2025 AI Agent Index : Studie zu 30 KI-Agenten: Kaum Transparenz bei Sicherheit und Risiken
Ein internationales Forscherteam hat 30 der derzeit wichtigsten KI-Agenten systematisch durchleuchtet. Das Ergebnis: Die Mehrheit der Entwickler veröffentlicht kaum belastbare Informationen über Sicherheitsevaluierungen, Schwachstellen und Schutzmechanismen.
Der „2025 AI Agent Index“, erstellt von Forschern unter anderem der University of Cambridge, des MIT, der Harvard Law School und der Stanford University, dokumentiert Informationen zu 30 agentenbasierten KI-Systemen über insgesamt 45 Informationsfelder hinweg. Der Index erfasst Informationen in sechs Kategorien: Produktübersicht, Unternehmen und Verantwortlichkeit, technische Fähigkeiten und Systemarchitektur, Autonomie und Kontrolle, Ökosystem-Interaktion sowie Sicherheit, Evaluierung und Auswirkungen – alle ausschließlich auf Basis öffentlich zugänglicher Informationen und Korrespondenz mit Entwicklern. Die Studie ist die Nachfolgerin des ersten AI Agent Index aus dem Jahr 2024 und setzt diesmal auf eine tiefere Analyse einer kleineren Zahl besonders wirkungsmächtiger Systeme.
Der zentrale Befund: In der Kategorie „Sicherheit, Evaluierung und Auswirkungen“ – die unter anderem Felder zu technischen Leitplanken, Sandboxing, internen und externen Sicherheitstests, Benchmark-Ergebnissen und bekannten Vorfällen umfasst – enthalten 133 von 240 Feldern keinerlei öffentlich zugängliche Informationen. Bei Browser-Agenten liegt die Quote fehlender Sicherheitsinformationen laut den Forschern bei 64 Prozent, bei Enterprise-Agenten bei 63 Prozent. 25 der 30 untersuchten Agenten veröffentlichen keine internen Sicherheitsergebnisse, bei 23 Systemen fehlen jegliche Angaben zu unabhängigen Drittanbieter-Tests.
Rasantes Wachstum bei dünner Sicherheitsdokumentation
Diese Lücken wiegen umso schwerer, weil KI-Agenten in hohem Tempo in Unternehmensprozesse vordringen. Laut dem Index wurden 24 der 30 untersuchten Systeme erst 2024 oder 2025 veröffentlicht oder erhielten in diesem Zeitraum wesentliche agentenbasierte Funktionserweiterungen. Die Forscher verweisen auf eine McKinsey-Umfrage unter knapp 2.000 Unternehmen aus dem Jahr 2025, wonach 62 Prozent der Befragten angaben, ihre Organisation experimentiere mindestens mit KI-Agenten. McKinsey schätze zudem, dass KI-Agenten bis 2030 einen US-Wirtschaftswert von 2,9 Billionen Dollar automatisieren könnten – wobei die Autoren des Index solche Schätzungen ausdrücklich als anfällig für Interessenkonflikte und Übertreibungen einordnen.
Die untersuchten Systeme teilen die Forscher in drei Kategorien ein: Chat-Anwendungen mit agentenbasierten Werkzeugen (12 Systeme, darunter ChatGPT Agent und Claude Code), Browser-basierte Agenten (5 Systeme, darunter Perplexity Comet), und Enterprise-Workflow-Agenten (13 Systeme, darunter Microsoft Copilot Studio und HubSpot Breeze). Jede Kategorie bringe eigene Sicherheitsherausforderungen mit sich. Browser-Agenten etwa führten Transaktionen direkt durch und liefen häufig im Hintergrund, Enterprise-Agenten griffen tief in Geschäftsprozesse ein.
Geographisch konzentriert sich die Entwicklung auf die USA (21 von 30 Systemen) und China (5 von 30). Chinesische Entwickler weisen laut dem Index andere Governance-Muster auf: Nur einer von fünf chinesischen Agenten verfüge über ein dokumentiertes Sicherheitsrahmenwerk, nur einer über dokumentierte Compliance-Standards – wobei die Forscher einschränken, dass die Einhaltung solcher Standards möglicherweise schlicht nicht öffentlich dokumentiert werde.
