OAuth, Agenten und Sicherheit: Navigieren durch die neuen Grenzen der Zugriffskontrolle

Entdecken Sie die sich entwickelnde Landschaft von OAuth, KI-Agenten und Sicherheit. Entdecken Sie die Risiken, Herausforderungen und innovativen Lösungen für eine robuste Zugangskontrolle im Zeitalter der KI.

The world of authorization is changing fast, especially with Large Language Model (LLM) agents becoming more prevalent. While OAuth has been a broadly accepted standard for access delegation, it's quickly becoming clear that it's no longer sufficient for the complex needs of AI agents. Here’s the lowdown on why OAuth falls short and what we need to do about it.

Die Welt der Autorisierung verändert sich schnell, insbesondere durch die zunehmende Verbreitung von Large Language Model (LLM)-Agenten. Während OAuth ein weithin akzeptierter Standard für die Zugriffsdelegierung ist, wird schnell klar, dass es für die komplexen Anforderungen von KI-Agenten nicht mehr ausreicht. Hier erfahren Sie, warum OAuth zu kurz kommt und was wir dagegen tun müssen.

The Risks of Relying on OAuth for LLM Data Access

Die Risiken der Verwendung von OAuth für den LLM-Datenzugriff

Getting authorization wrong can lead to serious trouble. Think about it: Breaches are a prime example of what happens when authorization goes awry. Back in August 2025, attackers compromised OAuth tokens held by Drift, a chatbot used by other companies, gaining access to Salesforce instances and exfiltrating data. The agentic risk isn’t limited to attackers compromising tokens and breaching systems. There’s also misuse: interacting with an LLM frontend as a normal user, but getting illicit information accidentally or with prompt jailbreaking. Only limiting the LLM’s access at an authorization enforcement layer will address this.

Eine falsche Autorisierung kann zu ernsthaften Problemen führen. Denken Sie darüber nach: Verstöße sind ein Paradebeispiel dafür, was passiert, wenn die Autorisierung fehlschlägt. Bereits im August 2025 kompromittierten Angreifer OAuth-Tokens im Besitz von Drift, einem Chatbot, der von anderen Unternehmen verwendet wird, verschafften sich Zugriff auf Salesforce-Instanzen und exfiltrierten Daten. Das Agentenrisiko beschränkt sich nicht nur auf Angreifer, die Token kompromittieren und in Systeme eindringen. Es gibt auch Missbrauch: Als normaler Benutzer mit einem LLM-Frontend interagieren, aber versehentlich oder mit sofortigem Jailbreak illegale Informationen erhalten. Abhilfe schafft hier nur die Beschränkung des LLM-Zugriffs auf der Ebene der Autorisierungsdurchsetzung.

Why OAuth Isn't Enough

Warum OAuth nicht ausreicht

OAuth is great for access delegation, but it stumbles when it comes to agents. The model of passing embedding permissions on a token that is then reused numerous times has several limitations:

OAuth eignet sich hervorragend für die Zugriffsdelegierung, gerät jedoch ins Stocken, wenn es um Agenten geht. Das Modell der Weitergabe von Einbettungsberechtigungen für ein Token, das dann mehrfach wiederverwendet wird, weist mehrere Einschränkungen auf:

• OAuth Can’t Handle Advanced Policy Modeling: OAuth struggles with fine-grained permissions at a resource level. For LLM agents, you need to scope permissions at a resource or even field level.
• Static Tokens Are Limiting and Risky: Tokens are static, reflecting permissions at a specific time. Making dynamic changes to authorization is difficult. Plus, tokens can leak, leading to breaches.
• OAuth Can’t Record Agentic Actions: You often want to maintain records of all agent data access and actions. OAuth doesn't offer a way to record this.

A New Approach to Agentic Authorization

Ein neuer Ansatz zur Agentenautorisierung

So, what's the solution? Implementing better authorization in the underlying resources that agents access. We need something with a different structure from the token-based OAuth method: A real-time policy engine, consulted with every action that logs everything agents are attempting to do (including with on-behalf-of tracing), and that will fire alerts and support human-in-the-loop least privilege enforcement for if/when agents act incorrectly.

Also, was ist die Lösung? Implementierung einer besseren Autorisierung in den zugrunde liegenden Ressourcen, auf die Agenten zugreifen. Wir brauchen etwas mit einer anderen Struktur als die tokenbasierte OAuth-Methode: Eine Echtzeit-Richtlinien-Engine, die bei jeder Aktion konsultiert wird und alles protokolliert, was Agenten zu tun versuchen (einschließlich der Nachverfolgung im Auftrag), und die Warnungen auslöst und die Durchsetzung der geringsten Rechte durch den Menschen in der Schleife unterstützt, wenn/wenn Agenten falsch handeln.

Separate from better authorization in the data sources and tools that agents use, agent authorization can be addressed at the tool access layer (e.g., MCP servers, agent frameworks). Any security-minded organization should be recording agent actions, running anomaly detection to catch misbehavior, dynamically reducing permissions or quarantining rogue agents, and maintaining an audit trail. The goal is automating the principle of least privilege: agents should be able to access only the tools they need for the task at hand.

