Was sind die fünf Kern-Scan-Engines von DefenseClaw?

DefenseClaw umfasst fünf spezialisierte Scan-Engines: 1) Skill Scanner — umfassende Sicherheitsprüfung von Agent-Skills vor dem Laden; 2) MCP Scanner — Erkennung von Prompt-Injection und unbefugtem Zugriff in MCP-Servern; 3) A2A Scanner — Überwachung der Agent-zu-Agent-Kommunikation; 4) CodeGuard — Echtzeit-statische Analyse von agentengeneriertem Code; 5) AI BOM Generator — Erstellung vollständiger Komponenteninventare für jeden KI-Agenten.

Wie unterscheidet sich die Laufzeit-Bedrohungserkennung vom statischen Scanning?

Statisches Scanning führt einmalige Sicherheitsprüfungen vor dem Laden durch, während die Laufzeit-Bedrohungserkennung kontinuierlich jeden Nachrichtenfluss der Agenten während der Ausführung überwacht. Selbst wenn ein Skill die Erstprüfung besteht, können Supply-Chain-Angriffe oder kontextbasierte Prompt-Injections in Echtzeit erkannt und blockiert werden.

Warum hat Cisco DefenseClaw als Open Source veröffentlicht?

Vier strategische Gründe: 1) Demokratisierung der KI-Sicherheit für KMU; 2) Community-getriebene Innovation durch Beiträge globaler Sicherheitsforscher; 3) Förderung der De-facto-Standardisierung für KI-Agent-Sicherheitsscanning; 4) Transparenz durch unabhängige Prüfbarkeit des Open-Source-Codes.

Cisco Upgrades Open-Source DefenseClaw: Comprehensive AI Agent Security Scanning Framework

Cisco于2026年3月正式发布并开源DefenseClaw——一款专门针对AI Agent的安全扫描框架。随着AI Agent（如AutoGPT、CrewAI等）在企业中的应用快速增长，Agent安全成为亟待解决的新型安全挑战。

DefenseClaw的核心功能包括：Agent漏洞扫描——自动检测Agent在工具调用、提示注入、权限提升等方面的安全风险；权限管理——分析Agent被授予的系统权限是否符合最小权限原则；输出安全扫描——检测AI生成代码中的恶意模式、后门和不安全的依赖调用。

该工具解决的核心痛点是：传统安全工具（如SAST/DAST）是为人类编写的代码设计的，无法有效检测AI Agent独有的攻击面。例如，提示注入攻击可以让Agent执行未授权操作，而这在传统安全框架中没有对应的检测手段。

DefenseClaw已在GitHub上开源，支持与主流CI/CD管道集成。它的发布标志着"AI Agent安全"从理论探讨进入实用工具阶段，对所有部署AI Agent的企业具有直接参考价值。

Cisco veröffentlicht DefenseClaw als Open Source: Umfassende KI-Agent-Sicherheitsüberprüfung

Einleitung: Die Sicherheitsherausforderungen der Agentic-KI-Ära

Am 23. März 2026 stellte Cisco auf der RSA Conference 2026 in San Francisco DefenseClaw vor — ein vollständig quelloffenes Framework zur Sicherheitsüberprüfung von KI-Agenten. Diese Veröffentlichung markiert einen Wendepunkt in der Unternehmens-KI-Sicherheit: den Übergang von passiver Verteidigung zu aktiver, automatisierter und lebenszyklusübergreifender Agent-Sicherheitsgovernance.

Mit der rasanten Verbreitung von Agentic AI setzen immer mehr Unternehmen KI-Agenten ein, die autonom Aufgaben ausführen können. Diese Agenten sind keine einfachen Chatbots mehr, sondern autonome Software-Entitäten, die Werkzeuge aufrufen, APIs nutzen, Code ausführen und Datenbanken manipulieren können. Diese Autonomie bringt jedoch beispiellose Sicherheitsrisiken mit sich: Prompt-Injection-Angriffe können das Verhalten von Agenten kapern, Privilege-Escalation-Schwachstellen können zu Datenlecks führen, und bösartige Plugins können sich lateral im Agent-Ökosystem ausbreiten.

