Wir stellen vor: Beacon – Endpoint-Telemetrie für KI-Agenten

@jqdsouza
ENGLISCHvor 2 Monaten · 14. Mai 2026
548K
123
26
2
47

TL;DR

Beacon ist eine Open-Source-Telemetrie-Ebene, die die Lücke zwischen der Absicht von KI-Agenten und Endpoint-Aktionen schließt und Sicherheitsteams eine einheitliche Aufzeichnung lokaler Agentenaktivitäten zur Verfügung stellt.

Die erste Generation der KI-Sicherheit konzentrierte sich auf das Modell-Gateway. Die nächste wird sich zum Endpunkt verlagern, wo die Agenten tatsächlich arbeiten.

Gateways waren sinnvoll, als KI-Systeme hauptsächlich Fragen beantworteten. Ein Sicherheitsteam konnte einen Kontrollpunkt zwischen dem Benutzer und dem Modell einrichten, Prompts und Ausgaben überprüfen, DLP durchsetzen, den Modellzugriff vermitteln und den Austausch protokollieren.

Agenten zwingen diese Architektur zur Weiterentwicklung. Das Sicherheitsproblem ist nicht mehr nur, was ein Modell sagt oder sieht. Es ist, was ein Agent tun kann: die Werkzeuge des Benutzers verwenden, dessen Berechtigungen erben und den Zustand in sensiblen Umgebungen ändern.

Das deutlichste Beispiel ist der Entwickler-Rechner. Codierungsagenten wie Claude Code, Codex und Cursor arbeiten neben Quellcode, Terminals, Paketmanagern, Cloud-CLIs, lokalen Anmeldedaten und produktionsnahen Systemen. Eine einzige natürlichsprachliche Anfrage kann zu Dateilesevorgängen, Shell-Befehlen, Abhängigkeitsänderungen, berechtigten Aktionen und Code-Modifikationen führen.

Dieses Muster erweitert sich nun über Entwickler hinaus auf Wissensarbeiter. Desktop-verbundene Agenten beginnen, über SaaS-Apps, lokale Tools und interne Systeme hinweg zu operieren. Agent-Workspaces wie Claude Cowork und OpenClaw deuten auf die nächste Phase der Unternehmens-KI hin: Der Laptop des Benutzers wird zur Laufzeitumgebung für delegierte Arbeit über Unternehmensanwendungen hinweg.

Die harte Realität heute ist, dass Sicherheitsteams den Schadensradius möglicherweise erst sehen, nachdem ein Agent Befehle ausgeführt, Dateien geändert, Abhängigkeiten installiert oder Daten exfiltriert hat. Die Fehlermodi sind bereits schwerwiegend: Remotecodeausführung durch Claude-Code-Projektkonfiguration, Offenlegung von privatem Code durch Prompt-Injection in Copilot Chat und Anmeldedaten-Diebstahl durch bösartige npm-Pakete, die lokale Codierungsagenten in Angriffspfade verwandeln.

Das ist die Lücke in der Endpunkttransparenz, die Beacon schließen soll.

Beacon ist die Open-Source-Endpunkt-Telemetrieschicht von @asymptotelabs für KI-Agenten. Es ist unser erster Schritt, um lokale Agentenaktivitäten im gesamten Unternehmen beobachtbar, verständlich und letztendlich steuerbar zu machen.

Was das für Sicherheitsteams bedeutet

Für Sicherheitsteams ist dies wichtig, weil der bestehende Stack nicht dafür ausgelegt wurde, delegierte Arbeit zu erklären. Gateways, EDR und agenteneigene Telemetrie bleiben alle wichtig, aber jede sieht nur einen Teil dessen, was ein Agent tut. Um Agenten sicher zu steuern, müssen Teams sehen, wie ein Agent auf dem Endpunkt von der Absicht zur Aktion gelangt.

Drei Lücken stechen hervor:

  1. Endpunktprotokolle zeigen Effekte, nicht Workflows. Sie können Befehle, Dateiänderungen und Prozessaktivitäten erfassen, aber sie verbinden diese Ereignisse selten zurück mit der Agentenanfrage, der Tool-Entscheidung, dem Genehmigungspfad oder dem finalen Diff.
  2. Agententelemetrie benötigt eine gemeinsame Ebene. KI-Codierungsagenten wie Claude Code, Cursor, Codex und Claude Cowork geben alle unterschiedliche Telemetriesignale aus. Sicherheitsteams benötigen eine einheitliche Aufzeichnung auf Endpunktebene über alle hinweg.
  3. Transparenz kommt vor Kontrolle. Teams können keine Konfigurationen durchsetzen, sensible Aktionen absichern, den MCP-Zugriff verwalten oder Geheimnisse schützen, bevor sie wissen, welche Agenten ausgeführt werden, welche Berechtigungen sie haben und welche Aktionen sie durchführen.

