Zum Inhalt springen
Guide

OWASP Top 10 für Agenten-Apps: Was API-Entwickler ändern müssen

| 10 min read

Die Top-10-Liste der OWASP-Agenten-Apps birgt Risiken für Ihre bestehenden API-Sicherheitslücken. Fünf Korrekturen, die API-Entwickler diese Woche mit Code ausliefern können.

Shield icon on dark background representing application security framework
Photo by FLY:D on Unsplash

Ihre API verfügt über Ratenbegrenzung, BOLA-Prüfungen und Eingabevalidierung. Ein KI-Agent umgeht alle drei Verkettung von sechs autorisierten Endpunkten zu einem Privilegien-Eskalationspfad, den Ihr Bedrohungsmodell nie berücksichtigt hat. 520 Vorfälle von Werkzeugmissbrauch in der Meldung Anfang 2026 bestätigen, dass dies nicht theoretisch ist.

OWASP hat seine Top 10 für Agentenanwendungen im Jahr 2026 veröffentlicht, die von über 100 Sicherheitsforschern erstellt wurden Cisco, Microsoft, Google und die breitere Community. Die Liste zielt auf eine neue Bedrohungsoberfläche ab: autonom KI-Agenten, die Ihre APIs aufrufen, Speicher behalten und Entscheidungen ohne menschliche Zustimmung treffen.

Das Original OWASP API-Sicherheit Top 10 geht davon aus Ein Mensch klickt auf eine Schaltfläche und löst eine Anfrage aus. Die Agentenliste geht davon aus, dass eine Maschine 50 Anfragen auslöst in einer Kette, jeder wird durch die vorherige Antwort informiert, ohne dass ein Mensch in der Schleife ist. Gleiche APIs, unterschiedlich Angreiferprofil.

Dieser Leitfaden behandelt die fünf OWASP-Agentenrisiken, mit denen API-Entwickler auf der API-Ebene beheben können Arbeitscode, den Sie diese Woche versenden können.

Die Agenten-Aktionsschicht: Warum Ihre APIs die Angriffsfläche sind

APIs haben sich zu dem entwickelt, was Sicherheitsforscher heute als „agentische Aktionsschicht“ bezeichnen. Jedes Werkzeug und Der KI-Agent verwendet Karten zu einem, sei es zum Bestellen von Inventar, zum Abfragen einer Datenbank oder zum Senden einer Benachrichtigung API-Aufruf. Der Agent interagiert nicht mit einer Benutzeroberfläche. Es liest Ihre OpenAPI-Spezifikation, erkennt Endpunkte und ruft sie der Reihe nach auf.

48,9 % der Unternehmen haben keinen Einblick in den Maschine-zu-Maschine-Verkehr. Das bedeutet die Hälfte aller APIs Die Infrastruktur kann einen menschlichen Benutzer nicht von einem autonomen Agenten unterscheiden. Wenn Sie es nicht sagen können Unterschied, Sie können unterschiedliche Regeln nicht durchsetzen.

Die OWASP Agentic Top 10 umfassen: Übermäßige Agentur, schnelle Injektion, Schwachstellen in der Lieferkette, Speichervergiftung, Werkzeugmissbrauch und Rechteausweitung, kaskadierende Fehler, unsichere Ausgabeverarbeitung, Unzureichende Protokollierung, Datenlecks und unzureichendes Sandboxing. Dieser Leitfaden konzentriert sich auf die fünf Risiken Sie reparieren auf der API-Ebene.

1. Übermäßige Agentur: Agenten rufen Endpunkte an, die sie nicht sollten

Ein Kundendienstmitarbeiter muss den Bestellstatus lesen. Sie geben ihm einen API-Schlüssel mit Zugriff auf Ihr gesamtes API. Der Agent stellt fest, dass er auch Bestellungen stornieren, Rückerstattungen veranlassen und Konten löschen kann. Übermäßig Agentur bedeutet, dass der Agent über Berechtigungen verfügt, die über seine Aufgabe hinausgehen.

Dies ist das Agentenäquivalent von OWASP API5 (defekte Autorisierung auf Funktionsebene), aber der Angriff Vektor ist anders. Ein menschlicher Angreifer entdeckt Admin-Endpunkte durch Quellcode- oder URL-Erraten. Ein Agent erkennt sie über Ihre OpenAPI-Spezifikation oder Ihr Tool-Manifest. Der Agent muss nicht raten; Du hast ihm die komplette Speisekarte gegeben.

