29.03.2026Aktualisiert 29.03.2026

Threat

Insecure Inter-Agent Communication

Insecure Inter-Agent Communication beschreibt unsichere Kommunikation zwischen KI-Agenten, wenn Nachrichten, Agent Cards, Artefakte oder delegierte Aufgaben ohne belastbare Prüfung von Identität, Integrität und Autorisierung akzeptiert werden. Die Seite erklärt Risiken, Detection und konkrete Gegenmassnahmen für Multi-Agent-Systeme.

Schnellantwort

Was betroffen ist: Betroffen sind Multi-Agent-Systeme, Orchestratoren, Agent-Registries, Agent Cards, Webhooks, Artefakt-Übergaben und alle Workflows, in denen KI-Agenten Aufgaben, Status, Dateien oder Anweisungen untereinander austauschen.
Warum es gefährlich ist: Eine manipulierte Nachricht oder gefälschte Agent-Identität kann nicht nur einen einzelnen Agenten fehlsteuern, sondern ganze Delegationsketten, Tool-Aufrufe, Datenflüsse und Business-Prozesse beeinflussen.
Wie es passiert: Typisch sind Agent-Card-Spoofing, Message Tampering, Replay, Capability-Mismatch, schadhafte Artefakte, unsichere Discovery-Pfade oder zu viel Vertrauen in peer-seitige Inhalte und Delegationen.
Wie man es reduziert: Wichtig sind starke Agent-Identität, task-scharfes AuthN und AuthZ, signierte Provenienz, Schema- und Inhaltsvalidierung, Limits für Routing und Delegation sowie gute Detection auf Nachrichten- und Task-Ebene.

Was ist Insecure Inter-Agent Communication bei KI-Agenten?

Insecure Inter-Agent Communication bezeichnet Schwachstellen in der Kommunikation zwischen KI-Agenten oder agentischen Komponenten. Der Threat entsteht, wenn ein Agent Nachrichten, Agent Cards, Artefakte, Task-Status, Webhooks oder delegierte Aufgaben als vertrauenswürdig behandelt, obwohl Identität, Autorisierung, Integrität, Provenienz oder semantische Bedeutung nicht verlässlich geprüft wurden.

Für produktive Multi-Agent-Systeme ist das besonders relevant, weil Agenten nicht nur Daten austauschen, sondern auf empfangene Inhalte hin planen, delegieren, Tools aufrufen und Zustand verändern. Damit ist Insecure Inter-Agent Communication mehr als ein reines TLS- oder API-Security-Thema. Der eigentliche Fehler liegt oft im Vertrauensmodell zwischen Agenten.

Betroffen sind unter anderem:

spezialisierte Agent-Teams mit Planner-, Worker-, Reviewer- und Executor-Rollen
interne Agent-Busse, Orchestratoren und Workflow-Engines
Systeme mit Discovery, Registry, Agent Cards oder A2A-ähnlichen Peer-Beziehungen
agentische Produkte, die Artefakte, Dateireferenzen, Webhooks oder Shared Memory zwischen Agenten weitergeben

Inhaltlich entspricht die Bedrohung dem Muster ASI07: Insecure Inter-Agent Communication. Für Suchanfragen wichtig ist die direkte Abgrenzung: Manipulative Inhalte sind häufig der Payload oder Eintrittspfad, Identity and Privilege Abuse betrifft Rechte und Delegation, und Insecure Inter-Agent Communication beschreibt die unsichere Kommunikations- und Vertrauensschicht, über die solche Probleme zwischen Agenten operational werden.

Wie funktioniert Insecure Inter-Agent Communication?

In der Praxis entsteht der Angriff meist nicht durch einen spektakulären Einzelmoment, sondern durch eine Kette aus zu viel Vertrauen, unklarer Identität und fehlender Laufzeitkontrolle. Gerade in agentischen Workflows reichen formal gültige Nachrichten oft aus, um echte Aktionen anzustossen.

Ein Agentensystem nutzt Discovery, Registry, Agent Cards oder direkte Peer-Kommunikation, um Aufgaben, Status, Artefakte oder Anweisungen zwischen Agenten auszutauschen.

Ein Angreifer oder kompromittierter Peer bringt eine manipulierte Entität ein, zum Beispiel eine gefälschte Agent Card, eine veränderte Nachricht, ein schadhaftes Artefakt oder eine bösartige URI.

