Computer Use: Phantom einer digitalen Identität löst sich in Binärcode auf

Du sitzt in deinem Browser. Dein Codex-Agent auch. Er klickt auf Salesforce-Buttons, füllt Formulare in deinem CRM aus, beantwortet Slack-Nachrichten – alles in deiner angemeldeten Session, mit deinem Account, unter deinem Namen. Du trinkst Kaffee. Das Audit-Log sagt: Du warst es. Aber warst du es wirklich?

OpenAI hat Codex im Mai 2026 den „Computer Use"-Modus spendiert, inklusive einer Chrome Extension, die den Agenten in der echten, authentifizierten Browser-Session des Nutzers arbeiten lässt. [1] Der Agent kann parallel über Tab-Gruppen im Hintergrund navigieren, klicken, Formulare ausfüllen – ohne die Nutzeraktivität zu unterbrechen. [2] Die Produktivitätsgewinne sind real. Aber der Preis, den niemand auf der Rechnung hat, ist die schleichende Erosion einer fundamentalen Annahme: dass digitale Aktionen einem Menschen zugeordnet werden können.

Der Audit-Trail ist tot – er weiß es nur noch nicht

Jedes Unternehmen, das heute Compliance ernst nimmt, basiert auf einer simplen Prämisse: Wenn ein Account eine Aktion ausführt, war der Inhaber des Accounts verantwortlich. Diese Prämisse war schon bei geteilten Passwörtern fragil. Mit KI-Agenten, die autonom in authentifizierten Sessions agieren, wird sie zur Fiktion.

Die Cloud Security Alliance hat das Problem im April 2026 auf den Punkt gebracht: Weniger als die Hälfte der Organisationen fühlen sich sicher, eine Compliance-Prüfung zu bestehen, die sich auf das Verhalten ihrer KI-Agenten konzentriert. [3] Die Mehrheit kann schlicht nicht nachweisen, welche Aktionen ein Mensch und welche ein Agent ausgeführt hat. Das ist kein theoretisches Problem. Das ist ein Compliance-GAU, der gerade in Zeitlupe passiert.

Wenn ein menschlicher Mitarbeiter einen betrügerischen Vorgang ausführt, zeigt das Log User-ID, Aktion und Zeitstempel. Wenn ein KI-Agent denselben Vorgang ausführt, steht im Log oft nur „System" – und wenn die Reasoning-Fähigkeit des Modells nicht mitprotokolliert wird, kann kein Sicherheitsteam rekonstruieren, warum der Agent eine Aktion als legitim eingestuft hat. [4]

OpenAI selbst kennt das Problem und hat für Codex eine agent-native Telemetrie implementiert: OpenTelemetry-Logs exportieren Nutzer-Prompts, Tool-Approval-Entscheidungen, Ausführungsergebnisse und Netzwerk-Policy-Entscheidungen. [5] Das ist ein Anfang. Aber es ist ein Anfang, der voraussetzt, dass jedes Unternehmen diese Logs korrekt integriert, speichert und auswertet. Wer die Geschichte von Sicherheitsprotokollen in Unternehmen kennt, weiß: Die meisten werden es nicht tun.

Die Identitätskrise der autonomen Maschine

Das Problem geht tiefer als fehlerhafte Logs. Es ist eine Identitätskrise im wörtlichen Sinn. Strata Research und die CSA stellen die entscheidende Frage: Wer genau ist dieser Agent? [3] Die meisten KI-Agenten operieren heute nicht als eigenständige Identitäten im System. Sie leihen sich die Identität ihres Nutzers – und genau das ist das Kernproblem.

Die Zahlen der IANS-Studie zeigen, was Unternehmen am meisten beunruhigt: 55 Prozent fürchten die Offenlegung sensibler Daten, 52 Prozent unautorisierte Aktionen, 45 Prozent den Missbrauch von Credentials. [6] Und 40 Prozent geben zu, dass sie ihre eigenen Agenten nicht einmal entdecken oder registrieren können. Das ist, als hätte man Praktikanten im Gebäude, die keinen Ausweis tragen und trotzdem Zugang zu allem haben.