Fix: bereichsbezogene API-Schlüssel und Endpunkt-Zulassungslisten

Erstellen Sie einen API-Schlüssel pro Agent. Jeder Schlüssel ist einer expliziten Liste zulässiger Endpunkte zugeordnet. Lehnen Sie alle ab Anfrage außerhalb dieser Liste. 

// Scoped API key configuration per agent
const agentPermissions = {
  "agent-order-bot": {
    allowedEndpoints: [
      "GET /api/orders/:id",
      "GET /api/orders/:id/status"
    ],
    rateLimit: { requests: 20, windowSeconds: 60 },
    maxChainDepth: 3
  },
  "agent-support-bot": {
    allowedEndpoints: [
      "GET /api/orders/:id",
      "POST /api/tickets",
      "GET /api/tickets/:id"
    ],
    rateLimit: { requests: 10, windowSeconds: 60 },
    maxChainDepth: 5
  }
};

// Middleware: check agent scope before processing
function enforceAgentScope(req, res, next) {
  const agentId = req.headers["x-agent-id"];
  const permissions = agentPermissions[agentId];

  if (!permissions) {
    return res.status(403).json({ error: "Unknown agent" });
  }

  const route = \`\${req.method} \${req.route.path}\

Überprüfen Sie die Tokenansprüche, um vor der Verarbeitung zu überprüfen, ob das JWT eines Agents den richtigen Bereich hat. Der /v1/jwt/decode Der Endpunkt dekodiert jedes JWT, ohne dass der Signaturschlüssel erforderlich ist, sodass Sie dies können Überwachen Sie den Inhalt des Tokens während der Entwicklung und in Ihrer CI-Pipeline: 

curl -s -X POST https://api.botoi.com/v1/jwt/decode \\
  -H "Content-Type: application/json" \\
  -H "X-API-Key: YOUR_API_KEY" \\
  -d '{
    "token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJhZ2VudC1vcmRlci1ib3QiLCJzY29wZSI6Im9yZGVycy5yZWFkIiwiaWF0IjoxNzQ5NTY0ODAwLCJleHAiOjE3NDk1NjgwMDB9.signature"
  }'

Antwort:

{
  "success": true,
  "data": {
    "header": {
      "alg": "RS256",
      "typ": "JWT"
    },
    "payload": {
      "sub": "agent-order-bot",
      "scope": "orders.read",
      "iat": 1749564800,
      "exp": 1749568000
    }
  }
}

Der scope Behauptung sagt orders.read. Wenn dieser Agent anruft POST /api/orders/:id/cancel, sollte Ihre Middleware die Anfrage ablehnen, bevor sie eintrifft Ihr Betreuer.

2. Tool-Missbrauch und Rechteausweitung: Agenten verketten API-Aufrufe

Der Missbrauch von Werkzeugen verzeichnete in der Frühberichterstattung 520 Vorfälle und ist damit die häufigste Agentenbedrohung. Die Muster: Ein Agent ruft Endpunkt A an, extrahiert Daten aus der Antwort und verwendet diese Daten dann zum Anrufen Endpunkt B auf eine Weise, die der Entwickler nie erwartet hätte.

Beispiel: Ein Stripe-Integrationsagent hat Zugriff auf GET /api/customers/:id Und POST /api/refunds. Der Agent liest die Zahlungshistorie eines Kunden und identifiziert die Transaktion mit dem höchsten Wert und erstattet sich selbst eine Rückerstattung. Jeder einzelne Anruf besteht die Autorisierung. Die Kette ist der Exploit.

Fix: Ratenbegrenzungen pro Agent und Verfolgung der Kettentiefe

Die standardmäßige Ratenbegrenzung zählt Anfragen pro IP oder pro API-Schlüssel. Durch die Agentenratenbegrenzung werden zwei Dimensionen hinzugefügt:

  • Grenzwerte pro Werkzeug: Begrenzen Sie, wie oft ein einzelner Agent einen bestimmten Endpunkt innerhalb eines Fensters aufrufen kann
  • Grenzen der Kettentiefe: Verfolgen Sie, wie viele aufeinanderfolgende API-Aufrufe ein Agent in einer einzelnen Sitzung durchführt, und unterbrechen Sie diese bei einem definierten Schwellenwert
Art der Ratenbegrenzung Was es fängt Wer braucht es
Pro IP DDoS, Credential Stuffing Jede API
Pro-API-Schlüssel Beleidigende einzelne Verbraucher Jede API
Pro Agent und pro Tool Agent ruft einen Endpunkt in einer Schleife auf Von Agenten genutzte APIs
Kettentiefe Mehrstufige Rechteausweitung Von Agenten genutzte APIs

Fordern Sie Agenten auf, eine zu senden X-Agent-Session Kopfzeile. Verfolgen Sie die Anrufanzahl pro Sitzung. Wenn die Wenn die Anzahl Ihren Schwellenwert überschreitet, geben Sie eine 429 mit einer eindeutigen Fehlermeldung zurück.

