AWS: Neues Bedrock InvokeGuardrailChecks API bringt Sicherheitsprüfungen ohne Ressourcen für agentische Anwendungen

AWS führte InvokeGuardrailChecks in Amazon Bedrock ein, eine API, die agentischen Anwendungen Sicherheitsprüfungen ohne Verwaltung separater Ressourcen ermöglicht.

Was unterscheidet die neue API?

InvokeGuardrailChecks ist eine reine Erkennungs-API: Sie gibt Risikobewertungen zurück, blockiert aber nicht automatisch — das Entwicklungsteam entscheidet selbst, was mit dem Ergebnis geschieht. Zudem erfordert sie keine vorab erstellte Guardrail-Ressource, was den operativen Aufwand der Verwaltung mehrerer versionierter Guardrails entfällt. Ein Guardrail ist eine Schicht, die Modelleingaben und -ausgaben auf Sicherheit und Compliance prüft.

Welche Schutzmaßnahmen deckt sie ab?

Die API deckt drei Prüfungsarten ab: Inhaltsfilter (Hass, Gewalt, sexuelle Inhalte, Beleidigungen, Fehlverhalten), Erkennung von Prompt-Angriffen (Jailbreak, Prompt-Injektion, Datenleck) und PII-Erkennung (personenbezogene Daten) mit 31 Entitätstypen. Sie gibt Schweregrad- und Vertrauensbewertungen auf einer Skala von 0 bis 1,0 zurück, und für PII auch Zeichenpositionen im Text.

Warum ist das für agentische Systeme wichtig?

Agentische Anwendungen arbeiten in mehreren Schritten, daher muss die Sicherheit bei jeder Iteration der Schleife geprüft werden. Da die API Bewertungen statt harter Blockierungen zurückgibt, können Entwicklungsteams eigene Schwellenwerte pro Schritt festlegen — strenger, wo der Agent sensible Tools aufruft, lockerer anderswo. So wird Sicherheit granular eingebettet, ohne den Overhead mehrerer Guardrail-Ressourcen.