Eine E-Mail im Posteingang. Niemand öffnet sie, niemand klickt. Tage später fragt ein Nutzer seinen KI-Assistenten etwas Harmloses — der Agent zieht die Mail als Kontext heran, folgt versteckten Anweisungen und exfiltriert interne Daten.

Jede Komponente hat ihr Security-Review bestanden. So ähnlich lief EchoLeak gegen Microsoft Copilot (CVE-2025-32711, CVSS 9.3): kein Code-Exploit, sondern ein Angriff über die Architektur. Agentenbasierte KI-Systeme brechen an Vertrauensgrenzen, die klassische Threat Models nicht abbilden. Der Talk stellt ein Fünf-Zonen-Modell vor (Input, Planung, Tool-Ausführung, Memory, Agent-zu-Agent), zeigt an drei Szenarien — RAG-Pipeline-Poisoning, MCP-Tool-Chain-Missbrauch und Multi-Agent-Kaskaden — wie Angriffe über Zonengrenzen propagieren, und liefert strukturelle Kontrollen, die nicht von der Kooperation des Modells abhängen. Mapping auf OWASP Top 10 for Agentic AI und CSA MAESTRO inklusive.