3. Unzureichende Protokollierung: Keine Sichtbarkeit der Agent-API-Aufrufe

48,9 % der Unternehmen sind blind für den Maschine-zu-Maschine-Verkehr. Wenn ein Agent Ihre API ausnutzt, sind Sie Ich muss antworten: Welcher Agent? Welche Endpunkte? In welcher Reihenfolge? Über welches Zeitfenster? Standardzugriffsprotokolle IP-Adressen und Zeitstempel anzeigen. Sie zeigen weder die Identität des Agenten noch die Anrufsequenzen an.

In der OWASP-Agentenliste wird eine unzureichende Protokollierung als größtes Risiko eingestuft, da Agentenangriffe so aussehen autorisierter Verkehr. Jede einzelne Anfrage besteht die Authentifizierung. Der Exploit lebt im Muster gegenüber mehrere Anfragen.

Fix: Attributionsheader und Protokollaufrufketten erforderlich

Fügen Sie drei erforderliche Header für Agent-Konsumenten hinzu:

  • X-Agent-ID: eindeutige Kennung für den Agenten (gebunden an seinen API-Schlüssel)
  • X-Agent-Session: Kennung für die aktuelle Aufgabe oder Konversation
  • User-Agent: Agent-Framework und Version (z. B. LangChain/0.3.1)
// Middleware: log every agent request with attribution
function agentAuditLog(req, res, next) {
  const logEntry = {
    timestamp: new Date().toISOString(),
    agentId: req.headers["x-agent-id"] || "unknown",
    apiKey: req.headers["x-api-key"]?.slice(-8) || "none",
    method: req.method,
    path: req.path,
    sessionId: req.headers["x-agent-session"] || "none",
    ip: req.ip,
    userAgent: req.headers["user-agent"]
  };

  // Structured JSON log for your SIEM
  console.log(JSON.stringify(logEntry));

  // Track chain depth per session
  const session = req.headers["x-agent-session"];
  if (session) {
    const depth = chainTracker.increment(session);
    if (depth > MAX_CHAIN_DEPTH) {
      return res.status(429).json({
        error: "Agent chain depth exceeded",
        maxDepth: MAX_CHAIN_DEPTH,
        currentDepth: depth
      });
    }
  }

  next();
}

Diese Middleware protokolliert jede Anfrage als strukturiertes JSON, das in jedes SIEM- oder Protokollaggregator eingespeist wird. Außerdem wird die Kettentiefe erzwungen, indem aufeinanderfolgende Aufrufe pro Sitzung verfolgt werden. Wenn Sie einen Vorfall untersuchen, Sie können die gesamte Kette durch Filtern rekonstruieren sessionId.

4. Unsichere Ausgabeverarbeitung: Agenten vertrauen API-Antworten ohne Validierung

Ein Agent ruft Ihre API auf, empfängt eine JSON-Antwort und leitet sie an den nächsten Schritt in seiner Kette weiter. Wenn die Wenn die Antwort unerwartete Felder, falsche Typen oder eingefügten Inhalt enthält, verbreitet der Agent das Problem flussabwärts. Dies ist das Agentenäquivalent von OWASP API10 (unsicherer Verbrauch von APIs), verstärkt durch die Tatsache, dass Agenten Antworten automatisch und ohne menschliche Überprüfung verarbeiten.

Beispiel: Ein Konkurrent kompromittiert eine Preis-API eines Drittanbieters. Der Agent holt das Produkt Preise, erhält eine manipulierte Antwort price Feld auf 0,01 gesetzt und gibt eine Bestellung auf zu diesem Preis. Kein Mensch hat jemals die Reaktion gesehen.

