Das Infrastruktur-Problem, das niemand sieht: Warum KI-Coding-Agents abgesichert werden müssen
Das Sicherheitsproblem, das in deinen Developer Tools lauert
Mal ganz ehrlich: Die meisten Engineering-Teams haben keine Ahnung, wie viele AI Coding Agents gerade in ihrer Organisation aktiv sind. Cursor, Claude Code, GitHub Copilot, Gemini CLI, eigene interne Tools – die Liste wächst monatlich. Jedes Tool hat seine eigenen Einstellungen, sein eigenes Berechtigungsmodell und seine eigene Vorstellung davon, was „sicher" bedeutet.
Das ist kein hypothetisches Szenario. Das ist die aktuelle Realität in Unternehmen.
Anthropic hat kürzlich ihren Ansatz zur Absicherung von Claude vorgestellt. Es lohnt sich, einen Blick darauf zu werfen – nicht weil er perfekt ist, sondern weil er das grundlegende Spannungsfeld zwischen AI-Leistung und organisationaler Kontrolle sichtbar macht. Anthropic kann ihre Agents absichern, weil sie alles kontrollieren: das Modell, die Runtime, den Netzwerkpfad, den Governance-Rahmen. Deine Organisation hat diesen Luxus nicht. Du arbeitest mit einem Flickenteppich aus Drittanbieter-Tools, Entwickler-Autonomie und Sicherheitsrichtlinien, die geschrieben wurden, als AI Agents noch keine Dateien lesen, Shell-Befehle ausführen oder Netzwerke erreichen konnten.
Was Anthropic richtig macht
Die Sandbox-Runtime, die sie veröffentlicht haben, überzeugt durch ihre Einfachheit. Das Prinzip ist Deny-by-Default bei ausgehenden Verbindungen: Versucht ein Agent innerhalb der Sandbox, einen nicht autorisierten Endpunkt zu erreichen, stirbt die Anfrage auf der Proxy-Ebene. Keine Exfiltration, kein Callback, kein Schaden.
So sieht deterministische Sicherheit aus, die tatsächlich funktioniert. Anstatt dem Modell zu vertrauen, dass es „versteht", warum es keine Credentials stehlen sollte, baust du eine harte Grenze, die Credential-Diebstahl physisch unmöglich macht – egal, was der Agent beschließt zu tun.
Anthropic strukturiert seine Verteidigung in drei Schichten, geordnet nach Zuverlässigkeit:
Umgebungsschicht – Harte Grenzen wie VM-Sandboxes, Dateisystem-Mount-Modi und Netzwerk-Allowlists. Das ist das Fundament.
Modellschicht – Verhaltenskontrollen wie System-Prompts, Classifier und Genehmigungsflüsse. Hilfreich, aber explizit als „nie 100% effektiv" anerkannt.
Externe Inhaltsschicht – Regelt, welche Daten den Agenten überhaupt erreichen, inklusive MCP-Server-Auditing und Tool-Output-Inspektion.
Der entscheidende Punkt ist die Rangfolge. Die Umgebungsschicht trägt die Hauptlast. Die Modellschicht ist ein nützliches Supplement. Die externe Inhaltsschicht ist dein Frühwarnsystem.
Der Angriff, über den niemand spricht
Abstrakte Bedrohungsmodelle sind leicht abzutun. Konkrete Beispiele nicht.
Betrachte dieses Szenario, das Security-Forscher regelmäßig reproduzieren: Ein Entwickler klont ein Repository, um eine Open-Source-Bibliothek zu evaluieren. Die README sieht sauber aus. Sie wurde auf Malware gescannt und hat jeden Check bestanden.
Doch in dieser README verbergen sich Anweisungen – nicht für den Menschen, der die Datei liest, sondern für den Agenten, der sie als Kontext aufnehmen könnte. Der injizierte Prompt weist den Agenten an, die „Development Environment einzurichten", indem er .env-Dateien findet, nach AWS-Credentials sucht und sie an einen Setup-Endpunkt hochlädt.
Das ist keine Malware. Das ist nur Text. Der Scanner markiert nichts. Der Entwickler bemerkt nichts. Aber der Agent folgt den Anweisungen, weil Agents genau das tun – sie führen Aufgaben aus, die in ihrem Kontext stecken.
Der Angriff entfaltet sich in Schritten: Erst ein Probe für Environment-Dateien, dann eine Suche nach Upload- und Exfiltrations-Code-Pfaden, dann die finale cURL-Anfrage an den Endpunkt des Angreifers. Jede einzelne Aktion wirkt harmlos. Zusammen ergeben sie Credential-Diebstahl.