Computer Use: KI-Agenten hinterlassen forensische Spuren in Unternehmensnetzen

Die Codex Chrome Extension verschärft dieses Problem auf eine neue Ebene. Standardmäßig fragt Codex zwar vor der Interaktion mit einer neuen Website um Erlaubnis. [2] Aber sobald die Erlaubnis erteilt ist, agiert der Agent mit der vollen Autorität des angemeldeten Nutzers. Er sieht, was der Nutzer sieht. Er kann tun, was der Nutzer tun kann. Für das Zielsystem – ob Salesforce, LinkedIn oder das interne Ticketsystem – ist der Agent unsichtbar. Es gibt kein „Agent-Flag" im HTTP-Request. Keine Markierung im Audit-Log. Nur den Session-Cookie eines Menschen, der gerade Kaffee trinkt.

Forensische Integrität: Das Ende der digitalen Beweiskraft

Für Juristen und Compliance-Beauftragte beginnt hier ein Albtraum. Die gesamte digitale Forensik basiert auf der Annahme, dass digitale Spuren einer Person zugeordnet werden können. Browser-Historien, Login-Zeiten, Klickmuster – all das gilt vor Gericht als Indiz für menschliches Handeln. Aber was passiert, wenn ein Agent im Hintergrund klickt, während der Nutzer Netflix schaut?

Die Frage ist nicht hypothetisch. CyberArk warnt explizit: KI-Agenten und Identitätsrisiken werden den Sicherheitsapparat in 2026 fundamental verschieben. [7] Und The Hacker News titelt treffend: „Your AI Agents Are Already Inside the Perimeter. Do You Know What They're Doing?" [8]

Die bisherigen Lösungsansätze greifen zu kurz. OpenAI protokolliert zwar Codex-Aktivitäten und nutzt einen KI-gestützten Security-Triage-Agenten, der bei Endpoint-Alerts die Codex-Logs inspiziert, um zwischen erwartetem Agentenverhalten, harmlosen Fehlern und echten Eskalationsfällen zu unterscheiden. [5] Aber das ist eine Lösung für OpenAI. Nicht für die Tausenden Unternehmen, die Codex einsetzen, ohne vergleichbare Sicherheitsinfrastruktur zu haben.

Das Problem potenziert sich, wenn man bedenkt, dass Codex nicht der einzige Player ist. Anthropic hat Computer Use, Google arbeitet an vergleichbaren Fähigkeiten, und die Open-Source-Szene experimentiert längst mit autonomen Browser-Agenten. [9] Jeder dieser Agenten operiert potenziell in authentifizierten Sessions. Jeder hinterlässt Spuren, die aussehen, als kämen sie von einem Menschen. Und keiner hat ein standardisiertes Protokoll, das ihn als Maschine kennzeichnet.

Die digitale Handschrift: Was kommen muss

Die Lösung ist konzeptionell klar, aber infrastrukturell monumental. Wir brauchen ein neues Konzept von „digitaler Handschrift" – ein System, das auf Protokollebene zwischen menschlichen und maschinellen Aktionen unterscheidet.

Die ersten Ansätze existieren bereits. Große Zahlungsnetzwerke haben begonnen, Protokolle und Pilotframeworks für Agentenidentität, Zahlungsmandate und Post-Trade-Audit-Trails zu veröffentlichen. Kartennetzwerke haben ihre Betriebsregeln aktualisiert, um agenten-initiierte Transaktionen als eigene Kategorie zu erkennen. [10] Regulierungsbehörden in der EU, Großbritannien und Singapur führen offene Konsultationen zu Haftungszuweisung, Einwilligungserfassung und behördlichem Zugang zu Agenten-Entscheidungslogs durch.