Nur vier Agenten mit spezifischen Sicherheitsdokumentationen
Besonders auffällig ist die Kluft zwischen der Dokumentation von Fähigkeiten und jener von Sicherheitsmaßnahmen. Neun der 30 Agenten berichten über Fähigkeits-Benchmarks – etwa für GUI-Steuerung oder Programmierung. Doch dieselben Systeme weisen oft keine Sicherheitsdokumentation auf. Nur vier Systeme – ChatGPT Agent, OpenAI Codex, Claude Code und Gemini 2.5 Computer Use – verfügen über agenten-spezifische sogenannte „System Cards“, die nicht nur das zugrunde liegende Sprachmodell, sondern auch die Risiken des Gesamtsystems aus Modell, Werkzeugen und Autonomiefunktionen abdecken. Dokumentierte externe Tests existieren lediglich für drei Systeme: Anthropic Claude, OpenAI ChatGPT und OpenAI Codex.
Die Autoren sprechen von einer „schwächeren Form des Safety-Washing“: Sicherheits- und Ethikrahmenwerke blieben auf hoher Abstraktionsebene, während die empirischen Belege für eine fundierte Risikobewertung selektiv offengelegt würden. Nur 15 der 30 Agenten verweisen überhaupt auf KI-Sicherheitsrahmenwerke wie Anthropics Responsible Scaling Policy oder OpenAIs Preparedness Framework. Zehn Systeme haben keinerlei dokumentiertes Sicherheitsrahmenwerk. Enterprise-Zertifizierungen wie SOC 2 oder ISO 27001 seien zwar verbreiteter, bezögen sich aber auf allgemeine IT-Sicherheit und Datenschutz – nicht auf agenten-spezifische Risiken.
Für Unternehmen, die KI-Agenten einsetzen, ist ein weiterer Befund relevant: Agent-Builder-Plattformen wie Zapier, Salesforce oder OpenAI AgentKit böten zwar optionale Leitplanken-Module an, lieferten aber wenig Information über eingebaute Schutzmechanismen. Sieben der 13 Enterprise-Agenten beschreiben Optionen zum Einrichten von Sicherheitsvorkehrungen, dokumentieren aber kein Sandboxing oder Containment. Sandboxing oder VM-Isolation ist insgesamt nur bei 9 der 30 Agenten dokumentiert. Die Sicherheitsverantwortung werde damit faktisch an die Kunden delegiert.
Wenn Agenten eigenständig handeln und niemand eingreifen kann
Die unterschiedlichen Autonomiestufen der untersuchten Systeme haben direkte Sicherheitsimplikationen. Die Forscher verwenden eine fünfstufige Skala nach Feng et al., bei der L1 den Nutzer als Operator beschreibt und L5 den Nutzer als bloßen Beobachter ohne Eingriffsmöglichkeit.
Browser-Agenten operieren demnach auf den höchsten Autonomiestufen L4 bis L5. Bei BrowserUse und Perplexity Comet etwa könnten Nutzer nach dem Absenden einer Anfrage nicht mehr eingreifen, bis der Agent seine Aufgabe beendet habe. Enterprise-Plattformen zeigen ein gespaltenes Bild: Während der Konfigurationsphase arbeiteten Nutzer auf L1 bis L2, nach der Bereitstellung liefen die Agenten jedoch häufig auf L3 bis L5 – ausgelöst durch Ereignisse wie eingehende E-Mails oder Datenbankänderungen, ohne jegliche menschliche Beteiligung während der Aufgabenausführung. Sechs Systeme – darunter Glean, IBM watsonx und Microsoft Copilot Studio – operierten nach dem Deployment vollständig autonom.
Vier Agenten – Alibaba MobileAgent, HubSpot Breeze, IBM watsonx und n8n – verfügen trotz autonomer Ausführung über keine dokumentierten Stopp-Optionen. Bei Enterprise-Plattformen gebe es teilweise nur die Möglichkeit, alle Agenten gleichzeitig zu stoppen oder die Bereitstellung komplett zurückzuziehen. Eine granulare Kontrolle einzelner Agenten fehle. Zwanzig der 30 Agenten dokumentieren zwar Pause- oder Stopp-Mechanismen, doch bei vielen Enterprise-Systemen gehe aus öffentlich zugänglichen Informationen nicht hervor, ob ein Monitoring einzelner Ausführungen überhaupt existiere. Zehn Agenten liefern detaillierte Aktionsprotokolle mit sichtbarer Chain-of-Thought-Argumentation, sechs zeigen zusammengefasste Begründungen ohne detaillierte Werkzeug-Traces.
