OWASP Top 10 für agentische KI 2026: Was eine lokale, ausgehend-freie Architektur wirklich entschärft

Bisher drehte sich die KI-Sicherheitsdebatte um einzelne Assistenten: ein Chatfenster, eine Prompt Injection, ein Datenleck. Mit agentischer KI ändert sich die Angriffsfläche grundlegend. Agenten handeln autonom, rufen Werkzeuge auf, verketten Schritte und kommunizieren über das Model Context Protocol (MCP) mit anderen Servern. Im Dezember 2025 hat OWASP dafür die erste eigene Rangliste veröffentlicht: die Top 10 for Agentic Applications (Version 2026) mit den Risiken ASI01 bis ASI10.

Die ehrliche Frage für regulierte Unternehmen ist nicht „macht uns lokale KI immun?", sondern „welche dieser Risiken entschärft eine lokale, ausgehend-freie Architektur wirklich – und welche nicht?". Genau das klären wir, belegt mit zwei realen Vorfällen.

Was ist die OWASP Top 10 for Agentic Applications 2026?

Es ist die erste eigene OWASP-Rangliste für agentische KI, veröffentlicht im Dezember 2025 (Version 2026) vom OWASP GenAI Security Project, entwickelt mit über 100 Fachleuten. Sie definiert zehn Risiken – von Agent Goal Hijack über Tool-Missbrauch und Lieferketten bis zu Rogue Agents – speziell für autonome Agenten mit Werkzeugen und MCP, nicht nur für einzelne Chat-Assistenten.

Zur sauberen Einordnung: Die offizielle Ankündigung trägt das Datum 9. Dezember 2025; der Launch erfolgte in London im Rahmen des London Agentic Security Summit (OWASP GenAI Security Project), in derselben Woche wie die Black Hat Europe 2025. Es ist die erste nummerierte agentische Top 10 – nicht OWASPs erste Publikation zu Agentic AI (zuvor gab es bereits „Agentic AI – Threats and Mitigations").

Die zehn Risiken ASI01–ASI10 im Überblick

Die Rangliste gliedert die agentischen Risiken so:

• ASI01 Agent Goal Hijack – der Agent wird über manipulierte Eingaben von seinem Ziel abgebracht.
• ASI02 Tool Misuse and Exploitation – legitime Werkzeuge werden missbraucht oder ausgenutzt.
• ASI03 Identity and Privilege Abuse – übermäßige oder missbrauchte Berechtigungen des Agenten.
• ASI04 Agentic Supply Chain Vulnerabilities – Schwachstellen in Werkzeugen, Servern und Abhängigkeiten.
• ASI05 Unexpected Code Execution (RCE) – ungewollte Codeausführung über die Agenten-Kette.
• ASI06 Memory and Context Poisoning – Vergiftung von Gedächtnis und Kontext des Agenten.
• ASI07 Insecure Inter-Agent Communication – unsichere Kommunikation zwischen Agenten.
• ASI08 Cascading Failures – kaskadierende Fehler über verkettete Schritte.
• ASI09 Human-Agent Trust Exploitation – Ausnutzung des Vertrauens zwischen Mensch und Agent.
• ASI10 Rogue Agents – außer Kontrolle geratene oder bösartige Agenten.

Wer einzelne Assistenten und die „Lethal Trifecta" verstehen will, findet die Grundlagen in unserem Beitrag, wie KI-Assistenten zum Datenleck werden. Dieser Artikel erweitert das Bild auf autonome Agenten plus Werkzeuge plus MCP.

Worin unterscheiden sich agentische Risiken von klassischen KI-Assistenten?

Einzelne Assistenten sind anfällig für Prompt Injection plus die Lethal Trifecta: Datenzugriff, fremde Inhalte und ein Exfiltrationskanal. Agenten kommen darüber hinaus: Sie handeln autonom, rufen Werkzeuge auf, verketten Schritte und kommunizieren über MCP mit anderen Servern und Agenten. Dadurch entstehen neue Risikoklassen – Tool-Missbrauch, Identitäts- und Rechte-Missbrauch, Lieferketten- und Codeausführungs-Risiken sowie kaskadierende Fehler.