Kernarchitektur: Fünf Scan-Engines

DefenseClaw basiert auf einer modularen Architektur mit fünf spezialisierten Scan-Engines:

#### 1. Skill Scanner

Bevor ein „Skill" (Fähigkeit) in die Agentenumgebung geladen wird, führt der Skill Scanner eine umfassende Sicherheitsprüfung durch. Dies umfasst Berechtigungsanalyse, Datenfluss-Tracking, Abhängigkeitsketten-Inspektion und Verhaltensmuseter-Analyse, um übermäßige Berechtigungsanfragen und Datenleck-Risiken zu erkennen.

#### 2. MCP Scanner

Der MCP Scanner (Model Context Protocol) zielt speziell auf MCP-Server ab und überprüft die Validierung der Anfragequelle, erkennt versteckte Prompt-Injection-Payloads in Werkzeugbeschreibungen und analysiert Rückgabewerte auf indirekte Prompt-Injections.

#### 3. A2A Scanner

In Multi-Agent-Systemen überwacht der A2A Scanner die Agent-zu-Agent-Kommunikation, um nicht autorisierte Befehlsinjektionen und die Sicherheit von Nachrichtennutzlasten zu überprüfen.

#### 4. CodeGuard (Statische Code-Analyse)

CodeGuard analysiert in Echtzeit jeden von KI-Agenten dynamisch generierten Code und erkennt Command-Injection-Schwachstellen, unsichere Dateioperationen, hartcodierte sensible Informationen und Logikfehler.

#### 5. AI BOM Generator

Angelehnt an das SBOM-Konzept (Software Bill of Materials) erstellt der AI BOM Generator ein vollständiges Komponenteninventar für jeden KI-Agenten: verwendete Modelle, Skills, Plugins, Datenquellen und Abhängigkeiten.

Laufzeit-Bedrohungserkennung

Die eigentliche Innovation von DefenseClaw liegt in der Laufzeit-Bedrohungserkennung. Das Framework überwacht kontinuierlich jeden ein- und ausgehenden Nachrichtenfluss der Agenten während der Ausführung und erfasst Bedrohungen, die erst zur Laufzeit auftreten.

Wichtige Funktionen:

Echtzeit-Nachrichteninspektion
Vergleich mit Verhaltensbaselines zur Anomalieerkennung
ML-basierte Anomaliemuster-Erkennung
Automatische Blockierung und Berechtigungsentzug bei Bedrohungserkennung

Richtliniendurchsetzung: „Mauern" statt „Vorschläge"

Cisco betont, dass DefenseClaw „Mauern, nicht Vorschläge" bietet. Richtlinienverstöße werden durch Block-/Allow-Listen, automatischen Berechtigungsentzug, Netzwerkisolierung und datenklassifizierungsbasierte Zugriffskontrolle hart durchgesetzt.

Integration mit NVIDIA OpenShell

DefenseClaw integriert sich tief mit NVIDIAs OpenShell-Plattform, die eine gehärtete Sandbox-Ausführungsumgebung mit Hardware-Level-Isolation für KI-Agenten bietet. Die Integration automatisiert Sicherheitsüberprüfungen und bietet eine einheitliche Verwaltungsoberfläche.

Ciscos umfassende Agentic-KI-Sicherheitsstrategie

Neben DefenseClaw kündigte Cisco auch Duo Agentic Identity (Identitätsmanagement für KI-Agenten) und AI Defense: Explorer Edition (Entwickler-Tool für Modellresilienz-Tests) an. Diese drei Lösungen bilden zusammen eine mehrschichtige Verteidigungsstrategie.

Branchenauswirkungen und Open-Source-Entscheidung

Die Entscheidung für vollständige Open-Source-Veröffentlichung hat weitreichende strategische Bedeutung:

1. **Demokratisierung der KI-Sicherheit**: KMU erhalten Zugang zu Enterprise-Grade-Schutz

2. **Community-getriebene Innovation**: Sicherheitsforscher weltweit können beitragen

3. **De-facto-Standardisierung**: Potenzial als Industriestandard

4. **Transparenz**: Open-Source-Code kann unabhängig geprüft werden

Fazit

Die Veröffentlichung von DefenseClaw markiert den Übergang der KI-Agent-Sicherheit von theoretischer Diskussion zur ingenieurtechnischen Praxis. Als quelloffenes, modulares, lebenszyklusübergreifendes Sicherheitsframework bildet es ein solides technisches Fundament für die Sicherheitsgovernance im Zeitalter der agentenbasierten KI.