Der empfangende Agent prüft Herkunft, Autorisierung, Capability-Set, Task-Kontext oder semantische Konsistenz nicht streng genug und akzeptiert die Eingabe als legitime Delegation.

Planung, Routing oder Tool-Layer verarbeiten den Input operativ, etwa durch Task-Übernahme, Dereferenzierung einer Ressource, Webhook-Registrierung oder Weitergabe an weitere Agenten.

Es kommt zu Fehlaktionen wie falscher Delegation, Datenabfluss, SSRF, Session-Missbrauch, offenen Task-Schleifen oder unautorisierten Business-Aktionen.

Der manipulierte Zustand breitet sich anschliessend über weitere Agenten, Shared Context oder Folgeprozesse aus und wird zum systemischen Problem.

			flowchart TB
    discover[Discovery, Registry oder Agent Card wird geladen]
    agentA[Agent A delegiert Aufgabe oder Kontext]
    transport[API, Queue, Bus, Shared State, MCP oder A2A]
    tamper[Abgreifen, Spoofing, Replay, Descriptor- oder Routing-Manipulation]
    gate{mTLS, Signaturen, Nonces und semantische Validation aktiv?}
    block[Nachricht wird verworfen, quarantainiert oder eskaliert]
    agentB[Agent B akzeptiert die Nachricht als legitim]
    trust[Ziele, Rechte, Routing oder Trust Score verschieben sich]
    spread[Fehler breitet sich ueber weitere Agenten und Workflows aus]
    damage((Misinformation, Privilege Confusion, Datenabfluss oder koordinierte Manipulation))

    discover --> agentA --> transport --> gate
    tamper --> transport
    gate -->|Ja| block
    gate -->|Nein oder zu schwach| agentB --> trust --> spread --> damage

    classDef normal fill:#ffffff,stroke:#406749,stroke-width:1.5px,color:#181c1e;
    classDef warning fill:#f1f4f7,stroke:#406749,stroke-width:1.5px,color:#181c1e;
    classDef danger fill:#fdeceb,stroke:#844f59,stroke-width:1.5px,color:#181c1e;

    class discover,agentA normal;
    class transport,tamper,gate,agentB,trust,spread warning;
    class block,damage danger;

Wichtig dabei: TLS allein reicht nicht aus. Auch sauber verschlüsselte Kommunikation bleibt unsicher, wenn Agent-Identität, Audience, Task-Bindung, Replay-Schutz, Inhaltsvalidierung oder Provenienz nicht sauber umgesetzt sind. Genau deshalb sollten Multi-Agent Security und Context-Aware Authentication zusammen gedacht werden.

Insecure Inter-Agent Communication vs. Prompt Injection, Identity Abuse und Cascading Failures

Viele Suchanfragen meinen mehrere Threats gleichzeitig. Für Design, Detection und Incident Response lohnt sich die begriffliche Trennung trotzdem:

Verwandter Threat	Kernproblem	Abgrenzung zu Insecure Inter-Agent Communication
Prompt Injection	Untrusted Inhalte beeinflussen Verhalten oder Planung eines Agenten.	Hier geht es um den Inhalt. Insecure Inter-Agent Communication beschreibt den unsicheren Pfad, über den dieser Inhalt zwischen Agenten weitergereicht und wirksam gemacht wird.
Identity and Privilege Abuse	Agenten handeln mit zu breiten, falschen oder schlecht gebundenen Rechten.	Hier stehen Credentials und Privilegien im Fokus. Insecure Inter-Agent Communication betrifft zusätzlich Nachrichtenvertrauen, Discovery, Provenienz und Delegationslogik.
Memory and Context Poisoning	Persistenter Kontext oder Shared Memory wird vergiftet.	Insecure Inter-Agent Communication ist oft der Ausbreitungsweg, über den vergiftete Artefakte, Summaries oder falsche Task-States weitere Agenten erreichen.
Cascading Failures	Fehler oder Fehlentscheidungen verbreiten sich über Agentenketten.	Cascading Failures beschreiben den Folgeeffekt. Insecure Inter-Agent Communication ist häufig der initiale Trigger oder der Verstärker.

Wer nur Transportverschlüsselung betrachtet, verpasst Registry-Spoofing, Capability-Cloaking, semantische Message-Manipulation und falsch gebundene Delegation. Genau deshalb ist der Threat in agentischen Systemen näher an der Control Plane als an klassischer Netzwerkhygiene.