Der Unterschied ist nicht akademisch. Sobald ein Agent ein Werkzeug aufrufen darf, wird aus einer manipulierten Eingabe nicht nur eine falsche Antwort, sondern eine ungewollte Handlung – ein Dateizugriff, ein API-Call, ein Pull Request. Die Frage verschiebt sich von „was sagt das Modell?" zu „was tut der Agent in meinem Namen?".

Welche dieser Risiken reduziert eine lokale, ausgehend-freie Architektur wirklich?

Vor allem die Infrastruktur- und Zugriffsrisiken. ASI04 Lieferkette und ASI05 Codeausführung entfallen weitgehend, wenn keine externen MCP-Server erreichbar sind; ASI02 Tool-Missbrauch und ASI03 Rechte-Missbrauch lassen sich durch Least Privilege deutlich mindern. ASI01 Agent Goal Hijack löst sie nicht – das ist die Ehrlichkeitsgrenze. Diese Einordnung ist Lokalaise-Analyse, abgebildet auf die OWASP-Taxonomie, keine OWASP-Aussage.

ASI04/ASI05 – Lieferkette und Codeausführung: der Fall CVE-2025-6514

Was zeigt der Fall CVE-2025-6514 konkret? JFrog entdeckte eine OS-Command-Injection mit CVSS 9.6 (Critical) im npm-Paket mcp-remote (CWE-78, betroffen 0.0.5 bis 0.1.15, behoben in 0.1.16, veröffentlicht am 9. Juli 2025). Sie erlaubt volle Remote Code Execution auf dem Client – aber nur, wenn sich der Client mit einem nicht vertrauenswürdigen Remote-MCP-Server verbindet oder per http einem Man-in-the-Middle ausgesetzt ist.

JFrog beschreibt es als das erste Mal, „that full remote code execution is achieved in a real-world scenario on the client operating system when connecting to an untrusted remote MCP server" – mcp-remote war zu dem Zeitpunkt über 437.000-mal heruntergeladen. Die Hersteller-Mitigation lautet wörtlich: „Only connect to trusted MCP Servers, using HTTPS (secure connection)." Genau diese Vorbedingung – ein nicht vertrauenswürdiger Server oder eine ungeschützte http-Verbindung – entfällt bei einer internen, geprüften, ausgehend-freien MCP-Posture.

ASI02/ASI03 – Tool- und Rechte-Missbrauch: warum Least Privilege zählt

Am 26. Mai 2025 legte Invariant Labs einen Prompt-Injection-„toxic agent flow" gegen den offiziellen GitHub-MCP-Server offen: Ein bösartiges öffentliches GitHub-Issue brachte den Agenten dazu, Daten aus privaten Repositories zu ziehen und über einen Pull Request in einem öffentlichen Repo zu leaken. Invariant betont, dies sei „not a flaw in the GitHub MCP server code itself, but rather a fundamental architectural issue" – GitHub allein könne es nicht per serverseitigem Patch lösen. Empfohlene Gegenmaßnahmen: Least Privilege beim Repo-Zugriff und die Beschränkung auf ein Repository pro Session.

Wichtig: Der GitHub-MCP-Vorfall ist keine CVE, sondern eine offengelegte Architekturschwachstelle. Und das „Goal Hijack"-Label ist unsere Zuordnung zur OWASP-Taxonomie (ASI01/ASI02/ASI03), nicht Invariants eigene Terminologie. Der Fall zeigt beides zugleich: Mit minimalen Rechten und engem Scoping schrumpft der Schaden – aber der Auslöser bleibt eine Prompt Injection.

Wo liegt die Ehrlichkeitsgrenze? ASI01 Agent Goal Hijack

Hier hilft Netzwerk-Isolation nur begrenzt. Treiber von ASI01 ist Prompt Injection, für die OWASP im Eintrag LLM01:2025 feststellt: „Given the stochastic influence at the heart of the way models work, it is unclear if there are fool-proof methods of prevention for prompt injection." Der GitHub-MCP-Fall belegt es praktisch: Ein bösartiges Issue kann einen sauberen, korrekt programmierten Agenten kapern.

