Unternehmen setzen heute Agenten ein, die E-Mails lesen, Code ausführen und Aktionen starten. Agentensicherheitstests mit RAMPART bringen Red-Teaming direkt in die CI-Pipeline und machen Vorfälle reproduzierbar. So stoppen Teams Risiken früh, prüfen Fixes statistisch und halten Sicherheitsanforderungen als laufende Tests fest. Clarity klärt vorab das Warum und lenkt die Architektur in sichere Bahnen. Die neue Agenten-Generation handelt in der Welt, nicht nur im Chatfenster. Das verschiebt die Sicherheitsaufgabe: Es geht nicht mehr nur um Textqualität, sondern um Folgen realer Aktionen. Microsoft veröffentlicht dafür zwei Open-Source-Werkzeuge: RAMPART als Test-Framework für Agenten und Clarity als strukturierte Entscheidungsunterstützung vor dem ersten Commit. Zusammen machen beide Sicherheit zu einem kontinuierlichen Teil der Entwicklung.

Warum Sicherheit bei Agenten anders ist

Wenn ein Agent Mails liest, CRM-Daten holt, Code schreibt oder Workflows startet, kann er auch unbeabsichtigt handeln. Klassische Punkt-Prüfungen reichen daher nicht. Teams brauchen laufende Absicherung: – Annahmen früh prüfen, bevor Architektur feststeht. – Red-Team-Erkenntnisse als wiederholbare Tests codieren. – Incidents reproduzieren und Fixes belastbar verifizieren.

Agentensicherheitstests mit RAMPART: Vom Red-Team zur CI

RAMPART ist ein offenes Test-Framework, das Red-Teaming-Techniken direkt in den Entwicklungszyklus holt. Es baut auf PyRIT auf und liefert erprobte Angriffsstrategien „out of the box“. Wo PyRIT auf Black-Box-Erkundung nach dem Bau zielt, begleitet RAMPART Ingenieurteams beim Bau selbst.

Wie das Framework arbeitet

Teams schreiben gewohnte pytest-Tests aus ihrer Bedrohungsanalyse. Ein dünner Adapter verbindet das Testskript mit dem Agenten, orchestriert die Interaktion und bewertet beobachtbare Ergebnisse. Jede Prüfung liefert ein klares Pass/Fail-Signal und kann in der CI-Umgebung Gates setzen. Kommt ein neues Tool oder eine Datenquelle hinzu, zieht die passende Sicherheitsprüfung im selben Pull Request mit. So werden Agentensicherheitstests mit RAMPART Teil der normalen Entwicklungsdisziplin.

Was RAMPART von klassischen Tests unterscheidet

• Fokus auf Prompt-Injection: RAMPART deckt besonders Cross-Prompt-Injection-Szenarien ab – wenn Agenten manipulierte Inhalte aus Dokumenten, E-Mails oder Tickets verarbeiten. Neue Angriffskategorien lassen sich schrittweise ergänzen. Erweiterungspunkte sind als Python-Protocols definiert, Integration bleibt auch bei komplexen Architekturen schlank.
• Umgang mit probabilistischem Verhalten: LLMs verhalten sich nicht deterministisch. RAMPART unterstützt deshalb statistische Läufe, etwa die Policy: „Diese Aktion muss in mindestens 80 Prozent der Runs sicher bleiben.“ Das bildet Produktion näher ab als Single-Shot-Tests.
• Brücke zu Red Teaming und Incident Response: Funde aus Red-Team-Engagements lassen sich als RAMPART-Tests kodieren. Sie laufen bei jeder Änderung, verhindern stille Regressionen und verlagern die Verantwortung dahin, wo sie hingehört: Ingenieurinnen und Ingenieure schreiben, betreiben und beheben. Das Framework liefert Angriffsstrategien, adversarielle Payloads und Evaluationslogik.

RAMPART prüft, was wirklich zählt: Welche Tools ruft der Agent auf? Welche Nebeneffekte treten auf? Bleiben Aktionen im erwarteten Rahmen? Evaluatoren sind kombinierbar und erlauben Bedingungen mit boolescher Logik. So werden Agentensicherheitstests mit RAMPART zu belastbaren, nuancierten Sicherheitsbarrieren statt zu groben Binärschaltern.