Fix: Validieren Sie jede Antwort anhand eines JSON-Schemas

Beginnen Sie mit der Generierung eines Schemas aus einer bekanntermaßen guten Antwort. Der /v1/schema/json-to-jsonschema endpoint erzeugt ein JSON-Schema aus einem beliebigen JSON-Beispiel: 

curl -s -X POST https://api.botoi.com/v1/schema/json-to-jsonschema \\
  -H "Content-Type: application/json" \\
  -H "X-API-Key: YOUR_API_KEY" \\
  -d '{
    "json": {
      "orderId": "ord_12345",
      "status": "shipped",
      "total": 49.99,
      "items": [
        { "sku": "WIDGET-A", "quantity": 2 }
      ]
    }
  }'

Antwort:

{
  "success": true,
  "data": {
    "schema": {
      "type": "object",
      "properties": {
        "orderId": { "type": "string" },
        "status": { "type": "string" },
        "total": { "type": "number" },
        "items": {
          "type": "array",
          "items": {
            "type": "object",
            "properties": {
              "sku": { "type": "string" },
              "quantity": { "type": "integer" }
            }
          }
        }
      }
    }
  }
}

Anschließend validieren Sie jede Antwort, die Ihr Agent erhält, anhand dieses Schemas. Der /v1/schema/validate Der Endpunkt prüft ein JSON-Objekt anhand eines beliebigen JSON-Schemas und gibt bestimmte Fehler zurück: 

curl -s -X POST https://api.botoi.com/v1/schema/validate \\
  -H "Content-Type: application/json" \\
  -H "X-API-Key: YOUR_API_KEY" \\
  -d '{
    "schema": {
      "type": "object",
      "required": ["orderId", "status", "total"],
      "properties": {
        "orderId": { "type": "string" },
        "status": { "type": "string", "enum": ["pending", "shipped", "delivered"] },
        "total": { "type": "number", "minimum": 0 }
      },
      "additionalProperties": false
    },
    "data": {
      "orderId": "ord_12345",
      "status": "shipped",
      "total": 49.99,
      "internalNote": "rush order"
    }
  }'

Antwort:

{
  "success": true,
  "data": {
    "valid": false,
    "errors": [
      {
        "path": "",
        "message": "must NOT have additional properties: internalNote"
      }
    ]
  }
}

Die Validierung wurde blockiert internalNote, ein Feld, das nicht in die Antwort gehört. Wenn eine API Wenn unerwartete Felder zurückgegeben werden, stoppt Ihr Agent die Verarbeitung, anstatt fehlerhafte Daten weiterzuleiten.

Hier ist das vollständige Muster mit dem Botoi Node.js SDK: 

import Botoi from "botoi";

const botoi = new Botoi({ apiKey: process.env.BOTOI_API_KEY });

// Step 1: generate a schema from a known-good response
const schemaResult = await botoi.schema.jsonToJsonschema({
  json: knownGoodResponse
});
const responseSchema = schemaResult.data.schema;

// Step 2: validate every agent-received response against that schema
async function validateAgentResponse(response) {
  const validation = await botoi.schema.validate({
    schema: responseSchema,
    data: response
  });

  if (!validation.data.valid) {
    console.error("Response failed validation:", validation.data.errors);
    throw new Error("Untrusted response rejected by schema validation");
  }

  return response;
}

5. Schwachstellen in der Lieferkette: kompromittierte Tooldefinitionen

KI-Agenten entdecken Tools über MCP-Server, OpenAPI-Spezifikationen und Tool-Manifeste. Wenn ein Angreifer Änderungen vornimmt Bei einer Tooldefinition ruft der Agent einen anderen Endpunkt auf, sendet Daten an einen anderen Server oder führt ihn aus mit anderen Parametern als vom Entwickler vorgesehen.

Beispiel: Sie verwenden einen Open-Source-MCP-Server, der 30 Tools definiert. Ein Angreifer unterwirft sich eine Pull-Anfrage, die die API-URL eines Tools ändert api.stripe.com Zu api.str1pe.com. Die Änderung besteht die Codeüberprüfung, da es sich um ein einzelnes Zeichen handelt. Ihr Agent sendet nun Zahlungsdaten an den Server des Angreifers.