Warum dein Laptop nicht reicht
Hier ist die unbequeme Wahrheit: Wenn dieser Agent in einer korrekt konfigurierten Sandbox läuft, schlägt der Angriff auf der Netzwerkschicht fehl. Die cURL-Anfrage erreicht den Angreifer nie. Der Credential verlässt die Maschine nicht.
Aber das ist noch schlimmer: Dein Security-Team hat keine Ahnung, dass es passiert ist.
Die Sandbox begrenzt den Schaden. Sie liefert keine Visibility. Du könntest gerade dutzende kompromittierte Repositories ausführen, jedes davon testet deine Agents, jeder Versuch wird still blockiert – während dein SIEM nichts Relevantes protokolliert.
Das ist das Enterprise-Problem. Es reicht nicht, einzelne Angriffe zu stoppen. Du musst wissen, dass sie passieren, wer betroffen war, welche Repositories zu blockieren sind und wie du eine Richtlinie schreibst, die jeden Agenten in deiner Organisation abdeckt – nicht nur den einen in der Sandbox.
Die MCP-Server-Blindstelle
Hier stutzen die meisten Teams: Model Context Protocol Server sind die am meisten unterschätzte Angriffsfläche bei AI Agent Deployments.
MCP-Server erweitern, was deine Agents tun können. Sie können aus Datenbanken lesen, APIs aufrufen, Code ausführen und auf Systeme zugreifen, die außerhalb deiner Infrastruktur laufen. Wenn du einen MCP-Server genehmigst, gewährst du einem Agenten im Grunde erhöhte Berechtigungen in deiner gesamten Umgebung.
Das Problem? Die meisten Teams genehmigen MCP-Server einmal und überprüfen sie nie wieder. Ein kompromittierter oder bösartiger MCP-Server kann deutlich mehr Schaden anrichten als eine vergiftete README, weil er auf einer höheren Privilegstufe operiert und oft sitzungsübergreifend persistiert.
Dein Governance-Framework muss MCP-Server wie Dritt-Abhängigkeiten behandeln: geprüft, versioniert und überwacht. Ein Agent, der über einen MCP-Server deine Produktionsdatenbank erreichen kann, ist ein Agent, der bei einem Problem deine gesamte Kundentabelle exfiltrieren kann.
Was du wirklich tun kannst
Nichts davon ist unlösbar. Aber es erfordert, AI Agent Security als Infrastrukturproblem zu behandeln – nicht als Developer-Tooling-Problem.
Starte mit der Umgebungsschicht. Wo immer möglich, starte Agents in isolierten Umgebungen mit Deny-by-Default-Netzwerkrichtlinien. Deine Entwickler werden sich über die Reibung beschweren. Sie werden sich weniger beschweren als du, wenn Credentials durchsickern.
Akzeptiere, dass die Modellschicht unvollkommen ist. System-Prompts und Classifier reduzieren Risiken, aber sie eliminieren sie nicht. Leistungsfähigere Modelle sind besser darin, unerwartete Wege um Einschränkungen zu finden. Plane dafür.
Prüfe deine MCP-Server. Erstelle eine Liste jedes MCP-Servers, auf den deine Agents zugreifen können. Behandle sie wie einen Software-Inventarbestand. Entferne alles, was du nicht kennst oder nicht prüfen kannst.
Investiere in Observability. Angriffe zu blockieren ist gut. Zu wissen, dass sie passiert sind, ist besser. Dein Security-Team braucht Visibility über jeden Agenten in deiner Organisation – nicht nur den einen in der Sandbox.
Schreibe Richtlinien, keine Empfehlungen. „Sei vorsichtig mit Credentials" ist keine Sicherheitsrichtlinie. „Agents dürfen keine Netzwerkverbindungen zu nicht-allowlisteten Domains initiieren, während sie auf als extern markierte Repositories zugreifen" ist eine Sicherheitsrichtlinie. Mach die Regeln explizit, durchsetzbar und konsistent.
Das Fazit
Anthropics Transparenz über ihre Agent-Containment-Maßnahmen ist wirklich wertvoll. Sie zeigt, was möglich ist, wenn eine Organisation den gesamten Stack kontrolliert. Aber die meisten Organisationen haben diese Kontrolle nicht – und so zu tun, als hätten sie sie, ist genau der Weg, auf dem Branches passieren.
Die Agents laufen bereits in deiner Organisation. Die Frage ist nicht, ob du sie absicherst – sondern ob du das Governance-Team bist, das die Regeln klärt, bevor etwas schiefgeht.
Deine Entwickler bewegen sich schnell. Stell sicher, dass deine Infrastruktur mithält.