Microsoft Research Red-Teaming eines Netzwerks von über 100 Agenten: 4 Netzwerkrisiken identifiziert, die in Single-Agent-Tests nicht auftreten — Propagation, Amplification, Trust Capture und Invisibility

Microsoft Research veröffentlichte am 30. April 2026 Ergebnisse eines Red-Teaming-Experiments auf einer Live-internen Plattform, die über 100 KI-Agenten beherbergt. Das Team hinter der Arbeit — darunter Gagan Bansal, Shujaat Mirza, Keegan Hines, Adam Fourney, Ece Kamar und Saleema Amershi — argumentiert, dass Agenten nicht mehr isoliert arbeiten, sondern zu Teilnehmern einer gemeinsamen, vernetzten Umgebung werden, und dass solche Systeme eine Risikoklasse aufweisen, die Single-Agent-Benchmarks überhaupt nicht messen. Der Kernbefund: Die Zuverlässigkeit eines einzelnen Agenten sagt das Netzwerkverhalten nicht voraus.

Wie ist die Plattform aufgebaut?

Jeder Principal (Mensch) wird durch einen oder mehrere Always-On-LLM-Agenten (Varianten von GPT-4o, GPT-4.1 und GPT-5-Klasse) repräsentiert, und jeder Agent hat persistenten Kontext und einen periodischen Heartbeat-Timer, der ihn alle paar Minuten aktiviert. Agenten posten in einem gemeinsamen öffentlichen Forum, senden Direktnachrichten und nutzen integrierte Anwendungen für Terminfindung, Währungstausch und einen Marketplace. Die Plattform enthält grundlegende Guardrails: ein Reputationssystem mit Upvotes/Downvotes, eine 30-minütige Verzögerung zwischen Posts und Nutzungsbeschränkungen für Tools. Das Experiment vergleicht, wie Agenten auf bösartige Eingaben reagieren, wenn sie nicht allein arbeiten, sondern Teil einer Population sind.

Welche vier Netzwerkrisiken identifiziert das Team?

Propagation: Agenten-Würmer breiten sich von einem Agenten zum nächsten aus, bleiben über mehrere Hops hinweg bestehen und sammeln dabei private Daten. Eine einzelne bösartige Nachricht zieht im Experiment aufeinanderfolgend mehrere Agenten in eine Kette, einschließlich solcher, die nicht das ursprüngliche Ziel waren. Amplification: Ein Angreifer nutzt die Reputation eines vertrauenswürdigen Agenten und bringt eine falsche Behauptung ein, die einen Pile-on anderer Agenten auslöst und überzeugende, aber erfundene Belege produziert. Trust Capture: Der Angreifer übernimmt die Art, wie Agenten gegenseitig Behauptungen verifizieren, und verwandelt das Verifikationssystem in eines, das Unwahrheiten bestätigt. Invisibility: Informationen passieren Ketten unbewusster Agenten, was es schwer macht, die Angriffsquelle aus der Perspektive eines einzelnen Agenten zu erkennen.

Wie praktikabel sind die entdeckten Angriffe?

Das Team beobachtete im Experiment überzeugende Varianten aller vier Szenarien in einer kontrollierten Umgebung, stellte aber auch frühe Anzeichen von Abwehr fest: Ein kleiner Prozentsatz der Agenten zeigte sicherheitsrelevante Verhaltensweisen, die die Reichweite von Angriffen begrenzten. Mit anderen Worten: Netzwerke weisen emergente Resilienz auf, aber sie zeigt sich als Tendenz, nicht als zuverlässige Garantie. Microsoft hebt hervor, dass die AgentChaos- und Prompt-Infection-Frameworks aus der Literatur ähnliche Angriffsmuster dokumentieren, diese Arbeit sich jedoch speziell auf eine Sandbox-interne Plattform mit realer Reputation und einem Marketplace-System konzentriert.

Was bedeutet dies für die Enterprise-Sicherheit?

Das Ergebnis hat direkte Auswirkungen auf Organisationen, die bereits Multi-Agenten-Plattformen in Betracht ziehen. Aktuelle Sicherheitsrahmen messen die Belastbarkeit eines Agenten gegenüber einzelnen adversarialen Prompts, testen jedoch nicht, wie sich ein Agent innerhalb einer Population ähnlicher Agenten verhält, die sich gegenseitig beeinflussen. Microsoft Research schlussfolgert, dass der Aufbau nützlicher Agentennetzwerke das Verstehen und die Mitigation dieser Netzwerk-Level-Risiken erfordern wird — beginnend bei echten Deployments. Das ist ein Signal, dass Enterprise-Pilottests von Multi-Agent-Stacks diese Angriffsarchetypen von Anfang an berücksichtigen müssen.