Developer Experience in der Praxis

– pytest-Tests beschreiben Szenarien aus der Threat-Modeling-Perspektive. – Adapter koppeln den Agenten minimalinvasiv an das Testsystem. – Policies definieren Sicherheitsgrenzen, die statistisch durchgesetzt werden. – CI-Gates stoppen unsichere Änderungen früh. Kurz: Agentensicherheitstests mit RAMPART fügen sich nahtlos in bestehende Workflows ein und wachsen mit jedem neuen Tool oder Datentyp.

Clarity: Das „Warum“ klären, bevor Teams bauen

Clarity hilft Teams, die richtigen Fragen zu stellen, bevor sie Code schreiben. Das Tool führt durch strukturierte Gespräche zu Problemklärung, Lösungsentwurf, Fehleranalyse und Entscheidungsdokumentation – als Desktop-App, Web-UI oder eingebettet in einen Coding-Agenten.

Geführte Gespräche, klare Artefakte

Während der Arbeit legt Clarity Ergebnisse im Repo unter .clarity-protocol/ ab – als leicht lesbare Markdown-Dateien. Diese Artefakte werden committed, per Pull Request überprüft und können wie Code diffbar nachvollzogen werden. Enthalten sind: – Problemstatement und Annahmen – Lösungsrationale – Failure Analysis – Entscheidungen mit Kriterien, Optionen und Begründungen Mehrere AI-„Denker“ analysieren unabhängig sicherheitsrelevante, menschliche, adversarielle und operative Aspekte. Das Team gruppiert mit Clarity die Befunde, verfolgt Ursache-Wirkungs-Ketten und definiert Managementpläne. Clarity verfolgt zudem die „Staleness“: Ändert sich das Problem, erinnert das Tool daran, Lösung und Analyse zu aktualisieren. Auf Wunsch erzeugt es ein Review-Paket für Stakeholder.

Beispiel: Echtzeit-Zusammenarbeit

Ein Team plant Live-Collaboration im Editor. Clarity fragt: Was passiert, wenn zwei Personen denselben Absatz gleichzeitig ändern? Braucht es wirklich Cursors und Präsenzanzeige – oder reicht „Niemand verliert Arbeit“ als Anforderung? Die Antworten führen zu sehr unterschiedlichen Architekturen und Fehlermodi. Diese Weiche früh zu stellen, spart Monate an Umwegen.

So greifen RAMPART und Clarity ineinander

Beide Werkzeuge fördern eine spekgetriebene, engineering-native Sicherheit. Clarity hält die Designabsicht fest und macht Annahmen explizit. Daraus leiten Teams konkrete Prüfungen ab, die sie als Agentensicherheitstests mit RAMPART dauerhaft messen. Ergebnisse bleiben lebende Artefakte statt Einmal-Reviews. So wird Sicherheit ein kontinuierlicher Prozess entlang des gesamten Lebenszyklus.

Praktische Schritte für Teams

• Projektstart mit Clarity: Problem, Ziele, Risiken und Entscheidungen als Markdown im Repo verankern.
• Bedrohungen zu Tests machen: Aus Annahmen und Red-Team-Funden konkrete RAMPART-Tests ableiten.
• CI-Gates setzen: Sicherheits-Policies statistisch prüfen und Releases stoppen, wenn Grenzen verletzt sind.
• Änderungen absichern: Bei neuen Tools/Datenquellen passende Tests im selben Pull Request ergänzen.
• Incidents reproduzieren: Vorfälle als wiederholbare Tests speichern und Fixes gegen Varianten verifizieren.

RAMPART und Clarity sind als Open Source verfügbar. Wer Agenten baut, verlagert mit beiden Werkzeugen Sicherheit dorthin, wo sie wirkt: in Designgespräche, in Code-Reviews und in wiederholbare Prüfungen. Agentensicherheitstests mit RAMPART helfen dabei, Risiken früh zu stoppen und Fixes verlässlich zu machen.

(Source: https://www.microsoft.com/en-us/security/blog/2026/05/20/introducing-rampart-and-clarity-open-source-tools-to-bring-safety-into-agent-development-workflow/)

For more news: Click Here

FAQ