OECD AI: Kollektive KI-Sicherheit erfordert G7-Koordinierung — Prompt Injection, Agentensicherheit und Model Poisoning als Prioritäten

Der OECD AI Wonk-Publikationskanal veröffentlichte am 21. Mai 2026 einen Policy-Bericht der Autoren Cyrus de Rivoire, Étienne de Leusse, Elizabeth Seger und Frederic Butts mit dem Titel “Establishing the shared foundations for collective AI security”. Der Bericht ist bedeutsam, weil er als offizielle OECD-Position im Vorfeld des G7-Ministertreffens erscheint und den Rahmen dafür setzt, wie eine koordinierte internationale Antwort auf KI-Sicherheitsbedrohungen aussehen sollte.

Warum übersteigt KI-Sicherheit den Rahmen klassischer Cybersicherheit?

Die Autoren des OECD-Berichts argumentieren, dass KI-Systeme kategorisch andere Sicherheitsprobleme einführen als klassische Software. Drei Hauptgründe:

Erstens, wiederverwendbare Angriffsmuster — ein Prompt-Injection-Angriff, der gegen ein Modell wirkt, lässt sich oft mit minimalem Aufwand für ein anderes Modell anpassen. Das unterscheidet sich grundlegend von klassischen Exploits, die typischerweise an eine bestimmte Softwareversion gebunden sind. Angreifer gewinnen damit eine Skalierungsökonomie, die in der klassischen Sicherheit nicht existierte.

Zweitens, Agentenautonomie — KI-Agenten greifen selbstständig auf Tools zu, führen Code aus, lesen und modifizieren Speicher und kommunizieren mit externen APIs. Klassische Zugangskontrollmodelle (RBAC, ACL) sind nicht für autonome Akteure ausgelegt, die Tools kreativ kombinieren können.

Drittens, Model Poisoning auf Datenebene — Forschungsergebnisse aus 2025-2026 zeigen, dass bereits eine kleine Anzahl sorgfältig gestalteter Dokumente in einem Trainingskorpus Modelle verschiedener Größen kompromittieren kann. Das ist ein Supply-Chain-Angriffsvektor, der in der traditionellen Cybersicherheit in dieser Form nicht existiert.

Was empfiehlt die OECD konkret?

Der Bericht empfiehlt einen dreigliedrigen Ansatz:

1. Gemeinsames Bedrohungsrahmenwerk — ein OECD-GPAI-Mechanismus für den Austausch von Bedrohungsinformationen zwischen Staaten. Ähnlich dem CERT/CSIRT-Modell, aber spezialisiert auf KI-Bedrohungen (Prompt-Injection-Kataloge, bekannte Poisoning-Vektoren, neue Agent-Escape-Muster).

2. Standardisierte Sicherheitstests — über NIST, ETSI und andere Normungsgremien. Die Idee ist, dass Prompt-Injection-Robustheit, Agentenisolierung und Datenprovenienz-Verifikation zu testbaren Kennzahlen werden — ähnlich wie TLS-Tests durch die SSL-Labs-Methodik standardisiert wurden.

3. Öffentlich-private Zusammenarbeit — ein formaler Rahmen für die Zusammenarbeit zwischen Regierungen (Regulatoren), Industrie (Modell- und Agenten-Entwickler) und Wissenschaft (Angriffs- und Abwehrforscher). Das G7-Forum wird als primärer Koordinierungsmechanismus vorgeschlagen.

Was bedeutet dies in der Praxis für KI-Unternehmen?

Für Unternehmen, die Frontier-Modelle entwickeln (OpenAI, Anthropic, Google DeepMind), deutet die OECD-Position darauf hin, dass der regulatorische Druck zur Weitergabe von Bedrohungsdaten zunehmen wird. Einzelne Unternehmen werden Sicherheitsvorfälle nicht mehr als vertraulich behandeln können — es werden formale Offenlegungspflichten gegenüber anderen Akteuren des Ökosystems entstehen.

Für Unternehmensnutzer wirft der Bericht Fragen der Agenten-Governance auf — wie kontrolliert wird, was KI-Agenten in Unternehmenssystemen tun, welche Tools sie nutzen dürfen und wie ihre Aktionen protokolliert werden. Dies überschneidet sich mit dem jüngsten AISI-Bericht über die Schwierigkeiten der KI-System-Aufsicht und macht das regulatorische Bild für 2026-2027 deutlich aktiver als im Vorjahr.

Der OECD-Bericht ist ein Policy-Dokument, keine technische Spezifikation — er setzt jedoch die Agenda für den bevorstehenden G7-Ministergipfel und wird in allen Diskussionen über globale KI-Sicherheit in den kommenden Monaten als Referenz dienen.