Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > OWASP Agent Memory Guard: Verhindern Sie, dass KI-Agents über ihren eigenen Speicher als Waffe missbraucht werden

OWASP Agent Memory Guard: Verhindern Sie, dass KI-Agents über ihren eigenen Speicher als Waffe missbraucht werden

von Patrick Spencer updated Juni 5, 2026 Cybersecurity-Risikomanagement
Lesezeit: 6 Minuten

KI-Agenten-Memory-Poisoning nutzt aus, dass Agenten zustandsbehaftet sind. Im Gegensatz zu einem klassischen API-Aufruf, der Eingaben verarbeitet und Ausgaben liefert, ohne sich etwas zu merken, hält ein Agent einen persistenten Zustand über mehrere Interaktionen hinweg. Dieser Zustand befindet sich an mehreren Stellen: in Gesprächsverlaufspuffern, in Vektorspeichern, die für Kontext per semantischer Suche abgefragt werden, in Scratchpads, in denen der Agent Zwischenergebnisse notiert, und in RAG-Indizes, die den Agenten mit Unternehmensdokumenten verbinden.

Jeder Angreifer mit Schreibzugriff auf eine dieser Speicherebenen erhält einen Steuerungskanal für das zukünftige Verhalten des Agenten. Dafür muss weder der Code des Agenten, noch die Modellgewichte oder die API-Zugangsdaten kompromittiert werden. Es reicht die Möglichkeit, einen gezielt präparierten String in einen Speicher zu schreiben, den der Agent später ausliest.

Die ASI06-Klassifizierung von OWASP unterscheidet Memory Poisoning von klassischem Prompt Injection durch den Fokus auf Persistenz. Eine direkte Prompt Injection findet in einer einzelnen Sitzung statt und endet mit deren Abschluss. Memory Poisoning überdauert Sitzungsgrenzen, Agenten-Neustarts und sogar Neu-Deployments, sofern der zugrundeliegende Speicher nicht gelöscht wird. Herkömmliche Sicherheitstools haben keine Transparenz darüber, was ein Agent zwischen den Aufrufen speichert.

5 Wichtige Erkenntnisse

1. KI-Agenten-Memory ist in den meisten Unternehmen eine ungeschützte Angriffsfläche.

Gesprächsverläufe, Vektorspeicher, Scratchpads und RAG-Indizes akzeptieren standardmäßig Schreibzugriffe ohne Authentifizierung oder Integritätsprüfung. Ein Angreifer mit Schreibzugriff auf eine dieser Speicherebenen erhält einen persistierenden Steuerungskanal für das zukünftige Agentenverhalten – und dieser überdauert Sitzungsgrenzen, Neustarts und Neu-Deployments, solange der Speicher nicht gelöscht wird. OWASP hat dies als ASI06 in die Top 10 für Agentic Applications aufgenommen. Data-Governance-Frameworks haben auf dieses Bedrohungsmodell noch nicht reagiert.

2. OWASP Agent Memory Guard erreicht 92,5% Recall, 100% Präzision und 59 Mikrosekunden mittlere Latenz.

Fünf Detektoren – Prompt Injection, Erkennung von personenbezogenen Daten/Geheimnissen, Schlüsselmanipulation, SHA-256-Integritätsprüfung und Größenanomalie-Erkennung – laufen inline bei jedem Memory-Read und -Write. Null False Positives bedeutet, dass legitime Speicheroperationen nie blockiert werden. 59 Mikrosekunden mittlere Latenz erlauben den Einsatz im Produktivbetrieb ohne Performance-Einbußen. Diese Werte ermöglichen den Inline-Einsatz, nicht nur die nachgelagerte Analyse.

3. Memory Poisoning ermöglicht Exfiltration über scheinbar normale KI-Workflows.

Ein manipulierter Agent kann Dateien exfiltrieren, externe APIs aufrufen und Inhalte an vom Angreifer kontrollierte Endpunkte weiterleiten – und dabei aus Sicht der Benutzeroberfläche völlig normal funktionieren. Besonders relevant ist dies, wenn KI-Agenten mit sicheren Filesharing-Systemen und Managed File Transfer-Pipelines interagieren, die Verträge, regulierte Daten und geistiges Eigentum enthalten. Sicherheitstools, die auf anomales menschliches Verhalten achten, erkennen diese Angriffsart nicht.

4. ABAC-Durchsetzung begrenzt den Schaden, selbst wenn Memory Poisoning gelingt.

Ein memory-vergifteter Agent, der versucht, auf einen Datenspeicher zuzugreifen, für den er keine Berechtigung hat, wird am Policy Enforcement Point abgelehnt – die vergiftete Anweisung kann nicht ausgeführt werden. Zero-Trust-Prinzipien verlangen, dass jeder Ressourcen-Zugriff explizit autorisiert wird, unabhängig davon, ob die anfragende Entität ein Mensch oder ein KI-Agent ist. Memory Defense stoppt das Poisoning; Zugriffskontrolle begrenzt den Schaden, falls es dennoch gelingt.

