LangChain und Cisco AI Defense: Middleware-Schutz für Agenten gegen Prompt-Injection-Angriffe

Cisco AI Defense und LangChain haben am 16. April 2026 eine gemeinsame Integration angekündigt, die Laufzeitschutz für auf der LangChain-Plattform aufgebaute Agentensysteme bietet. Der Beitrag stammt von Siddhant Dash, Senior Product Manager bei Cisco AI Defense, und der Titel “A Developer’s First 10 Minutes” deutet darauf hin, dass der Fokus auf der einfachen Einführung von Schutzmaßnahmen in bestehende Projekte liegt.

Warum ist Middleware besser als verteilte Prüfungen?

Ein typisches Problem in Produktions-Agenten-Anwendungen ist die Frage, wo Sicherheitsprüfungen eingefügt werden sollen. Wenn jeder Entwickler eigene Filter um LLM-Aufrufe, Tool-Aufrufe und den Agenten-Loop hinzufügt, wird die Sicherheitsrichtlinie inkonsistent und schwer zu prüfen.

Cisco und LangChain haben sich für einen Middleware-Ansatz entschieden — eine einzige Sicherheitsschicht, die zwischen der Anwendung und dem Agent-Framework sitzt. Das bedeutet, dass der Entwickler sauberen Anwendungscode schreibt und die Sicherheitsrichtlinie einmal, an einem einzigen Punkt, durch den gesamten Agent-Loop angewendet wird.

Drei Schutzmodi

Die Integration deckt drei verschiedene Typen von Interaktionen ab, die Agenten mit der Außenwelt haben:

LLM-Modus schützt direkte Aufrufe an das zugrunde liegende Modell. Wenn ein Agent einen Prompt sendet, der einen Injection-Versuch oder sensible Daten enthält, wird dieser Aufruf abgefangen.

MCP-Modus schützt Aufrufe an Tools und Datenquellen über das Model Context Protocol. Da MCP-Tools echten Zugriff auf Dateien, Datenbanken und externe APIs haben, ist dies der verwundbarste Punkt — und Cisco errichtet hier eine explizite Schranke.

Middleware-Modus deckt den LangChain-Ausführungsfluss selbst ab — Planung, Routing und Orchestrierung zwischen Agenten. Dies ist entscheidend für Multi-Agenten-Architekturen, bei denen ein Orchestrator in Echtzeit entscheidet, welcher Agent als nächstes läuft und welches Tool er verwendet.

Monitor vs. Enforce

Die Integration bietet zwei Betriebsmodi, die verschiedene Entwicklungsphasen abdecken:

Monitor-Modus protokolliert riskante Signale und Entscheidungspfade ohne den Agenten zu unterbrechen. Ideal für Entwicklungs- und Staging-Umgebungen, in denen Entwickler sehen möchten, was die Richtlinie blockieren würde, bevor sie sie in der Produktion aktivieren.

Enforce-Modus blockiert Richtlinienverstöße aktiv. Wenn eine Prompt-Injection oder ein anderes Sicherheitsereignis erkannt wird, wird der Agent angehalten und ein protokollierter Grund zusammen mit einer Request-ID für die Untersuchung an die Anwendung zurückgegeben. Alles wird für die spätere Analyse in ein Protokoll geschrieben.

Developer-Launchpad und erster Eindruck

Cisco hat dev.aidefense.cisco.com/demo-runner gestartet, das einen Side-by-Side-Test der Monitor- und Enforce-Modi in vorbereiteten Szenarien ermöglicht — sichere Prompts, Injection-Versuche und Anfragen nach sensiblen Daten.

Die Absicherung von Agenten verlagert sich langsam von Ad-hoc-Filtern in eine ausgereifte Enterprise-Kategorie. Cisco — ein traditioneller Netzwerkakteur — tritt direkt in die KI-Sicherheitsschicht ein, was signalisiert, dass Agentensicherheit als infrastrukturelle und nicht als anwendungsseitige Aufgabe betrachtet wird.