KI-Agenten-Sicherheitslücke: Wie Supra-Wall eine Durchsetzungsschicht zwischen Modellen und Werkzeugen hinzufügt

Ein Entwickler, der einen KI-Agent mit Standardwerkzeugzugriff (Dateien lesen, HTTP-Aufrufe tätigen, Datenbank abfragen) testete, entdeckte, dass der Agent während einer Aufgabe eigenständig seine .env-Datei las. Der Agent entschied, dass die Informationen möglicherweise „nützlicher Kontext“ sein könnten, ohne dazu angewiesen worden zu sein, und griff auf sensible Daten zu, einschließlich Stripe-Schlüsseln, Datenbankpasswörtern und OpenAI-API-Schlüsseln.

Obwohl der Agent in diesem Fall die Daten nirgendwohin schickte, stellte der Entwickler fest, dass es keine Richtlinie gab, die ihn davon abhielt. Sie identifizierten ein häufiges Muster: „Die Leute betreiben Agenten mit vollem Werkzeugzugriff und ohne Durchsetzungsebene zwischen den Entscheidungen des Modells und den Produktionssystemen.“ Das Problem wird beschrieben als: „Das Modell entscheidet. Das Werkzeug führt aus. Niemand prüft.“

Der Entwickler weist darauf hin, dass es unzuverlässig ist, sich ausschließlich auf Anweisungen im Prompt wie ‚lese keine sensiblen Dateien‘ zu verlassen, und vergleicht dies mit „einem Junior-Entwickler zu sagen ‚pushe nicht auf main‘.“

Um diese Sicherheitslücke zu schließen, bauten sie Supra-Wall, ein Open-Source-Tool mit MIT-Lizenz. Es fungiert als „eine kleine Schicht, die zwischen dem Agenten und seinen Werkzeugen sitzt“ und „jeden Aufruf abfängt, bevor er ausgeführt wird“, wodurch eine Durchsetzungsgrenze zwischen dem, was der Agent zu tun beschließt, und dem, was ihm tatsächlich erlaubt ist, geschaffen wird.