What does excessive agency mean in AI applications?

Excessive agency refers to AI agents that have been granted more tools, permissions, or autonomy than their intended function requires. For example, an AI assistant designed to answer HR policy questions does not need the ability to send emails or modify files. When an AI agent has excessive permissions, any successful attack, such as prompt injection, gives the attacker access to all of the agent's capabilities, not just the function the agent was built for.

How can an over-permissioned AI agent be exploited?

An attacker can manipulate an AI agent through prompt injection, social engineering, or by exploiting flaws in the agent's decision-making logic. If the agent has broad permissions, the attacker can instruct it to send emails containing confidential data, share files with external parties, modify records, or perform any action the agent has access to. The attack is especially dangerous because the actions appear to originate from the legitimate user or service account the AI operates under, making them difficult to distinguish from normal activity.

KI-Agent mit übermäßigen Berechtigungen

Manipulate an AI assistant into misusing its own permissions.

What Is KI-Agent mit übermäßigen Berechtigungen?

Wenn ein KI-Assistent E-Mails senden, Dateien ändern, Besprechungen planen und auf Datenbanken zugreifen kann, kann ein einziger manipulierter Prompt Aktionen mit realen Konsequenzen auslösen. Die im Jahr 2024 von Microsoft durchgeführte Studie zur Sicherheit von KI-Agenten ergab, dass Agenten mit zu hohen Berechtigungen die am besten ausnutzbare Konfiguration darstellen, da der Explosionsradius eines erfolgreichen Angriffs direkt mit der Zugriffsebene des Agenten korreliert. In dieser Simulation setzt Ihr Unternehmen einen KI-Assistenten ein, der mit E-Mail-, Kalender-, Dateifreigabe- und internen Nachrichtensystemen verbunden ist. Der Assistent soll bei der Planung und beim Abrufen von Dokumenten helfen, ihm wurden jedoch während einer überstürzten Bereitstellung weitreichende Berechtigungen erteilt. Ein Angreifer manipuliert mithilfe der Prompt-Injection über ein freigegebenes Dokument die KI, um von Ihrem Konto aus eine E-Mail mit einem vertraulichen Dateianhang zu senden und anschließend eine Kalendereinladung so zu ändern, dass sie einen Phishing-Link enthält – und das alles, während Sie in Echtzeit zuschauen. Sie werden verfolgen, wie der KI-Agent die eingegebenen Anweisungen interpretiert, seine verfügbaren Tools bewertet und Aktionen ausführt, die kein Mensch autorisiert hat. Die Übung zeigt den kaskadierenden Schaden übermäßiger Entscheidungsfreiheit: Eine kompromittierte KI-Interaktion führt zu Datenlecks per E-Mail, Phishing-Verbreitung über Kalendereinladungen und unbefugter Dateifreigabe im gesamten Unternehmen. Sie üben die Prüfung von KI-Agent-Berechtigungen, die Konfiguration von Zugriffskontrollen auf Tool-Ebene, die Implementierung der Human-in-the-Loop-Genehmigung für sensible Aktionen und die Anwendung des Prinzips der geringsten Rechte, um sicherzustellen, dass KI-Agenten nur Aktionen innerhalb ihres vorgesehenen Umfangs ausführen können.

What You'll Learn in KI-Agent mit übermäßigen Berechtigungen

Identifizieren Sie übermäßige Berechtigungen und Tool-Zugriffe, die den Explosionsradius der Kompromittierung von KI-Agenten vergrößern
Verfolgen Sie die Kette von manipulierten Prompts bis hin zu nicht autorisierten Aktionen in E-Mail-, Datei- und Kalendersystemen
Wenden Sie das Prinzip der geringsten Rechte nur auf KI-Agentenkonfigurationen, Scoping-Tools und Berechtigungen auf beabsichtigte Funktionen an
Bewerten Sie den Bedarf an Human-in-the-Loop-Genehmigungsworkflows für KI-Aktionen mit realen Konsequenzen
Unterscheiden Sie zwischen notwendigen KI-Agent-Funktionen und praktischen Berechtigungen, die ein unnötiges Sicherheitsrisiko darstellen

