Sechs Ingenieure von Uber (Matt Mathew et al.) veröffentlichten am 21. Mai 2026 einen Artikel im Uber Engineering Blog, der die Architektur für Identität und Zugriffskontrolle von KI-Agenten darlegt, die bei Uber für Tausende interne Agenten produktiv im Einsatz ist. Zentrale These: « ein Agent lässt sich am besten als eine Entität definieren, die dazu befugt ist, für eine andere oder an deren Stelle zu handeln », wodurch das klassische Identitätsmodell Mensch+Workload obsolet wird.

Zwei benannte Probleme: (1) « Das aktuelle Identitätsmodell bildet Agency nicht ab » — Delegation ist der Standardmodus, Workflows sind kompositional, das Verhalten ist dynamisch; (2) « Die ursprüngliche Provenienz wird nicht wirksam über Agenten hinweg an Systeme weitergereicht »« der Ausführungskontext geht über die Agenten-Hops hinweg verloren » — was Audit-Lücken schafft und eine konsistente Durchsetzung granularer Zugriffsrichtlinien verhindert.

Single-Hop, kurzlebige Tokens. Jedes vom STS ausgestellte JWT ist für genau einen Hop bestimmt, mit einem spezifischen Audience-Claim und einer kurzen Time-to-Live in der Größenordnung von Minuten.

**Matt Mathew** , uber.com

Architektur als Erweiterung von Ubers Zero Trust Architecture: Agent Registry (Source of Truth für Agent↔Workload) + AI Agent Mesh (Data Plane zwischen Agenten) + STS (Security Token Service) (Ausstellung kurzlebiger, scope-begrenzter JWTs) + MCP Gateway (Policy Enforcement für Tools) + AI Gateway (LLM-Vermittlung + Redaction via AI Guard) + SPIRE (Anbieter von Workload-Credentials).

Mechanik: Workloads beziehen von SPIRE kryptografisch signierte SPIFFE Verifiable IDs (SVIDs) → das SDK fordert ein JWT beim STS an → der STS prüft die Autorisierung gegen die Agent Registry → ein kurzlebiges Token (TTL in der Größenordnung von Minuten) wird für ein spezifisches Single-Hop-Ziel ausgestellt (Audience-Claim). Kanonische Doktrin: « Single-Hop, kurzlebige Tokens. Jedes vom STS ausgestellte JWT ist für genau einen Hop bestimmt, mit einem spezifischen Audience-Claim und einer kurzen Time-to-Live in der Größenordnung von Minuten. »

Multi-Hop-Walkthrough: ein Bereitschaftsingenieur user1 → Oncall Agent → Investigation Agent → MCP Gateway. Das finale JWT trägt eine verifizierbare Actor Chain [user1, oncall-agent, investigation-agent] — Zugriffsentscheidungen auf Tool-Ebene anhand der vollständigen Historie der Anfrage.

Standardisierung: ein Standardized A2A (Agent-to-Agent) Client-SDK automatisiert STS-Austausche und die Propagation der Actor Chain — « der sichere Weg ist für Entwickler zugleich der einfachste Weg, A2A-Aufrufe zu implementieren ». Schrittweise Migration von Legacy-Agenten.

Produktionsmetriken: « Die P99-Latenz der STS Token Exchange API liegt durchgängig unter 40 Millisekunden », Tausende interner Agenten onboarded, Echtzeit-Observability.

Langfristige Vision — Drei-Schichten-Framework: (1) Identity & Trust Foundation, (2) Dynamic Access Control, (3) Unified Enforcement Plane.

Externe Standards: SPIFFE/SPIRE (CNCF graduated), OAuth 2.0 Token Exchange (RFC 8693), IETF WIMSE working group, Draft draft-klrc-aiagent-auth-01, A2A Protocol.

Bedeutung: die erste Referenzpublikation eines Hyperscalers außerhalb der KI-Labs, die Agentensicherheit auf Infrastrukturebene industrialisiert und die doktrinäre Lücke zwischen Skill-/Harness-Frameworks (Produktivität) und Fragen der Enterprise-tauglichen Identität (Governance-Fähigkeit) überbrückt. Wird zur kanonischen Referenz für Plattformarchitekten, Security Engineers und CISOs, die vor dem internen Einsatz von Agenten stehen.