CNCF / Dapr 1.18 führt kryptografisch beweisbare Ausführbarkeit ein: Wer einen KI-Agenten-Workflow gestartet hat, ist kein bloßer Log-Eintrag mehr
Das CNCF-Projekt Dapr hat Version 1.18 mit dem neuen Feature Verifiable Execution — kryptografisch prüfbarer Ausführbarkeit — veröffentlicht. Drei neue Primitive ermöglichen es Organisationen zu beweisen, welcher Agent einen Workflow gestartet hat, ob die Ausführungshistorie verändert wurde und woher ein Request in einem verteilten System stammt.
Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.
Observability reicht nicht aus — kryptografischer Beweis ist notwendig
In verteilten Systemen, die KI-Agenten einsetzen, gibt es ein grundlegendes Problem: Logs und Metriken sagen aus, was scheinbar passiert ist, können aber nicht beweisen, dass die Ausführungshistorie nicht nachträglich verändert wurde. Für Finanzinstitute, Gesundheitssysteme und Pharmaunternehmen ist das keine theoretische Sorge — es ist ein regulatorisches und sicherheitstechnisches Problem erster Ordnung.
Das CNCF-Projekt Dapr (Distributed Application Runtime) hat Version 1.18 veröffentlicht, die diesen Mangel direkt behebt, indem das Konzept der Verifiable Execution — kryptografisch prüfbaren Ausführbarkeit — eingeführt wird. Dies ist nicht nur ein neues Feature innerhalb des Projekts; es handelt sich um eine architektonische Erweiterung, die kryptografisches Vertrauen „über die Kommunikation hinaus in die Ausführung selbst” ausdehnt, wie CNCF in der Ankündigung beschreibt.
Drei Primitive, die kryptografisches Vertrauen aufbauen
Die neue Fähigkeit basiert auf drei geschichteten Primitiven, die gemeinsam die gesamte Ausführungskette abdecken:
1. Signierung der Workflow-Historie (Workflow History Signing)
Jeder Eintrag in der Ausführungshistorie eines Workflows erhält eine kryptografische Signatur. Das bedeutet, dass jede nachträgliche Änderung — ob absichtlich oder versehentlich — erkennbar ist. Organisationen müssen nicht mehr darauf vertrauen, dass das Audit-Log unverändert geblieben ist; sie können es mathematisch verifizieren.
2. Historie-Propagation (History Propagation)
Ausführungsursprung und Ereigniskette reisen zusammen mit dem Request durch das verteilte System. Wenn Agent A Arbeit an Agent B delegiert, der wiederum Service C aufruft, trägt jedes Glied in der Kette den kryptografisch verifizierten Ursprung. Downstream-Services können Entscheidungen auf Basis von verifiziertem Kontext treffen — nicht auf der Grundlage von Annahmen.
3. Workflow-Attestierung (Workflow Attestation)
Das dritte Primitiv liefert einen kryptografisch prüfbaren Ausführungskontext, den Downstream-Systeme für Vertrauensentscheidungen verwenden können. Anstatt dass ein Agent einfach behauptet, wer er ist und was er getan hat, kann er eine Attestierung präsentieren, die unabhängig verifiziert werden kann.
Warum jetzt und warum SPIFFE?
Dapr 1.18 führt diese Fähigkeiten nicht im Vakuum ein — es baut sie direkt auf der bereits etablierten SPIFFE-basierten Workload-Identität auf. SPIFFE (Secure Production Identity Framework for Everyone) ist ein standardisierter Rahmen für die Zuweisung kryptografischer Identitäten an Dienste in verteilten Systemen.
Die Beziehung zwischen diesen Schichten beschreibt der veröffentlichte Text elegant: „SPIFFE beantwortet die Frage ‚Wer bist du?’ Verifiable Execution beantwortet die Frage ‚Wie bist du hier angekommen?’” Zusammen decken diese zwei Schichten das vollständige Sicherheitsbild ab: die Identität des Entitäts und den verifizierbaren Weg, auf dem dieser Entität den aktuellen Zustand erreicht hat.