KI-Agent mit übermäßigen Berechtigungen — Training Steps

Ein leistungsstarker neuer Assistent

Das Unternehmen hat kürzlich OpenClaw eingeführt, einen KI-Assistenten, der mit E-Mail- und Dateifreigabesystemen verbunden ist. Es wurde schnell eingerichtet, um einen engen Zeitplan einzuhalten, und das IT-Team erteilte ihm weitreichende Berechtigungen, um „die Dinge einfach zu halten“.
Ein Dokument zum Überprüfen

Alice erhält eine E-Mail von ihrem Kollegen Marcus Rivera, dem Projektatlas-Leiter. Er teilt den neuesten strategischen Briefing für das Projekt mit und möchte, dass Alice ihn vor dem Standup-Meeting durchgeht.
Eröffnung des Briefings

Alice öffnet das strategische Briefing des Projektatlas, um den Inhalt vor dem Standup zu überprüfen. Das Dokument sieht professionell aus und enthält Projektmeilensteine, Budgetdetails und Teamkontakte.
Bitten Sie OpenClaw um Hilfe

Das Briefing ist lang und das Aufstehen dauert 30 Minuten. Alice beschließt, OpenClaw zu verwenden, um eine schnelle Zusammenfassung zu erhalten. Sie hängt die heruntergeladene Datei an und gibt einen Prompt ein.
Eine hilfreiche Zusammenfassung

OpenClaw liest die heruntergeladene Datei und gibt eine gut strukturierte Zusammenfassung zurück. Es sieht genau so aus, wie Alice es brauchte – wichtige Meilensteine, Budgetstatus und nächste Schritte.
Etwas Unerwartetes

Während Alice die Zusammenfassung überprüft, arbeitet OpenClaw im Hintergrund weiter. Es hat versteckte Anweisungen gefunden, die im Dokument eingebettet sind, und reagiert nun darauf – unter Verwendung der umfassenden Berechtigungen, die ihm während der Bereitstellung gewährt wurden.
Unautorisierte E-Mail gesendet

OpenClaw hat eine E-Mail von Alices Konto an eine externe Adresse gesendet. Die E-Mail enthält als Anhang die vollständige Beschreibung des Projektatlas – einschließlich Budgetdetails, Partnernamen und Zeitplan für die Erweiterung.
Wissenscheck

Zwei unbefugte Aktionen erfolgten innerhalb von Sekunden. Testen Sie Ihr Verständnis dafür, warum.
Die verborgenen Anweisungen

Alice geht zurück zum Dokument, um herauszufinden, was passiert ist. Versteckt in der HTML-Quelle findet sie Anweisungen, die in ein unsichtbares Element eingebettet sind – Text, der außerhalb des Bildschirms positioniert und transparent gefärbt ist. Ein menschlicher Leser würde es nie sehen, aber die KI hat jedes Wort gelesen und ausgeführt.
Zugriff auf das Sicherheitsportal

Alice muss diesen Vorfall sofort melden. Über ihr Konto wurden zwei unbefugte Aktionen durchgeführt: Eine E-Mail mit vertraulichen Daten wurde an eine externe Domain gesendet und eine Datei wurde extern geteilt.

What Is KI-Agent mit übermäßigen Berechtigungen?

What You'll Learn in KI-Agent mit übermäßigen Berechtigungen

KI-Agent mit übermäßigen Berechtigungen — Training Steps

Ein leistungsstarker neuer Assistent

Ein Dokument zum Überprüfen

Eröffnung des Briefings

Bitten Sie OpenClaw um Hilfe

Eine hilfreiche Zusammenfassung

Etwas Unerwartetes

Unautorisierte E-Mail gesendet

Wissenscheck

Die verborgenen Anweisungen

Zugriff auf das Sicherheitsportal