Warum Insecure Inter-Agent Communication in Unternehmen besonders relevant ist

In Unternehmen arbeiten Agenten oft mit Ticketing, Procurement, Support, Finance, Browser-Automation, RAG und internen APIs gleichzeitig. Genau diese Kombination macht Insecure Inter-Agent Communication kritisch: Eine einzige unsichere Übergabe kann mehrere Systeme, Rollen und Entscheidungsebenen berühren.

Besonders anfällig sind Workflows, in denen Agenten:

Discovery, Registry oder Agent Cards dynamisch nutzen
Aufgaben mit Tool-Rechten oder delegiertem User-Kontext weiterreichen
Shared Memory, Artefakte, Webhooks oder Dateireferenzen zwischen Agenten austauschen
Ergebnisse anderer Agenten als autoritative Arbeitsanweisung behandeln
über mehrere Schritte und Peers hinweg Entscheidungen vorbereiten, die später Menschen nur noch bestätigen

Der Schaden entsteht dabei nicht nur durch eine falsche Nachricht. Insecure Inter-Agent Communication verschiebt Vertrauen, Routing, Handlungsspielraum und Attribution innerhalb des Systems und wird damit schnell zu einem Sicherheits- und Governance-Problem zugleich.

Realistische Beispiele für Insecure Inter-Agent Communication

Szenario 1

Gefälschter Spezialagent im Beschaffungs-Workflow

Ein Procurement-Agent sucht über Registry oder Discovery nach einem Vendor-Risk-Agenten. Ein Angreifer platziert einen täuschend echten Agent-Deskriptor mit plausiblen Capabilities und passender Rollenbeschreibung.

Die Prüfung wird an den falschen Peer delegiert. Das führt zu manipulierten Freigaben, Fraud-Risiken oder Compliance-Verstössen, obwohl der Workflow formal sauber aussieht.

Szenario 2

Prompt Infection verbreitet sich über mehrere Agenten

Ein Reader-Agent verarbeitet ein externes Dokument und übernimmt darin versteckte Anweisungen. Diese gelangen in Summaries, Task-Updates oder Peer-Nachrichten und werden von Review-, Search- oder Executor-Agenten weiterverwendet.

Aus einer einzelnen manipulierten Quelle wird eine Agentenketten-Infektion, die später zu Datenabfluss oder unautorisierten Tool-Aufrufen führt.

Szenario 3

Operations-Agenten geraten in orchestrierte Schleifen

Ein Incident-Agent delegiert an Diagnose- und Remediation-Agenten. Durch manipulierte Task-Abhängigkeiten oder bewusst offen gehaltene Statuswechsel verweisen die Agenten sich dauerhaft gegenseitig aufeinander.

Queues laufen voll, Durchsatz und API-Budget sinken, und echte Incidents werden später bearbeitet. Der Schaden ist vor allem für Verfügbarkeit und Kosten hoch.

Szenario 4

Artefakt oder URI missbraucht einen privilegierten Host-Agenten

Ein Agent erhält von einem Peer eine Dateireferenz, ein Webhook-Ziel oder eine externe URI. Der Host-Agent dereferenziert die Ressource mit seinen internen Privilegien oder rendert das Artefakt in einem Browser-Kontext.

Daraus entstehen SSRF, Session-Hijacking, Exfiltration oder Zugriffe auf interne Systeme, obwohl der auslösende Peer selbst deutlich weniger Rechte hatte.

Konkrete Risiken von Insecure Inter-Agent Communication für Unternehmen

Die konkreten Risiken von Insecure Inter-Agent Communication sind für Unternehmen hoch, weil der Angriff oft wie normale Koordination aussieht. Nicht der einzelne Agent wirkt offensichtlich kompromittiert, sondern die Vertrauensbeziehung zwischen mehreren Agenten ist bereits gekippt.

Unautorisierte Business-Aktionen wirken wie legitime Delegation

Wenn Agenten Aufgaben, Freigaben oder Eskalationen auf Basis falscher Peer-Nachrichten übernehmen, können Bestellungen, Änderungen oder Freigaben fachlich falsch, aber technisch plausibel ausgeführt werden.

Datenabfluss und laterale Bewegung laufen über Agentenketten

Ein kompromittierter oder gefälschter Peer kann Informationen an einen Agenten mit mehr Datenzugriff oder an einen Agenten mit besserem Exfiltrationskanal weiterreichen. Dadurch entstehen Leckpfade, die in Single-Agent-Setups oft nicht sichtbar wären.