Endpunktprotokolle erfassen keine Agenten-Workflows

Herkömmliche Endpunkttelemetrie ist notwendig, aber unzureichend, um das Verhalten von Agenten zu verstehen.

Sie kann zeigen, dass Befehle ausgeführt, Dateien geändert, Prozesse gestartet oder Verbindungen geöffnet wurden. Was sie normalerweise nicht zeigen kann, ist der Workflow hinter dem Ereignis: Was der Agent tun sollte, was er zu tun beschlossen hat und ob die Aktion für die Aufgabe sinnvoll war.

Dieselbe Agentenaktion kann je nach Aufgabe sicher oder riskant sein. Zum Beispiel:

  • Ein kubectl-Befehl kann während eines Infrastrukturvorfalls angemessen sein, aber unangemessen für einen Codierungsagenten, der einen Unit-Test aktualisieren soll.
  • Ein .env-Lesevorgang kann beim lokalen Debuggen erwartet werden, aber verdächtig sein, wenn eine Dokumentation bearbeitet wird.
  • Eine Terraform-Änderung kann in einem Infrastruktur-Repository normal sein, aber gefährlich, wenn sie als Nebeneffekt einer Abhängigkeitsaktualisierung eingeführt wird.

In jedem Fall reicht das rohe Ereignis nicht aus. Die sicherheitstechnische Bedeutung hängt vom Workflow ab: dem Prompt, dem Plan, dem zugegriffenen Kontext, den aufgerufenen Tools, den berührten Dateien, den verwendeten Anmeldedaten und den erteilten Genehmigungen.

Betrachten wir einen Codierungsagenten, der eine enge Teständerung vornehmen soll: Die Benutzeranfrage könnte etwa lauten: „Aktualisiere den Unit-Test für die Abrechnungs-Wiederholungslogik.“

Herkömmliche Telemetrie könnte Folgendes zeigen:

Diese Ereignisse sind nützlich, aber sie sind vom Agenten-Workflow losgelöst. Das Protokoll zeigt, dass ein Test geändert, eine geheime Datei gelesen, Terraform modifiziert und ein Bereitstellungsbefehl ausgeführt wurde. Es zeigt nicht, ob diese Aktionen Teil der Benutzeranfrage waren, welche Tool-Entscheidung sie hervorgebracht hat oder ob der Benutzer die sensiblen Schritte genehmigt hat.

Eine agentenbewusste Aufzeichnung verbindet dieselben Ereignisse zurück mit dem Workflow:

Ohne diese Spur bleiben Sicherheitsteams zurück, die Absicht aus Low-Level-Artefakten im Nachhinein zu rekonstruieren. Sie können die Auswirkungen der Agentenaktivität sehen, aber nicht, ob das Verhalten des Agenten für die Arbeit, die er erledigen sollte, angemessen war.

Beacon: Eine Endpunkt-Telemetrieschicht für KI-Agenten

Die meisten Sicherheits- und IT-Teams können beantworten, welche Modelle zugelassen oder welche Gateways bereitgestellt sind. Sobald Agenten lokal ausgeführt werden, rücken die Sicherheitsfragen näher an den Endpunkt:

Agenteninventar: Welche Agenten-Tools sind installiert? Welche Benutzer und Geräte führen sie aus?

Laufzeitkontext: In welchen Repositorys und Workspaces arbeiten Agenten? Welche Tools, Anmeldedaten und lokalen Berechtigungen können sie erben?

Agentenaktivität: Welche Dateien lesen oder ändern Agenten? Welche Befehle, Genehmigungen und Diffs erzeugen sie?

Telemetrie und Audit: Welche Telemetrie wird gesammelt und wohin wird sie gesendet? Können Sicherheitsteams die ursprüngliche Benutzeranfrage mit den durchgeführten Aktionen verbinden?