5. Memory Poisoning, das zur Exfiltration regulierter Daten führt, ist ein meldepflichtiger Vorfall.

Ein Memory Store mit Patientendaten, CUI oder personenbezogenen Daten unterliegt HIPAA, CMMC und DSGVO – unabhängig davon, ob es sich um eine klassische Datenbank oder einen Vektorindex handelt. Memory Poisoning, das einen Agenten zur Exfiltration regulierter Daten veranlasst, ist unter allen genannten Frameworks ein meldepflichtiger Vorfall. Jede KI-Implementierung, die mit regulierten Daten arbeitet, benötigt eine Memory-Schutzschicht, bevor diese unter Angriffsdruck getestet wird.

Sie Vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber Können Sie es Belegen?

Jetzt lesen

So funktioniert Agent Memory Guard

OWASP Agent Memory Guard agiert als Laufzeit-Interzeptionsschicht zwischen dem KI-Agenten und seinen Memory-Backends. Jeder Lese- und Schreibvorgang durchläuft eine Policy-Evaluierungspipeline, bevor er abgeschlossen wird. Diese Pipeline führt fünf verschiedene Detektoren in Folge aus:

Der Prompt-Injection-Detektor durchsucht Inhalte nach Mustern, die Systemanweisungen überschreiben oder Befehle in den Agenten-Kontext einschleusen wollen. Der Detektor für personenbezogene Daten/Geheimnis-Leakage markiert Inhalte mit personenbezogenen Informationen, Zugangsdaten oder Tokens. Der Schlüsselmanipulations-Detektor erkennt Änderungen an kryptografischem Material. Der SHA-256-Integritätsdetektor prüft, ob Speicherinhalte seit dem ersten Schreiben verändert wurden. Der Größenanomalie-Detektor erkennt ungewöhnlich große Schreibvorgänge, die auf Masseninjektionen hindeuten können.

Die Policy wird in YAML definiert und unterstützt vier Aktionen: erlauben, schwärzen, unter Quarantäne stellen und blockieren. Wird ein Poisoning-Versuch erkannt und blockiert, unterstützt Agent Memory Guard ein Rollback auf einen bekannten, sauberen Speicherzustand – etwas, das klassische Audit-Log-Ansätze nicht bieten. Logging dokumentiert, was passiert ist; Rollback stellt den Agenten tatsächlich wieder auf einen sauberen Betriebszustand zurück.

Das Unternehmensrisiko: Memory als Exfiltrationsvektor

Sicherheitsverantwortliche denken bei KI-Agenten-Risiken meist daran, was der Agent sagen könnte – Halluzinationen, Datenschutzverletzungen, verzerrte Ausgaben. Memory Poisoning eröffnet eine andere Risikokategorie: was der Agent tun könnte. Ein manipulierter Agent kann Dateien exfiltrieren, externe APIs aufrufen, Inhalte an vom Angreifer kontrollierte Endpunkte weiterleiten und Zugriffsrechte eskalieren – und dabei aus Sicht der Benutzeroberfläche völlig normal erscheinen.

Dieser Exfiltrationspfad ist besonders relevant, wenn KI-Agenten mit sicheren Filesharing-Systemen, Managed File Transfer-Pipelines und strukturierten Dokumenten-Repositorys interagieren. Ein Agent, der aus einem vertraulichen Vertragsarchiv liest und Zusammenfassungen in ein Collaboration-Tool schreibt, erfüllt seinen Zweck. Derselbe Agent könnte nach Memory Poisoning aus dem Archiv lesen und den Rohinhalt – nicht nur Zusammenfassungen – an ein vom Angreifer kontrolliertes Ziel senden.

Das Private Data Network von Kiteworks adressiert dies auf der Zugriffskontrolle-Ebene. ABAC-Durchsetzung stellt sicher, dass selbst ein vollständig kompromittierter Agent keinen Zugriff auf Daten außerhalb seiner policy-definierten Berechtigungen erhält – die Identität, die zugewiesene Rolle und der Betriebskontext des Agenten müssen mit der Zugriffsrichtlinie der Ressource übereinstimmen, bevor ein Lese- oder Schreibvorgang erfolgt.

Implementierung einer mehrschichtigen Verteidigung für KI-Agenten-Memory

Unternehmen, die KI-Agenten in regulierten Umgebungen einsetzen, stehen vor einer besonderen Herausforderung: Die regulatorischen Rahmenwerke für Datenverarbeitung – DSGVO, HIPAA, CMMC 2.0 – wurden nicht für agentische KI entwickelt. Ein Memory Store mit Patientendaten, CUI oder personenbezogenen Daten unterliegt diesen Vorgaben, egal ob es sich um eine klassische Datenbank oder einen Vektorindex handelt.