Unsichtbare Agenten im Netz: Tarnung als menschlicher Traffic
Für die Netzwerksicherheit besonders brisant sind die Befunde zur Identifikation von KI-Agenten. Laut dem Index legen 21 der 30 Systeme gegenüber Endnutzern oder Dritten standardmäßig nicht offen, dass es sich um ein KI-System handelt. Nur drei Agenten unterstützen Wasserzeichen für generierte Medien. Enterprise-Plattformen verlagern die Offenlegungspflicht auf den Kunden – ob Endnutzer tatsächlich erfahren, dass sie mit einer KI interagieren, hänge damit vom jeweiligen Betreiber ab.
Auf technischer Ebene verschärft sich das Problem: Sechs der 30 Agenten verwenden laut den Forschern Chrome-ähnliche User-Agent-Strings und lokale IP-Kontexte, um menschlichen Web-Traffic nachzuahmen. Nur sieben Agenten veröffentlichen stabile User-Agent-Strings und IP-Adressbereiche zur Identifikation. ChatGPT Agent ist das einzige System, das kryptografische Request-Signaturen gemäß RFC 9421 implementiert – ein Mechanismus, mit dem empfangende Websites verifizieren können, dass eine Anfrage tatsächlich von ChatGPT Agent stammt.
Darüber hinaus ist die Einhaltung von robots.txt ist uneinheitlich. Sechs Agenten geben an, robots.txt zu respektieren. BrowserUse hingegen bewirbt die Umgehung von Anti-Bot-Systemen explizit als Feature. Perplexity argumentiere, KI-Assistenten arbeiteten „genau wie ein menschlicher Assistent“ und sollten daher nicht den Scraping-Beschränkungen unterliegen. Cloudflare habe jedoch nicht deklarierte Crawler von Perplexity dokumentiert, die generische Chrome-Signaturen nutzten, um Blockaden zu umgehen. Amazon habe Perplexity wegen der fehlenden Identifikation von Comet als Agent mit rechtlichen Schritten gedroht. Die Autoren verweisen darauf, dass diese Spannungen mittlerweile aktiv vor Gericht ausgetragen werden.
Prompt Injection als wiederkehrende Schwachstelle
Fünf der 30 Agenten weisen laut der Studie bereits dokumentierte Sicherheitsvorfälle oder Schwachstellen auf: Google Gemini Enterprise, Microsoft Copilot Studio, OpenAI ChatGPT, Opera Neon und Perplexity Comet. Prompt-Injection-Schwachstellen sind bei zwei der fünf Browser-Agenten dokumentiert.
Die Fallstudie zu Perplexity Comet illustriert das Problem: Sicherheitsforscher identifizierten 2025 mehrere Prompt-Injection-Schwachstellen, darunter indirekte Injektionen, bei denen bösartige Webseiteninhalte als Befehle ausgeführt werden konnten, sowie URL-basierte Angriffe, die Daten aus verbundenen Diensten extrahierten. Perplexity habe zwar Forschung zur Prompt-Injection-Mitigation veröffentlicht, aber weder Methodik noch Ergebnisse von Sicherheitsevaluierungen für Comet dokumentiert. Jenseits von Prompt-Injection-Mitigationen seien keine Sandboxing- oder Containment-Ansätze dokumentiert. Comet operiere auf der höchsten Autonomiestufe L4 bis L5, es gebe keine agenten-spezifischen Sicherheitsevaluierungen, keine Drittanbieter-Tests und keine offengelegten Benchmark-Ergebnisse.
Als Gegenbeispiel dient ChatGPT Agent: Das System operiere auf Autonomiestufe L2 bis L4, erfordere Nutzergenehmigungen für sensible Operationen wie Bezahlvorgänge, laufe in einem gehosteten virtuellen Computer mit Sandbox-Terminal und sei das einzige System mit kryptographischer HTTP-Signierung. OpenAI evaluiere den Agenten über Nutzungsrichtlinien-Compliance, Jailbreaks, Halluzinationen, CBRN-Risiken und Cyber-Fähigkeiten. HubSpot Breeze stehe exemplarisch für die Enterprise-Realität: Die Plattform nutze PurpleLlama als Modellschutzschicht und sei von PacketLabs penetrationsgetestet worden, veröffentliche aber weder Methodik noch Ergebnisse. Die Sicherheitsdokumentation folge einem Compliance-fokussierten Muster, das keine agenten-spezifische Transparenz biete.