Die konkrete Lücke bei KI-Agenten
Agentische KI-Systeme haben ein spezielles Problem, das traditionelle verteilte Systeme nicht im gleichen Maße haben: Ein Agent kann externe Tools aufrufen, Unteraufgaben an andere Agenten delegieren und Arbeit über zahlreiche Dienste koordinieren — alles autonom, ohne direkte menschliche Aufsicht jeder Aktion.
Bis Dapr 1.18 hinterließ diese Delegierungskette keine tampersichere Spur. Logs zeichneten Aktionen auf, aber der Audit-Trail war nicht kryptografisch gesichert. Für regulatorische Umgebungen, in denen der Nachweis von Compliance eine Pflicht ist — keine Option — war das eine kritische Lücke.
Sektoren mit dem größten Nutzen
Die Ankündigung nennt explizit drei Sektoren:
- Banking: kryptografischer Nachweis der Transaktionsgenehmigung durch die Workflow-Kette
- Bearbeitung von Gesundheitsansprüchen: Nachweis, dass ein Antrag die vorgeschriebenen Genehmigungsschritte durchlaufen hat
- Pharmazeutische Produktion: Verifizierung der Prozessintegrität durch die gesamte Ausführungskette
Dies sind Sektoren, in denen der regulatorische Nachweis der Compliance eine gesetzliche Verpflichtung ist, nicht nur eine interne Best Practice. Verifiable Execution gibt ihnen ein Infrastruktur-Tool, das dem Rigorosit ätsniveau entspricht, das Regulierungsbehörden fordern.
Bedeutung für das breitere CNCF-Ökosystem
Dapr 1.18 positioniert sich als Teil einer breiteren CNCF-Gemeinschaftsinitiative hin zu „vertrauenswürdiger KI auf Infrastrukturebene”. Anstatt die Sicherheit von KI-Agenten ausschließlich auf Anwendungscodeebene oder durch externe Prüfungen zu lösen, bietet diese Version ein Primitiv, das Teil der Runtime-Infrastruktur selbst ist.
Für Ingenieure, die Multi-Agenten-Systeme auf dem CNCF-Stack aufbauen, bietet Dapr 1.18 eine konkrete Antwort auf die Frage, die bisher ohne Infrastrukturlösung blieb: Wie beweist man — nicht nur behauptet —, dass ein KI-Agent genau das getan hat, was er behauptet zu haben getan?
Häufig gestellte Fragen
- Was bedeutet „Verifiable Execution” im Kontext von Dapr 1.18 genau?
- Verifiable Execution (kryptografisch prüfbare Ausführbarkeit) bedeutet, dass das System kryptografisch beweisen kann, welche Entität einen Workflow gestartet hat, ob die Ausführungshistorie nachträglich verändert wurde und welchen Weg ein Request durch das verteilte System genommen hat — im Gegensatz zu Observability-Tools, die nur aufzeichnen, was passiert ist.
- Für welche Sektoren ist dieses Feature besonders relevant?
- Die Autoren nennen explizit Banking, Bearbeitung von Gesundheitsansprüchen und pharmazeutische Produktion als Sektoren, die einen kryptografischen Nachweis der Compliance über die gesamte Ausführungskette von Workflows benötigen.
📬 KI-News in dein Postfach
Ein täglicher Digest nach deinen Regeln — Themen, Quellen und Rhythmus wählbar. Abmeldung mit einem Klick.
Verwandte Nachrichten
arXiv:2607.12200: Framework zur Messung von CBRN-„Uplift" bei Frontier-Modellen — materielles Risiko nur in der radiologischen Domäne bestätigt
LangChain: Warum KI-Agenten einen eigenen isolierten Computer (Sandbox) benötigen
GitHub: KI-Sicherheitserkennung bei Pull Requests und /security-review in der Copilot-App