Agenteneigene Telemetrie hilft, ist aber fragmentiert. Claude Code und Codex können OpenTelemetry exportieren. Cursor bietet Hooks für Sitzungen, Prompts, Tool-Nutzung, Befehlsausführung, Genehmigungen, MCP-ähnliche Aktivitäten und Dateibearbeitungen. Claude Cowork kann Telemetrie über einen administrativ konfigurierten OTLP-Endpunkt exportieren.

Was Sicherheitsteams brauchen, ist eine Workflow-Aufzeichnung, die alle abdeckt: Was der Agent tun sollte, welchen Kontext er hatte, welche Tools er aufrief, welche Genehmigungen erforderlich waren und was sich auf dem Endpunkt geändert hat.

Beacon schließt diese Lücke, indem es OpenTelemetry konfiguriert, wo unterstützt, lokale Signale sammelt, wo verfügbar, und fragmentierte Agentenaktivitäten in ein gemeinsames Endpunkt-Ereignisformat abbildet.

Justin D'Souza - inline image

Wie in Abbildung 1 gezeigt, verbindet Beacon vier Ebenen:

  1. Agenten-Laufzeiten: Claude Code, Codex, Cursor, Claude Cowork, OpenClaw und lokale Modelle erzeugen Prompts, Pläne, Tool-Aufrufe, Genehmigungen, Diffs und Laufzeitzustände.
  2. Endpunktaktivität: Diese Agenten interagieren mit dem Rechner: Dateien, Terminals, Paketmanager, MCP-Server, Cloud-CLIs, Repositorys, Anmeldedaten und lokale Konfiguration.
  3. Beacon-Normalisierung: Beacon wandelt fragmentierte OpenTelemetry-, Hook-basierte und Endpunktsignale in einen gemeinsamen JSON-Ereignisstrom um, sodass Sicherheitsteams die Kette von der Agentenanfrage bis zur lokalen Aktion verfolgen können.
  4. Sicherheitsziele: Beacon schreibt heute Wazuh-kompatibles JSONL. Derselbe normalisierte Ereignisstrom kann in die SIEMs, Data Lakes, Observability-Plattformen, Erkennungspipelines und Endpunkt-Workflows erweitert werden, die Unternehmen bereits nutzen.

Mit Beacon werden Prompts, Tool-Aufrufe, Befehle, Dateibearbeitungen, Genehmigungen, MCP-Interaktionen und Laufzeitänderungen Teil einer einzigen Aufzeichnung auf Endpunktebene: einer klareren Kette von der Benutzeranfrage zur lokalen Aktion, über Agenten und Tools hinweg.

Transparenz zuerst, Kontrolle später

Agenten werden zu einer neuen Ausführungsebene innerhalb des Unternehmens.

Sie lesen Dateien, rufen Tools auf, verwenden Anmeldedaten, modifizieren Systeme und handeln mit der Autorität der Personen, die ihnen Arbeit delegieren. Diese Aktivität kann nicht allein vom Modell-Gateway aus verstanden oder gesteuert werden.

Der Endpunkt ist der Ort, an dem Agentenkontext, -autorität und -aktion zusammenkommen. Hier werden Prompts zu Befehlen, Tools erben Berechtigungen, Anmeldedaten werden verwendet und Änderungen vorgenommen.

Das macht Endpunkttelemetrie zur Grundlage für Agentensicherheit.

Beacon macht lokale Agentenaktivitäten über die Tools hinweg beobachtbar, die Unternehmen bereits einführen. Es gibt Sicherheitsteams eine gemeinsame Aufzeichnung darüber, was Agenten tun sollten, was sie berührt, was sie geändert haben und ob sensible Aktionen genehmigt wurden.

Diese Ebene muss vertrauenswürdig sein. Beacon ist Open Source und MIT-lizenziert, weil es nahe am Entwickler-Workflow, Quellcode, Anmeldedaten und produktionsnahen Systemen läuft. Entwickler sollten in der Lage sein, zu überprüfen, was gesammelt wird. Sicherheitsteams sollten die Telemetrie verifizieren können. IT-Teams sollten genau verstehen, was sie bereitstellen.

Agentenaktivität sollte beobachtbar sein, bevor sie steuerbar ist.

Beacon ist unser erster Schritt, um das wahr zu machen.

Save to YouMind

Use YouMind to read viral articles deeply

Save the source, ask focused questions, summarize the argument, and turn a viral article into reusable notes in one AI workspace.

Explore YouMind

Mehr Muster zum Entschlüsseln

Aktuelle virale Artikel

Mehr virale Artikel entdecken