Schleifen, offene Tasks und Fan-out erzeugen Verfügbarkeits- und Kostenprobleme

Manipulierte Delegationsketten können Queues blockieren, Retries auslösen und mehrere Agenten in nutzlose Arbeit treiben. Gerade in produktiven Ops- oder Support-Workflows führt das schnell zu messbaren SLA- und Budget-Effekten.

Verwandter Threat: Cascading Failures

Ohne belastbare Attribution werden Audit und Incident Response schwierig

Fehlt die saubere Bindung zwischen Sender, Empfänger, Task, delegiertem User-Kontext und Outcome, bleibt später unklar, welcher Agent auf wessen Autorisierung gehandelt hat. Das erschwert Forensik, Governance und Compliance erheblich.

Glossar: Agent Observability

Wie verhindert man Insecure Inter-Agent Communication?

Wirksame Mitigation kombiniert Agent-Identität, sichere Delegation, Inhaltsvalidierung, Orchestrierungsgrenzen und gute Beobachtbarkeit. Ein einzelner Auth-Layer oder ein einmaliger Rollencheck zu Beginn des Workflows reicht in agentischen Systemen nicht aus.

Jeder Agent braucht eine eindeutige und task-gebundene Identität

Nutze per-Agent-Identitäten, mTLS, kurze Credentials und klare Audience-Bindings statt implizitem internem Vertrauen. Ein Agent sollte immer prüfen können, wer die Nachricht sendet und für welchen Zweck sie gedacht ist.

Mehr zu Context-Aware Authentication

Agent Cards, Discovery und Artefakt-Provenienz hart validieren

Registries, Agent Cards, Capability-Metadaten und peer-seitige Artefakte brauchen Signaturen, Versionskontrolle und klare Vertrauensquellen. Discovery ist eine Hochrisikozone und darf nicht wie harmlose Service-Discovery behandelt werden.

Mehr zu Multi-Agent Security

Inter-Agent-Inhalte immer als untrusted input behandeln

Peer-Nachrichten, Task-Updates, Artefakte und Dateireferenzen dürfen nie blind als sichere Instruktionen gelten. Prüfe Schema, Quelle, erlaubte Felder und semantische Plausibilität, bevor ein Agent daraus Aktionen ableitet.

Mehr zu Input Validation

Delegation und Rechte auf den konkreten Task begrenzen

Ein nachgelagerter Agent sollte nur die minimalen Rechte und genau den Kontext erhalten, die für die aktuelle Teilaufgabe nötig sind. So begrenzt du confused-deputy-Situationen und senkst den Blast Radius kompromittierter Peers.

Mehr zu Least Privilege

Orchestrierungsgrenzen gegen Replay, Loops und Fan-out erzwingen

Setze Nonces, TTLs, Hop-Limits, Idempotenzregeln, maximale offene Tasks und Quarantäne für suspekte Ketten. Gerade bei Multi-Agent-Workflows sind Laufzeitgrenzen ein wichtiger Sicherheitsmechanismus und nicht nur Operations-Hygiene.

Mehr zu sicheren Orchestrierungsgrenzen

Kommunikationspfade korrelierbar loggen und verdachtige Ketten anhalten

Detection braucht Telemetrie zu Agent-ID, Task-ID, User-Kontext, Policy-Entscheidung, Artefakt-Hash, Webhook-Ziel und Outcome. Wenn Provenienz, Capability-Set oder Routing nicht zusammenpassen, sollte der Flow nicht automatisch weiterlaufen.

Mehr zu Monitoring und Logging

In der Praxis ist die Kombination aus Multi-Agent Security, Context-Aware Authentication, Least Privilege und Monitoring und Logging meist deutlich wirksamer als rein transportseitige Absicherung.

Wie erkennt man Insecure Inter-Agent Communication?