Microsoft hat vier Prioritäten für KI-gestützte Identitäts- und Netzwerksicherheit in 2026 definiert, darunter die explizite Behandlung von KI-Agenten als First-Class-Identitäten im Identity-Management. [11] Strata Research argumentiert in die gleiche Richtung: Jeder Agent braucht eine eigene, nicht-menschliche Identität mit klar definierten Berechtigungen, Audit-Fähigkeiten und einem eigenen Lebenszyklus. [12]

Die technische Anforderung ist klar: Jede Agentenaktion muss protokollieren, wer gehandelt hat, in wessen Auftrag, zu welchem Zweck und mit welcher Autorisierung – ein sauberer, auditierbarer Trail für Compliance und Incident-Response. [3]

Die wahre Debatte steht noch bevor

Die Produktivitätsdebatte um Computer Use ist ein Ablenkungsmanöver. Ja, es ist beeindruckend, wenn Codex autonom deine CRM-Daten pflegt, während du dich auf kreative Arbeit konzentrierst. [1] Ja, die nicht-blockierende Architektur mit eigenem Cursor ist technisch elegant. Und ja, die Kombination aus multimodalen Modellen und dem Accessibility-Framework des Betriebssystems erhöht die Präzision des Agenten erheblich.

Aber die entscheidende Frage ist nicht, ob der Agent effizient arbeitet. Die Frage ist, ob wir in einer Welt leben wollen, in der niemand mehr beweisen kann, dass er selbst am Steuer saß. In der ein Audit-Log nichts mehr beweist. In der die digitale Handschrift eines Menschen ununterscheidbar wird von der eines Agenten, der seinen Namen trägt.

Die nächste große Tech-Debatte wird nicht um Produktivität kreisen. Sie wird um forensische Integrität kreisen. Um die Frage, ob ein Klick ein Klick ist, wenn niemand geklickt hat. Um ein neues Konzept von digitaler Verantwortung in einer Welt, in der Maschinen unsere Identitäten tragen – und wir nicht einmal merken, wann sie es tun.

Referenzen

  1. Computer use in Codex – OpenAI zeigt den neuen Computer Use Modus, Mai 2026
    https://www.youtube.com/watch?v=D_FCYsshMI4
  2. Codex 3.0 New Upgrades – Codec Chrome Extension und CLI-Updates, Mai 2026
    https://www.youtube.com/watch?v=hQkmShTSdN8
  3. Cloud Security Alliance – Who's Behind That Action: The AI Agent Identity Crisis, April 2026
    https://cloudsecurityalliance.org/blog/2026/04/20/who-s-behind-that-action-the-ai-agent-identity-crisis
  4. CX Today – When AI Agents Take Actions: The New Identity, Access & Audit Crisis, 2026
    https://www.cxtoday.com/security-privacy-compliance/when-ai-agents-take-actions-the-new-identity-access-audit-crisis-in-customer-experience/
  5. OpenAI – Running Codex Safely: Sicherheitskonzept und Agent-Native Telemetrie, Mai 2026
    https://openai.com/index/running-codex-safely/
  6. IANS Research – AI Agents Are Creating an Identity Security Crisis in 2026, Februar 2026
    https://www.iansresearch.com/resources/all-blogs/post/security-blog/2026/02/24/ai-agents-are-creating-an-identity-security-crisis-in-2026
  7. CyberArk – AI Agents and Identity Risks: How Security Will Shift in 2026
    https://www.cyberark.com/resources/blog/ai-agents-and-identity-risks-how-security-will-shift-in-2026
  8. The Hacker News – Your AI Agents Are Already Inside the Perimeter, Mai 2026
    https://thehackernews.com/2026/05/your-ai-agents-are-already-inside.html
  9. Codex for Almost Everything – OpenAI erweitert Codex-Fähigkeiten, 2026
    https://openai.com/index/codex-for-almost-everything/
  10. TrustSphere AI – Authenticating the Autonomous Buyer: Identity, Mandate and Audit Trail for Agentic Payments
    https://www.trustsphere.ai/post/authenticating-the-autonomous-buyer-identity-mandate-and-audit-trail-for-agentic-payments
  11. Microsoft Security Blog – Four Priorities for AI-Powered Identity and Network Access Security in 2026, Januar 2026
    https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/
  12. Strata – The AI Agent Identity Crisis and Why AI Agents Deserve First-Class Identity Management, 2026
    https://www.strata.io/blog/agentic-identity/the-ai-agent-identity-crisis-new-research-reveals-a-governance-gap/