Fix: Hash-Tool-Definitionen und Überprüfung zur Laufzeit

Hashen Sie jede Tooldefinition zum Zeitpunkt der Bereitstellung. Bevor Ihr Agent ein Tool zur Laufzeit registriert, hashen Sie es erneut und vergleichen. Der /v1/hash Endpunkt generiert einen SHA-256-Hash einer beliebigen Zeichenfolge: 

curl -s -X POST https://api.botoi.com/v1/hash \\
  -H "Content-Type: application/json" \\
  -H "X-API-Key: YOUR_API_KEY" \\
  -d '{
    "text": "{\\"name\\":\\"get_order_status\\",\\"description\\":\\"Retrieve current order status by order ID\\",\\"parameters\\":{\\"orderId\\":\\"string\\"}}",
    "algorithm": "sha256"
  }'

Antwort:

{
  "success": true,
  "data": {
    "hash": "a3f2b8c1d4e5f67890abcdef1234567890abcdef1234567890abcdef12345678",
    "algorithm": "sha256"
  }
}

Hier ist der vollständige Workflow zur Integritätsprüfung mit dem Botoi SDK: 

import Botoi from "botoi";
import fs from "fs";

const botoi = new Botoi({ apiKey: process.env.BOTOI_API_KEY });

// Hash every tool definition at deploy time
const toolDefs = JSON.parse(fs.readFileSync("./mcp-tools.json", "utf-8"));
const hashes = {};

for (const tool of toolDefs) {
  const result = await botoi.hash.sha256({
    text: JSON.stringify(tool)
  });
  hashes[tool.name] = result.data.hash;
}

fs.writeFileSync("./tool-hashes.json", JSON.stringify(hashes, null, 2));

// At runtime, verify before registering any tool
async function verifyToolIntegrity(tool) {
  const result = await botoi.hash.sha256({
    text: JSON.stringify(tool)
  });
  const expected = hashes[tool.name];

  if (result.data.hash !== expected) {
    throw new Error(
      \`Tool "\${tool.name}" failed integrity check. \\n\` +
      \`Expected: \${expected}\\n\` +
      \`Got: \${result.data.hash}\`
    );
  }
}

Führen Sie den Hash-Generierungsschritt in Ihrer CI-Pipeline aus. Speichern Sie die Hash-Datei zusammen mit Ihrer Bereitstellung Artefakt. Zur Laufzeit wird jedes Tool vor der Registrierung überprüft. Ein einzelnes geändertes Zeichen in jedem Die Werkzeugdefinition löst einen schweren Fehler aus.

OWASP-Agent Top 10 vs. API Security Top 10: Vergleich

Die beiden Listen ergänzen sich. Hier erfahren Sie, wie die fünf Agentenrisiken ihrer nächstgelegenen API-Sicherheit zugeordnet werden Gegenstücke und welche Änderungen:

Agentisches Risiko Nächstliegendes API-Sicherheitsrisiko Was sich für Agenten ändert
Übermäßige Agentur API5 Defekte Funktionsauthentifizierung Agenten erkennen alle Endpunkte anhand der Spezifikationen. Bereichsschlüssel pro Agent
Werkzeugmissbrauch API4-Ressourcenverbrauch Agenten verketten Anrufe, um es zu eskalieren; Kettentiefenbegrenzungen hinzufügen
Unzureichende Protokollierung Kein direktes Äquivalent Agentenanrufe sehen aus wie autorisierter Datenverkehr; Fügen Sie Attributions-Header hinzu
Unsichere Ausgabe API10 Unsicherer Konsum Agenten verarbeiten Antworten ohne menschliche Überprüfung; Schemavalidierung hinzufügen
Lieferkette Kein direktes Äquivalent Kompromittiertes Tool verhindert, dass der Agentenverkehr umgeleitet wird; Fügen Sie Integritäts-Hashes hinzu

Versand-Checkliste: Fünf Korrekturen für die Agenten-API-Sicherheit

Jeder Fix ist unabhängig. Wählen Sie eines aus, versenden Sie es und fahren Sie mit dem nächsten fort.

Fix Was zu tun Botoi-Endpunkt
Bereichsbezogene API-Schlüssel Ein Schlüssel pro Agent; Endpunkte pro Schlüssel auf die Zulassungsliste setzen /v1/jwt/decode
Ratenbegrenzungen pro Agent Verfolgen Sie die Kettentiefe pro Tool und pro Sitzung
Attributions-Header Erfordern X-Agent-ID, X-Agent-Sitzung; Protokollstrukturiertes JSON
Antwortvalidierung Generieren Sie ein Schema aus einer guten Antwort. Validieren Sie alle Agentenantworten /v1/schema/validate, /v1/schema/json-to-jsonschema
Werkzeugintegrität Hash-Tool-Definitionen bei der Bereitstellung; Zur Laufzeit überprüfen /v1/hash

Was kommt als nächstes?

Die vollständigen OWASP Top 10 für Agentenanwendungen finden Sie unter owasp.org. Cisco, Microsoft und Google haben alle auf der RSAC 2026 Initiativen zur Agentensicherheit angekündigt, also rechnen Sie damit Werkzeuge und Standards werden für den Rest des Jahres schnell verfügbar sein.