Der Threat zeigt sich selten in einem einzelnen Alarm. Praktisch erkennst du ihn an Identitätsabweichungen, Replay-Mustern, ungewöhnlichen Delegationsketten und fehlender Nachvollziehbarkeit zwischen Nachricht und Folgeaktion.

derselbe Agent erscheint mit wechselnden Claims, unerwarteten Zertifikaten, veränderten Issür- oder Audience-Werten oder ungewöhnlich wiederverwendeten Tokens
Task-IDs, Nonces oder Zeitfenster tauchen erneut auf und führen zu doppelten Ausführungen oder idempotenzwidrigen State-Transitions
plötzlich entstehen neue Peer-Beziehungen, ungewohnter Fan-out, zyklische Delegationen oder starke Anstiege bei offenen Tasks und Retries
Agent Cards, Capability-Sets oder Registry-Einträge ändern sich ohne genehmigten Change-Prozess oder passen nicht mehr zum beobachteten Laufzeitverhalten
Artefakt-Hashes, Webhook-Ziele, URI-Muster oder Message-Objekte weichen vom erwarteten Schema oder von freigegebenen Zielräumen ab
Logs zeigen zwar legitime Tool-Aufrufe, aber keine belastbare Bindung zwischen Sender, Empfänger, Task-Kontext, delegiertem User und finaler Aktion

Für Blue Teams ist besonders wichtig, Kommunikationspfade nicht nur als Debug-Logs zu behandeln. Ohne Sicht auf Delegation, Herkunft und Outcome bleibt Insecure Inter-Agent Communication schnell irgendwo zwischen API-Security, Workflow-Fehler und manipulativen Inhalten hängen.

FAQ zu Insecure Inter-Agent Communication

Was ist Insecure Inter-Agent Communication einfach erklärt?

Der Threat beschreibt unsichere Kommunikation zwischen KI-Agenten. Problematisch wird es, wenn Nachrichten, Agent Cards, Artefakte oder delegierte Aufgaben ohne verlässliche Prüfung von Identität, Integrität, Autorisierung und Provenienz akzeptiert werden.

Ist das nur ein Problem von externen Agenten oder A2A-Protokollen?

Nein. Auch interne Orchestratoren, Worker, Review-Agenten, Message Buses und logisch getrennte Komponenten in einem einzigen Produkt können betroffen sein. Entscheidend ist nicht nur extern versus intern, sondern wie viel Vertrauen zwischen Agenten stillschweigend weitergereicht wird.

Reicht TLS oder OAuth aus, um Agent-zu-Agent-Kommunikation abzusichern?

Nein. TLS schützt den Transport, OAuth kann Zugriffe absichern, aber beides löst nicht automatisch Probleme wie Agent-Card-Spoofing, Replay, Capability-Mismatch, falsche Delegation oder semantisch manipulierte Nachrichten. Dafür brauchst du zusätzlich Inhaltsvalidierung, Task-Bindung, Provenienz und gute Laufzeitkontrollen.

Ist Insecure Inter-Agent Communication dasselbe wie Prompt Injection?

Nicht ganz. Prompt Injection ist häufig der schädliche Inhalt oder der Eintrittspfad. Insecure Inter-Agent Communication beschreibt den breiteren Kommunikations- und Vertrauensfehler, durch den solche Inhalte zwischen Agenten weitergereicht und in echte Aktionen übersetzt werden.

Kann ein kompromittierter Agent andere Agenten mit kompromittieren?

Ja. Genau darin liegt ein zentraler Risikofaktor. Manipulierte Outputs, gefälschte Task-Status, bösartige Artefakte oder veränderte Peer-Nachrichten können sich über Agentenketten ausbreiten und weitere Agenten fehlsteuern.

Welche Umgebungen sind besonders anfällig?

Besonders exponiert sind Multi-Agent-Systeme mit Discovery, Registry, Shared Context, Webhooks, dateibasierten Artefakten, dynamischer Delegation und privilegierten Tool- oder Browser-Agents. Je mehr Agenten Aufgaben und Kontext miteinander teilen, desto grösser wird die Angriffsoberfläche.

Welche ersten Kontrollen bringen in Unternehmen am meisten?

Der grösste Hebel liegt meist in drei Punkten: eigene Agent-Identitäten statt implizitem Peer-Vertrauen, task-scharfes AuthN und AuthZ statt breiter Delegation sowie korrelierbare Telemetrie für Nachrichten, Task-State und Folgeaktionen. Danach lohnen sich Replay-Schutz, Discovery-Härtung und Quarantäne für verdächtige Ketten.

Lösen Standards wie A2A oder MCP das Problem automatisch?

Nein. Standards schaffen Interoperabilität und geben einen Rahmen vor, aber sichere Agent-Kommunikation hängt weiterhin von der konkreten Implementierung ab. Schwache Discovery-, Auth-, Logging- oder Policy-Mechanismen bleiben auch mit Standardprotokollen ein Risiko.