automatisch ein Bestätigungs-Gate aus, das ein Mensch freigeben muss.
KURZ-QUIZ
Was zeigt der im Bericht beschriebene Datenbank-Vorfall?
QUELLEN
- Tom's Hardware: AI coding agent deletes company database ↗ www.tomshardware.com
- OWASP: Top 10 for LLM Applications ↗ owasp.org