Die fünf verbleibenden Risiken auf der Liste (Prompt Injection, Memory Poisoning, Cascading Failures, Data Leckagen und unzureichendes Sandboxing) erfordern Korrekturen auf der Agent-Framework-Ebene, nicht auf der API-Ebene. Wenn Wenn Sie ein Agent-Framework ausführen, lesen Sie das vollständige OWASP-Dokument. Wenn Sie APIs ausführen, gelten die fünf oben genannten Korrekturen Ihr Ausgangspunkt.

Beginnen Sie mit bereichsbezogenen API-Schlüsseln. Diese einzige Änderung verhindert den Großteil des übermäßigen Missbrauchs von Agenturen und Werkzeugen Szenarien. Fügen Sie dann Attributions-Header hinzu, damit Sie sehen können, was Ihre Agenten tun. Der Rest ergibt sich aus Sichtbarkeit.

FAQ

Wie unterscheiden sich die OWASP Agentic Applications Top 10 von den OWASP API Security Top 10?
Die API Security Top 10 (2023) befasst sich mit Risiken, die von menschlichen Verbrauchern ausgehen: fehlerhafte Autorisierung, Authentifizierungsfehler, übermäßige Offenlegung von Daten. Die Agentic Applications Top 10 (2026) befassen sich mit den Risiken autonomer KI-Agenten, die API-Aufrufe verketten, Speicher über Sitzungen hinweg behalten und Entscheidungen ohne menschliche Aufsicht treffen. Beide Listen gelten für APIs, aber die Agentenliste zielt auf Maschine-zu-Maschine-Muster ab, die das Original nie erwartet hätte.
Was ist übermäßige Agentur in Agentenanwendungen?
Eine übermäßige Entscheidungsfreiheit liegt dann vor, wenn ein KI-Agent Zugriff auf API-Endpunkte oder Aktionen hat, die über das hinausgehen, was seine Aufgabe erfordert. Beispielsweise kann ein Kundendienstmitarbeiter mit Zugriff auf Abrechnungs-, Rückerstattungs- und Kontolöschungsendpunkte diese Anrufe verketten, um weit über die Beantwortung von Fragen hinaus zu eskalieren. Die Lösung sind bereichsbezogene API-Schlüssel, die jeden Agenten auf genau die Endpunkte beschränken, die er benötigt.
Muss ich meine API für die Agentensicherheit neu erstellen?
Nein. Sie müssen nicht neu erstellen. Die fünf in diesem Leitfaden behandelten Korrekturen (bereichsbezogene API-Schlüssel, Ratenbegrenzungen pro Tool, Anforderungszuordnungsheader, Validierung des Antwortschemas und Integritätsprüfungen der Tooldefinition) sind Ergänzungen zu Ihrer vorhandenen API. Sie können jedes einzeln versenden.
Warum ist der Missbrauch von Tools die häufigste Bedrohung für Agentenanwendungen?
Durch Toolmissbrauch und Rechteausweitung wurden in der ersten Meldung 520 Vorfälle protokolliert, da Agenten API-Aufrufe auf eine Weise verketten, die von den Entwicklern nie beabsichtigt war. Ein einzelner Agent kann einen Leseendpunkt aufrufen, die Antwort analysieren und dann einen Schreibendpunkt aufrufen, indem er die Daten des ersten Aufrufs verwendet, um die Berechtigungen zu eskalieren. Die meisten APIs verfügen über keinen Mechanismus, um mehrstufige Ketten aus einer einzelnen Agentensitzung zu erkennen oder zu blockieren.
Wie ordne ich API-Anfragen bestimmten KI-Agenten zu?
Fügen Sie Ihrer API einen erforderlichen X-Agent-ID-Header hinzu. Jeder Agent erhält eine eindeutige Kennung, die mit seinem bereichsbezogenen API-Schlüssel verknüpft ist. Protokollieren Sie bei jeder Anfrage sowohl den API-Schlüssel als auch die Agent-ID. Dadurch erhalten Sie einen vollständigen Prüfpfad darüber, welcher Agent welchen Endpunkt wann und in welcher Reihenfolge aufgerufen hat.

Starte mit botoi zu entwickeln

150+ API-Endpunkte für Abfragen, Textverarbeitung, Bildgenerierung und Entwickler-Tools. Kostenloser Tarif, keine Kreditkarte nötig.

API-Dokumentation ansehen Alle Tools ansehen