Abhängigkeit von wenigen Foundation Models als strukturelles Risiko
Fast alle untersuchten Agenten basieren auf einer kleinen Zahl geschlossener Foundation Models – konkret den GPT-, Claude- oder Gemini-Familien. Nur die Frontier-Labs selbst (Anthropic, Google, OpenAI) und chinesische Entwickler betreiben eigene proprietäre Modelle. 23 der 30 Agenten sind auf Produktebene vollständig Closed Source. Enterprise-Agenten seien zwar häufiger modellagnostisch – 9 von 30 Agenten unterstützten die Auswahl verschiedener Anbieter –, doch die grundsätzliche Abhängigkeit bleibe bestehen.
Diese Konzentration schaffe potenzielle einzelne Ausfallpunkte, warnen die Autoren: Preisänderungen, Serviceausfälle oder Sicherheitsregressionen bei einem einzigen Modellanbieter könnten sich auf weite Teile des Ökosystems auswirken. Die verteilte Architektur – von Modellanbietern über Orchestrierungsplattformen bis zu Agent-Buildern und Endanwendungen – erzeuge eine „Accountability-Diffusion“, bei der kein einzelner Akteur eindeutige Verantwortung trage. Umfassendes Risikomanagement müsse daher über die Agenten-Deployer hinaus auch die vorgelagerten Modellanbieter einbeziehen. Gleichzeitig vereinfache die Modellkonzentration potenziell die Evaluierung, da sich Prüfer auf eine Handvoll Modelle konzentrieren könnten.
Das Model Context Protocol (MCP) hat sich laut der Untersuchung als dominanter Interoperabilitätsstandard etabliert und wird von 20 der 30 Agenten unterstützt. Das Agent-to-Agent-Protokoll (A2A) unterstützen bisher nur 6 Systeme, ausschließlich Enterprise-Plattformen. Proprietäre Konnektoren würden jedoch häufig gegenüber offenen MCP-Servern bevorzugt.
Fähigkeiten wachsen schneller als Risikomanagement
Die Autoren des AI Agent Index formulieren eine klare Warnung: Die Fähigkeiten agentenbasierter KI-Systeme entwickelten sich schneller als die zugehörigen Risikomanagement-Praktiken. Die dokumentierten strukturellen Muster – Modellkonzentration, Accountability-Fragmentierung und die Kluft zwischen Fähigkeitsdarstellung und Sicherheitstransparenz – würden sich ohne externe Eingriffe kaum von selbst auflösen. Die Governance-Herausforderungen dürften mit steigenden Fähigkeiten weiter an Dringlichkeit gewinnen.
Die Studie hat methodische Einschränkungen, die die Autoren selbst benennen: Der Index stützt sich ausschließlich auf öffentlich zugängliche Informationen und kann interne Evaluierungen oder Risikomanagement-Praktiken übersehen. Die Einschlusskriterien – darunter Suchvolumen und Marktkapitalisierung – bevorzugen etablierte Unternehmen und Konsumentenprodukte gegenüber spezialisierten oder regionalen Systemen. Domänenspezifische Agenten sind ausgeschlossen. Der Index bildet zudem eine Momentaufnahme zum Stichtag 31. Dezember 2025 ab. Nur 23 Prozent der kontaktierten Unternehmen reagierten in irgendeiner Form, lediglich vier mit substanziellen Kommentaren. Der vollständige Index ist unter aiagentindex.mit.edu einsehbar und soll laut den Forschern als Basis dienen, an der künftige Transparenzverbesserungen oder -rückschritte gemessen werden können.
Der „2025 AI Agent Index“ ist online verfügbar unter aiagentindex.mit.edu. Die zugehörige wissenschaftliche Arbeit mit allen Annotationen und methodischen Details kann über Zenodo abgerufen werden.
Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Werkzeugen erstellt. Die inhaltliche Verantwortung, Überprüfung der Fakten und redaktionelle Bearbeitung liegen bei der Redaktion.