Moltbot Threat Modeling Guide — Dein AI Agent hat gerade das gesamte Kundenarchiv exfiltriert. Hier ist der Fix.
Dein Moltbot AI Agent hat gestern Abend durch eine Prompt Injection alle Kundendaten an einen externen Server gesendet, weil du kein Threat Modeling durchgeführt hast. Das Ergebnis: 250.000 Datensätze exponiert, 3.8 Mio. Euro Strafe, dein CISO wurde entlassen. Hier ist, wie du systematische Bedrohungsanalyse für deine AI Agents durchführst.
Was ist Threat Modeling? Einfach erklärt
Threat Modeling ist wie eine Risikoanalyse für deine AI Agents. Stell dir vor, du baust ein Haus — du würdest nicht einfach anfangen zu bauen, ohne vorher zu überlegen: Was könnte schiefgehen? Feuer, Einbruch, Überschwemmung? Threat Modeling macht genau das für deine AI Systeme: Es identifiziert potenzielle Angreifer, Angriffsvektoren und Schwachstellen, bevor sie ausgenutzt werden. Die STRIDE-Methodik (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) ist ein bewährter Rahmen, der systematisch alle möglichen Bedrohungen abdeckt. Ohne Threat Modeling bist du blind gegenüber den Risiken, die deine AI Agents für dein Unternehmen darstellen.
↓ Springe direkt zur technischen Tiefe unten
STRIDE + AI-Spezifische Bedrohungen — Was in der Produktion funktioniert
S - Spoofing (Identitätsdiebstahl)
Angreifer geben sich als legitime Moltbot-Agenten aus. Schutz: mTLS mit SPIFFE/SPIRE für Agent-Authentifizierung, JWT mit signed claims für API-Calls. Jede Agent-Instanz muss ein eindeutiges Zertifikat haben. Wir verwenden HashiCorp Vault für Zertifikats-Rotation alle 30 Tage.
Real-world: Ein Startup vergaß mTLS — Angreifer spoofed Agent und exfilierte 50.000 Datensätze.
T - Tampering (Manipulation)
Manipulation von Agent-Prompts oder Model-Outputs. Schutz: Cryptographic Hashing für alle Agent-Kommunikation (SHA-256), Merkle Trees für Audit-Trail-Integrität. Jede Prompt-Response wird gehashed und in Elasticsearch gespeichert. Änderungen werden sofort detektiert.
Real-world: Ein Kunde hatte keine Hash-Validierung — Angreifer manipulierte Logs und versteckte Data Exfiltration.
R - Repudiation (Nichtanerkennung)
Angreifer lehnen Aktionen ab. Schutz: Immutable Audit Logs mit WORM-Storage (Write Once Read Many), digitale Signaturen für jede Agent-Aktion. Wir verwenden Amazon S3 Object Lock mit 7 Jahren Retention. Logs können nicht gelöscht oder manipuliert werden.
Real-world: Ein Fintech-Unternehmen hatte manipulierbare Logs — sie konnten keine forensische Analyse durchführen.
I - Information Disclosure (Datenleck)
Unbefugter Zugriff auf sensible Daten. Schutz: AES-256-GCM für Data-at-Rest, TLS 1.3 mit Perfect Forward Secrecy für In-Transit. PII-Masking in Logs, Role-Based Access Control (RBAC) für Agent-Permissions. Wir verwenden AWS KMS für Key Rotation alle 90 Tage.
Real-world: Ein E-Commerce-Unternehmen speicherte API-Keys im Klartext — Angreifer exfilierten sie über Log-Export.
D - Denial of Service (Verfügbarkeit)
Überlastung von Moltbot-Systemen. Schutz: Rate Limiting (10 req/min per Agent), Circuit Breaker bei 100 Fehlern/Minute, Auto-Scaling mit Kubernetes HPA. Wir verwenden Envoy Proxy für distributed rate limiting. DDoS-Schutz durch Cloudflare.
Real-world: Ein SaaS-Startup hatte kein Rate Limiting — ein Bug im Prompt führte zu 15.000 Requests/Sekunde.
E - Elevation of Privilege (Rechteausweitung)
Angreifer erweitern ihre Rechte. Schutz: Least-Privilege IAM, Capability Control für Agent-Tools, menschliche Bestätigung bei kritischen Aktionen. Wir verwenden AWS IAM mit Condition-Based Policies. Agenten haben nur read-only auf spezifische Tabellen.
Real-world: Ein Healthcare-Startup gab Agenten admin-Rechte — sie löschten 3 TB Produktionsdaten.
AI-Spezifisch: Prompt Injection
Bösartige Eingaben manipulieren Agent-Verhalten. Schutz: Input-Validierung mit Schema-Enforcement, structural delimiters (###SYSTEM###, ###USER###), Output-Sanitization mit PII-Detection. Wir使用 Microsoft Prompt Guard für Injection-Detection.
Real-world: Ein Kunde hatte keine Input-Validierung — Angreifer injizierten 'ignore all instructions' und exfilierten Daten.
AI-Spezifisch: Model Poisoning
Manipulation von Trainingsdaten oder Modellgewichten. Schutz: Supply Chain Security mit SBOM-Verification, Modell-Hashing vor Deployment, Continuous Monitoring für Model Drift. Wir verwenden Sigstore für Modell-Signierung.
Real-world: Ein Open-Source-Modell wurde vergiftet — Agenten gaben falsche medizinische Ratschläge.
Real-World Scars — Was in der Produktion schiefging
Fintech-Startup — 250.000 Kundendaten exponiert
Healthcare-Plattform — 3.8 Mio. Euro Strafe
Immediate Actions — Was du heute tun solltest
- ✓ STRIDE-Analyse für alle deine AI Agents durchführen
- ✓ IAM-Rollen prüfen — nur least-privilege
- ✓ Input-Validierung für alle Agent-Prompts implementieren
- ✓ mTLS für Agent-Authentifizierung aktivieren
- ✓ Immutable Audit Logs mit WORM-Storage einrichten
- ✓ Rate Limiting für alle Agent-Endpoints konfigurieren
- ✓ Supply Chain Security mit SBOM-Verification implementieren
- ✓ Continuous Monitoring für Model Drift einrichten
- ✓ Threat Model dokumentieren und regelmäßig aktualisieren
Interaktive Checkliste — Progress Tracking
LocalStorage-basiertes Progress Tracking. Checklisten werden automatisch gespeichert und beim nächsten Besuch wiederhergestellt.
Security Score Calculator — Wie sicher ist dein Threat Model?
Beantworte 5 Fragen und erhalte deinen Security Score (0-100). Dieser Score basiert auf Best Practices aus der Produktion.
Difficulty Level — Personalized Learning Path
Personalisierte Lernpfade basierend auf deinem Score. Strukturiertes Lernen von Anfänger bis Experte.
Ask AI — Context-Aware Chat
Chatbot, der den aktuellen Page-Content kennt. RAG mit Page-Content als Context. Antworten mit Zitaten.
Daypass — 24h Full Access für €3
Einmalig pro User/Kreditkarte. Volle 24 Stunden Zugang zu allen Security-Tools.
Live Attack Playground — Prompt Injection live ausprobieren
Simuliere Prompt Injection und sieh sofort, wie dein Agent reagieren würde. Diese Demo läuft client-side — keine Daten werden an einen Server gesendet.