Abgesehen von einer besseren Autorisierung in den Datenquellen und Tools, die Agenten verwenden, kann die Agentenautorisierung auf der Tool-Zugriffsebene (z. B. MCP-Server, Agenten-Frameworks) angegangen werden. Jede sicherheitsbewusste Organisation sollte Agentenaktionen aufzeichnen, eine Anomalieerkennung durchführen, um Fehlverhalten zu erkennen, Berechtigungen dynamisch reduzieren oder unerwünschte Agenten unter Quarantäne stellen und einen Prüfpfad führen. Ziel ist die Automatisierung des Prinzips der geringsten Privilegien: Agenten sollen nur auf die Tools zugreifen können, die sie für die jeweilige Aufgabe benötigen.

Emerging Attack Vectors and How to Defend Against Them

Neue Angriffsvektoren und wie man sich dagegen verteidigt

Attackers are always finding new ways to breach systems, and identity-based attacks are on the rise. Here are a few techniques to watch out for, based on Wiz telemetry:

Angreifer finden immer neue Wege, um in Systeme einzudringen, und identitätsbasierte Angriffe nehmen zu. Hier sind einige Techniken, auf die Sie achten sollten, basierend auf der Wiz-Telemetrie:

• Device Code Phishing: Attackers lure victims into entering a device code, granting the attacker a token. Less than 50% of customers enforce Conditional Access policies that block device code authentication.
• Resource Owner Password Credentials (ROPC): A legacy OAuth mechanism that exchanges a username and password directly for a token, skipping modern safeguards. Fewer than 45% of customers enforce Conditional Access policies that block ROPC authentication.
• Device Registration for Persistence: Attackers register a device to bypass Conditional Access restrictions, obtaining a Primary Refresh Token (PRT) for continued access.

Wiz’s Role in Enhancing Security

Die Rolle von Wiz bei der Verbesserung der Sicherheit

Wiz Defend provides deep visibility into identity-based attack activity in Entra ID, with real-time detections built to identify the techniques used in device-code phishing, ROPC abuse, and Conditional Access evasion. Wiz Defend includes dedicated detection rules that alert on these behaviors:

Wiz Defend bietet umfassende Einblicke in identitätsbasierte Angriffsaktivitäten in Entra ID, mit Echtzeiterkennungen, die darauf ausgelegt sind, die Techniken zu identifizieren, die bei Gerätecode-Phishing, ROPC-Missbrauch und Umgehung des bedingten Zugriffs verwendet werden. Wiz Defend enthält spezielle Erkennungsregeln, die bei folgenden Verhaltensweisen warnen:

• Unusual Device Code Flow Detected
• Sign-in by Entra ID User using ROPC protocol to unusual application and resource
• Suspicious ROPC authentication for conditional access policy bypass
• Suspicious device registration attempt

The Broader Impact: Tokenization and Real-World Assets

Die umfassendere Wirkung: Tokenisierung und reale Vermögenswerte

Beyond security, tokenization is revolutionizing how assets are managed. Nomura Holdings launched a security token offering, tokenizing an 8 billion yen venture capital fund. This signals a shift in how institutional capital is raised and managed, leveraging blockchain’s power for efficiency. The benefits include increased liquidity, fractional ownership, and automated compliance.

Über die Sicherheit hinaus revolutioniert die Tokenisierung die Verwaltung von Vermögenswerten. Nomura Holdings startete ein Wertpapier-Token-Angebot und symbolisierte damit einen Risikokapitalfonds in Höhe von 8 Milliarden Yen. Dies signalisiert einen Wandel in der Art und Weise, wie institutionelles Kapital beschafft und verwaltet wird, wobei die Leistungsfähigkeit der Blockchain für mehr Effizienz genutzt wird. Zu den Vorteilen gehören erhöhte Liquidität, Teileigentum und automatisierte Compliance.

Wrapping Up

Zusammenfassung

Without a new approach to agentic authorization, we should expect to see more disasters as agents proliferate. If we can get ahead of the authorization problem, we can realize the promise of AI agents without the risks. So, let’s keep our eyes peeled, stay informed, and ensure we're not just keeping up with the times, but staying a step ahead. After all, in the world of OAuth, agents, and security, being proactive is the name of the game. Cheers to a safer, smarter future!

Ohne einen neuen Ansatz für die Autorisierung von Agenten müssen wir mit der zunehmenden Verbreitung von Agenten mit weiteren Katastrophen rechnen. Wenn wir das Autorisierungsproblem in den Griff bekommen, können wir das Versprechen von KI-Agenten ohne Risiken realisieren. Halten wir also die Augen offen, bleiben Sie informiert und stellen Sie sicher, dass wir nicht nur mit der Zeit gehen, sondern immer einen Schritt voraus sind. Schließlich ist in der Welt von OAuth, Agenten und Sicherheit Proaktivität das A und O. Ein Hoch auf eine sicherere und intelligentere Zukunft!