Eine ausgehend-freie Architektur blockiert die Exfiltration – das Hinausschicken der Daten –, nicht aber den Hijack selbst. Das ist eine starke Schadensbegrenzung, kein Wundermittel. Wer das Gegenteil verspricht, überzieht. Die wirksamen Gegenmittel sind nicht netzwerktechnisch allein, sondern Least Privilege, ein Repository pro Session und eine bewusste Governance der Agenten – kein Hersteller-Patch löst ASI01.

Wie real ist das Problem? MCP-Schwachstellen in Zahlen

Das community-gepflegte Vulnerable MCP Project listete am 26. Juni 2026 50 dokumentierte MCP-Schwachstellen, davon 13 als Critical, 30 als High und 7 als Medium. Die Spanne reicht vom ältesten Eintrag (Session IDs in URLs, März 2025) bis zum jüngsten (TypeScript-SDK Cross-Client Data Leak, CVE-2026-25536, Februar 2026). Da die Datenbank lebt, sind diese Zahlen eine Momentaufnahme.

Dass das Thema auch im deutschsprachigen Raum zählt, zeigen zwei Fachquellen: Die führende IT-Publikation heise online brachte am 7. Mai 2026 ein Hintergrund-Feature von Udo Schneider (Trend Micro), und Kaspersky.de veröffentlichte am 5. Februar 2026 einen vollständig auf der OWASP ASI Top 10 aufgebauten Leitfaden. Das Framework ist also kein US-Nischenthema.

Welche OWASP-ASI-Risiken eine lokale Architektur entschärft

Die Spalte „reduziert?" ist Lokalaise-Analyse auf Basis der OWASP-Taxonomie – keine OWASP-Aussage. Und zur Vollständigkeit: Auch außerhalb der Netzwerkfrage gilt, was Palo Alto Networks (nicht OWASP) zusammenfasst – die Minderung agentischer Risiken verlangt koordinierte Kontrollen über Sichtbarkeit, Identität, Daten, Lieferkette und Laufzeitverhalten.

Was Lokalaise konkret tut

Lokalaise setzt genau an den reduzierbaren Risikoklassen an – ohne ASI01 zu überversprechen. Eine grounded KI-Plattform auf eigener Hardware bindet Daten über einen permission-aware Knowledge Layer an, betreibt ein geprüftes internes Werkzeug- und MCP-Inventar (ASI02/ASI03/ASI04), vergibt Least-Privilege-Agentenidentitäten und hält jede Aktion im Audit-Trail nachvollziehbar. Ohne ausgehende Verbindung und air-gap-fähig entfällt die Vorbedingung für die Lieferketten- und Codeausführungs-Vorfälle wie CVE-2025-6514 (siehe Sicherheit & Datenhoheit).

Für regulierte Branchen – den AEC-Beachhead ebenso wie Gesundheit, Recht und Finanzen – heißt das: Agentische KI kann auf eigener Hardware laufen, wo sie der größten Angriffsfläche entzogen ist. Das ist dieselbe Logik, die wir aus anderen Blickwinkeln beschrieben haben – von Datensicherheit beim KI-Einsatz im Bau bis zur Souveränitätsfrage. Zur Klarheit: Lokalaise ist ein Enabler, keine Rechtsberatung, und die OWASP Top 10 ist ein freiwilliges Framework, kein Gesetz.

Ihre nächsten Schritte

Drei Fragen zeigen, wie groß Ihr agentisches Risiko ist:

1. Inventar: Wissen Sie, welche Werkzeuge und MCP-Server Ihre Agenten aufrufen dürfen – und ob diese intern und geprüft sind?
2. Rechte: Laufen Ihre Agenten mit minimalen Rechten und engem Scoping, oder mit weitreichendem Zugriff „für alle Fälle"?
3. Exfiltration: Gibt es einen ausgehenden Kanal, über den ein gekaperter Agent Daten hinausschicken könnte – und ist er strukturell geschlossen?

Wo Sie zögern, lohnt der genauere Blick. In einer kurzen Demo zeigen wir Ihnen, wie eine lokale, berechtigungsbewusste Agenten-Architektur die reduzierbaren ASI-Risiken strukturell verkleinert – und ehrlich benennt, wo die Verantwortung des Betreibers bleibt.