OWASP Agent Memory Guard bietet Schutz zur Laufzeit. Das Kiteworks AI Data Gateway stellt einen kontrollierten Kanal für KI-Interaktionen mit Unternehmensdaten bereit und verhindert, dass sensible Inhalte über unkontrollierte Wege in KI-Systeme oder KI-Memories gelangen. Der Secure MCP Server steuert, welche KI-Tools überhaupt mit Unternehmensdaten interagieren dürfen. KI-Data-Governance in der Praxis bedeutet, KI-Agenten-Memory wie jeden anderen Unternehmensdatenspeicher zu behandeln: klassifizieren, Zugriffskontrollen anwenden, Zugriffsverhalten überwachen und Integrität prüfen.

Erfahren Sie mehr darüber, wie Sie Ihre sensiblen Daten in KI-Agenten-Workflows schützen können, vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

ASI06 ist OWASPs Klassifizierung für Angriffe auf Speicher und Zustand von KI-Agenten. Sie umfasst Szenarien, in denen ein Angreifer persistenten Speicher manipuliert, den ein Agent ausliest – Gesprächsverläufe, Inhalte von Vektorspeichern, Scratchpad-Daten und RAG-Index-Einträge – um das Verhalten in späteren Interaktionen zu verändern. Sie unterscheidet Memory Poisoning von temporärem Prompt Injection durch den Fokus auf Persistenz über Sitzungsgrenzen hinweg. OWASP Agent Memory Guard ist die Referenzimplementierung. Unternehmen, die agentische KI entwickeln, sollten ASI06 als erstklassige Bedrohung neben Prompt Injection und Datenexfiltration behandeln.

ABAC bewertet jeden Ressourcen-Zugriff anhand einer Policy, die die Attribute der anfragenden Entität, der Ressource und der Betriebsumgebung berücksichtigt. Ein memory-vergifteter Agent, der versucht, auf einen Datenspeicher zuzugreifen, für den er nie autorisiert war, wird am Policy Enforcement Point abgelehnt – die vergiftete Anweisung kann nicht ausgeführt werden. Die ABAC-Durchsetzung von Kiteworks greift auf Protokollebene, sodass die Einschränkung unabhängig vom verwendeten KI-Modell oder Orchestrierungsframework gilt. Dies begrenzt den Schaden und ergänzt die Memory Defense zur Laufzeit.

Die meisten herkömmlichen Sicherheitstools haben keine Transparenz in KI-Agenten-Memory-Stores. SIEM-Systeme erkennen anomale API-Aufrufmuster, können aber den semantischen Inhalt eines Vektordatenbank-Schreibvorgangs nicht prüfen, um festzustellen, ob ein injizierter Befehl enthalten ist. DLP-Lösungen erkennen bekannte Muster sensibler Daten, sind aber nicht darauf ausgelegt, Prompt-Injection-Syntax in Dokumentenfragmenten zu analysieren. Agent Memory Guard schließt diese Lücke mit spezialisierten Detektoren. Die SHA-256-Integritätsprüfung ist besonders wertvoll – sie erkennt manipulierte Inhalte, die keinem bekannten bösartigen Muster entsprechen, weil sie sich einfach nach dem Schreiben verändert haben.

Alle regulierten Daten, auf die ein KI-Agent zugreifen kann, sind potenzielle Ziele. Im Gesundheitswesen setzen Agenten mit Zugriff auf personenbezogene Gesundheitsdaten (PHI) HIPAA-regulierte Unternehmen einem Haftungsrisiko aus. Im Verteidigungsbereich müssen Agenten, die CUI verarbeiten, CMMC-Anforderungen erfüllen, die Datenintegrität voraussetzen – CUI-Exfiltration ist ein meldepflichtiger Vorfall nach DFARS. Im Finanzsektor gilt das Gleiche für Agenten, die PCI-DSS-Daten verarbeiten. Memory Poisoning verwandelt einen legitimen, autorisierten KI-Workflow in einen unautorisierten Datenzugriff.

OWASP Agent Memory Guard prüft und erzwingt Richtlinien für alles, was in Memory-Stores von Agenten geschrieben oder daraus gelesen wird. Das Kiteworks AI Data Gateway und der Secure MCP Server steuern, auf welche Unternehmensdatenquellen KI-Agenten zugreifen, welche Tools sie nutzen und welche Ausgaben sie erzeugen dürfen. Eine gut konfigurierte Umgebung nutzt Agent Memory Guard, um Memory Poisoning zu verhindern, und die Zero-Trust-Architektur von Kiteworks, um die Möglichkeiten eines vergifteten Agenten zu begrenzen, falls die Memory Defense umgangen wird.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für kosteneffizienten KI-Datenschutz
  • Blogbeitrag
    Wie 77 % der Unternehmen bei der KI-Datensicherheit scheitern
  • eBook
    KI-Governance-Lücke: Warum 91 % kleiner Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Für Ihre Daten gibt es kein „–dangerously-skip-permissions“
  • Blogbeitrag
    Regulierungsbehörden fragen nicht mehr, ob Sie eine KI-Policy haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks