Engineering-Artikel, veröffentlicht im Blog von Uber von sechs Ingenieuren (Matt Mathew, Prasad Borole, Meng Huang, Sergey Burykin, Gaurav Goel, Bayard Walsh) am **21.
Von **Matt Mathew**// Quelle uber.com ↗/Lesezeit 2 min/.md// Maschinelle Übersetzung
#Uber Engineering#KI-Agenten-Identität#Identitätskrise der Agenten#Definition von Agency#Agent als Delegierter#Multi-Hop-Workflow#Actor Chain#Erhalt der Provenienz
Sechs Ingenieure von Uber (Matt Mathew et al.) veröffentlichten am 21. Mai 2026 einen Artikel im Uber Engineering Blog, der die Architektur für Identität und Zugriffskontrolle von KI-Agenten darlegt, die bei Uber für Tausende interne Agenten produktiv im Einsatz ist. Zentrale These: « ein Agent lässt sich am besten als eine Entität definieren, die dazu befugt ist, für eine andere oder an deren Stelle zu handeln », wodurch das klassische Identitätsmodell Mensch+Workload obsolet wird.
Zwei benannte Probleme: (1) « Das aktuelle Identitätsmodell bildet Agency nicht ab » — Delegation ist der Standardmodus, Workflows sind kompositional, das Verhalten ist dynamisch; (2) « Die ursprüngliche Provenienz wird nicht wirksam über Agenten hinweg an Systeme weitergereicht » — « der Ausführungskontext geht über die Agenten-Hops hinweg verloren » — was Audit-Lücken schafft und eine konsistente Durchsetzung granularer Zugriffsrichtlinien verhindert.
Single-Hop, kurzlebige Tokens. Jedes vom STS ausgestellte JWT ist für genau einen Hop bestimmt, mit einem spezifischen Audience-Claim und einer kurzen Time-to-Live in der Größenordnung von Minuten.
— **Matt Mathew** , uber.com
Architektur als Erweiterung von Ubers Zero Trust Architecture: Agent Registry (Source of Truth für Agent↔Workload) + AI Agent Mesh (Data Plane zwischen Agenten) + STS (Security Token Service) (Ausstellung kurzlebiger, scope-begrenzter JWTs) + MCP Gateway (Policy Enforcement für Tools) + AI Gateway (LLM-Vermittlung + Redaction via AI Guard) + SPIRE (Anbieter von Workload-Credentials).
Mechanik: Workloads beziehen von SPIRE kryptografisch signierte SPIFFE Verifiable IDs (SVIDs) → das SDK fordert ein JWT beim STS an → der STS prüft die Autorisierung gegen die Agent Registry → ein kurzlebiges Token (TTL in der Größenordnung von Minuten) wird für ein spezifisches Single-Hop-Ziel ausgestellt (Audience-Claim). Kanonische Doktrin: « Single-Hop, kurzlebige Tokens. Jedes vom STS ausgestellte JWT ist für genau einen Hop bestimmt, mit einem spezifischen Audience-Claim und einer kurzen Time-to-Live in der Größenordnung von Minuten. »
Multi-Hop-Walkthrough: ein Bereitschaftsingenieur user1 → Oncall Agent → Investigation Agent → MCP Gateway. Das finale JWT trägt eine verifizierbare Actor Chain [user1, oncall-agent, investigation-agent] — Zugriffsentscheidungen auf Tool-Ebene anhand der vollständigen Historie der Anfrage.
Standardisierung: ein Standardized A2A (Agent-to-Agent) Client-SDK automatisiert STS-Austausche und die Propagation der Actor Chain — « der sichere Weg ist für Entwickler zugleich der einfachste Weg, A2A-Aufrufe zu implementieren ». Schrittweise Migration von Legacy-Agenten.
Produktionsmetriken: « Die P99-Latenz der STS Token Exchange API liegt durchgängig unter 40 Millisekunden », Tausende interner Agenten onboarded, Echtzeit-Observability.
Bedeutung: die erste Referenzpublikation eines Hyperscalers außerhalb der KI-Labs, die Agentensicherheit auf Infrastrukturebene industrialisiert und die doktrinäre Lücke zwischen Skill-/Harness-Frameworks (Produktivität) und Fragen der Enterprise-tauglichen Identität (Governance-Fähigkeit) überbrückt. Wird zur kanonischen Referenz für Plattformarchitekten, Security Engineers und CISOs, die vor dem internen Einsatz von Agenten stehen.
Kernpunkte
Quelle. Uber Engineering Blog (uber.com/blog), offizielle Publikation. Artikel vom 21. Mai 2026 — 2 Tage vor dem Konsultationsdatum 2026-05-23.
Autoren (sechs Co-Autoren).
Matt Mathew. — Sr Staff Engineer
Prasad Borole. — Staff Software Engineer
Meng Huang. — Engineering Manager
Sergey Burykin. — Sr Software Engineer
Gaurav Goel. — Software Engineer II
Bayard Walsh. — Software Engineer I
Uber Security/Identity Infrastructure Team, verantwortlich für die produktive Architektur der Agentenidentität.
Zentrale epistemische These.« Ein Agent lässt sich am besten als eine Entität definieren, die dazu befugt ist, für eine andere oder an deren Stelle zu handeln. » Diese Definition setzt Delegation als axiomatische Eigenschaft des Agenten voraus — was das klassische Identitätsmodell (Mensch oder Workload, aber niemals für jemand anderen) grundlegend verändert.
Zwei benannte operative Probleme. 1. Das aktuelle Identitätsmodell bildet Agency nicht ab — bestehende Identitäts-Frameworks decken Menschen und Workloads ab, modellieren aber das Handeln im Auftrag nicht als Standardmodus. Konsequenzen:
Delegation ist der Standardmodus. — Agenten handeln im Auftrag anderer
Workflows sind kompositional. — Agenten rufen andere Agenten, Tools und Systeme auf
Das Verhalten ist dynamisch. — Pläne entwickeln sich anhand von Zwischenergebnissen weiter 2. Die ursprüngliche Provenienz wird nicht wirksam über Agenten hinweg an Systeme weitergereicht — « Der Ausführungskontext (ursprünglicher Nutzer, zwischengeschaltete Agenten) geht über die Agenten-Hops hinweg verloren. » Konsequenzen:
Keine Möglichkeit, die vollständige Kette der Akteure nachzuvollziehen, die eine Anfrage initiiert haben
Architektur — sechs benannte Komponenten. | Komponente | Rolle | |-----------|------| | Agent Registry | Source of Truth für Agent↔Workload-Zuordnungen | | AI Agent Mesh | Data Plane für die Kommunikation zwischen Agenten | | STS (Security Token Service) | Stellt kurzlebige, scope-begrenzte (audience-spezifische) JWTs aus | | MCP Gateway | Policy-Enforcement-Punkt für Tool-Aufrufe (MCP-Tools) | | AI Gateway | Vermittlung von Aufrufen an externe KI-Modelle + Sicherheits-Guardrails (AI Guard für Redaction) | | SPIRE | Anbieter von Workload-Credentials (Erweiterung von Ubers bestehender Zero-Trust-Infrastruktur) |
End-to-End-Kryptografiemechanik. 1. Workloads beziehen von SPIRE kryptografisch signierteSPIFFE Verifiable IDs (SVIDs). 2. Das SDK fordert unter Verwendung der Workload-Identität (der SVID) JWTs beim STS an. 3. Der STS prüft die Autorisierung des Agenten gegen die Agent Registry. 4. Kurzlebige Tokens werden für ein spezifisches Single-Hop-Ziel ausgestellt (gezielter Audience-Claim, TTL in Minuten). 5. Das Token trägt die vollständige Kette der beteiligten Akteure (die Actor Chain).
Kanonische Single-Hop, kurzlebige Doktrin (kanonische Formel). > « Single-Hop, kurzlebige Tokens. Jedes vom STS ausgestellte JWT ist für genau einen Hop bestimmt, mit einem spezifischen Audience-Claim und einer kurzen Time-to-Live in der Größenordnung von Minuten. » Operative Konsequenzen:
Token-Diebstahl = minimaler Blast Radius. (TTL in Minuten, einzelne Audience)
Kein wiederverwendbares Bearer-Token über Services hinweg. — ein deutlicher Kontrast zum klassischen OAuth
Jeder Hop erfordert ein neues Token. — der Netzwerk-Overhead wird durch eine Latenz von <40 ms kompensiert
Kanonischer Multi-Hop-Ablauf (Beispiel aus dem Artikel — Abbildung 4). 1. user1 (Bereitschaftsingenieur) initiiert eine Session mit Oncall Agent 2. Oncall Agent kontaktiert den STS, legt seine SPIRE-Identität (Workload-1) vor, fordert ein JWT für Investigation Agent an 3. Oncall Agent sendet das JWT an Investigation Agent (Workload-2) 4. Investigation Agent führt mit dem STS einen Token Exchange durch, um eine MCP Gateway-Audience zu erhalten 5. MCP Gateway erhält das JWT mit der Actor Chain [user1, oncall-agent, investigation-agent] — Zugriffsentscheidung auf Tool-Ebene anhand der vollständigen Historie
Standardized A2A Client (SDK).
Implementierung des A2A Protocol (Agent-to-Agent, ein aufkommender, auf GitHub referenzierter Standard).
Automatisiert. STS-Austausche, den Aufbau der Actor Chain und die Propagation über Hops hinweg.
Adoptionsdoktrin: « der sichere Weg ist für Entwickler zugleich der einfachste Weg, A2A-Aufrufe zu implementieren » — Secure by Default.
Gezeigter Code: eine BaseAgentProtocolClient-Klasse mit asynchronen Methoden (Aufbau des Authentifizierungskontexts + Aufruf von Agenten).
Schrittweise Migration von Legacy-Agenten per Refactoring.
Angeschlossene externe Standards (wissenswert). | Standard | Rolle | |----------|------| | SPIFFE / SPIRE | Workload-Identity-Framework — CNCF graduated Projekt | | OAuth 2.0 Token Exchange (RFC 8693) | Konzeptionelle Grundlage für den Token Exchange pro Hop | | IETF WIMSE working group | Workload Identity in Multi-System Environments — Drafts für Agentenidentität | | draft-klrc-aiagent-auth-01 | IETF-Draft « AI Agent Authentication and Authorization » | | A2A Protocol | Agent-to-Agent-Standard (Referenz auf GitHub) |
Produktionsmetriken (merkenswert).
*« Die P99-Latenz der STS Token Exchange API liegt durchgängig unter 40 Millisekunden ». *
Tausende interner Agenten. onboarded
Echtzeit-Observability-Dashboard, das Multi-Agent-Sessions nachverfolgt
Gelegentliche Spitzen, aber durchgängig <40 ms bei P99
Abgeleitete Sicherheitsmerkmale.
Token Exchange pro Hop. — Tokens sind nur für ein spezifisches Ziel gültig
Erhalt der Actor Chain. — vollständige Sichtbarkeit der Herkunft über alle Systeme hinweg
Policy-Durchsetzung auf Tool-Ebene. — Entscheidungen anhand der vollständigen Anfragehistorie
Datenredaktion via AI Guard. — sensible Informationen werden beim Durchlaufen des AI Gateway gefiltert
Langfristige Vision — Drei-Schichten-Framework. (Zielarchitektur): 1. Identity & Trust Foundation — verifizierbare Agentenidentität + Delegationsketten 2. Dynamic Access Control — kontextbasierte Berechtigungen + Human-in-the-Loop-Optionen + Workflow-Autorisierung 3. Unified Enforcement Plane — einheitliche Policy-Entscheidungen + Observability + Audit + Governance « Die langfristige Vision ist eine kohärente Architektur, in der Identität, Risiko und Policy nahtlos zusammenwirken. »
Warum dieser Artikel wichtig ist (Positionierung).
Die erste Referenzpublikation eines Hyperscalers außerhalb der KI-Labs. (Uber = Logistik/Mobilität), die Agentensicherheit auf Infrastrukturebene industrialisiert.
Überbrückt die doktrinäre Lücke. zwischen Skill-/Harness-Frameworks (Vincent Superpowers, Lattice, PROJ-AI, Wescale Usine Logicielle Augmentée), die von Produktivität sprechen, und Fragen der Enterprise-tauglichen Identität, für die bislang eine öffentliche Doktrin fehlte.
Schließt an aufkommende Standards an. (SPIFFE/SPIRE bereits übernommen, IETF WIMSE in Arbeit), statt ein proprietäres Protokoll zu erfinden — das klassische cathedral and bazaar-Muster von Uber Eng.
Wird zur Referenz für CISOs. , die vor dem internen Einsatz von Agenten stehen.
Verknüpfung mit der Watch-List.
Engste Familie (Enterprise-Agenten-Infrastruktur).
Stripe Minions (Gray 2026-02-09 und 2026-02-19). — Fiches [gray-stripe-minions-coding-agents-part1-2026-02-09] und [gray-stripe-minions-coding-agents-part2-2026-02-19]: 1000–1300+ autonome PRs/Woche, Toolshed ~500 MCP-Tools, isolierte Devboxes. Stripe und Uber konvergieren bei der Industrialisierung interner Agenten — Stripe fokussiert auf Coding-Agenten und den MCP-Toolshed, Uber fokussiert auf die Identitätsschicht, die diese Deployments governance-fähig macht.
Levie *Building for trillions of agents. (Fiche [levie-building-trillions-agents-software-2026-03-07]) — Aaron Levie (Box): « API-first-Software für Agenten, agentische Infrastruktur, ökonomische Modelle »*. Levie prognostiziert; Uber liefert.
Thoughtworks AI/works™. (Fiche [thoughtworks-aiworks-agentic-development-platform-2026-05-12]) — eine Control Plane mit « aktiven Guardrails + End-to-End-Lineage ». Uber ist die produktive Umsetzung dessen, was Thoughtworks als Produkt verkauft.
Cloudflare Markdown for Agents. (Fiche [martinho-allen-cloudflare-markdown-for-agents-2026-02-12]) — HTML→Markdown-Konvertierung am Edge. Cloudflare und Uber adressieren zwei unterschiedliche Dimensionen der Agenten-Infrastruktur: Datenform (Cloudflare) vs. Identität (Uber).
Harness-/Agentenarchitektur-Familie.
Trivedy *Anatomy of an Agent Harness. * (Fiche [trivedy-langchain-anatomy-agent-harness-2026-03-10]) — Agent=Model+Harness. Uber ergänzt: Der Harness umfasst nun eine dedizierte, Hop-bewusste Identitätsschicht.
Osmani *Agent Harness Engineering. * (Fiche [osmani-agent-harness-engineering-2026-04-19]) — Uber ist ein operatives Beispiel für das, was Osmani theoretisiert.
Sierra AI-native interview. (Fiches [sierra-ai-native-interview-iyengar-asemanfar-wang-2026-04-22] und [taylor-sierra-ai-native-interview-engineering-hiring-2026-04-20]) — Recruiting für diese Skills. Ingenieurprofil, auf das Uber abzielt: Plan/Build/Review mit Kompetenz in Agentensicherheit.
Souveränitäts-/Verteidigungs-/Risiko-Familie.
Mensch / Mistral vor dem Untersuchungsausschuss der französischen Nationalversammlung. (Fiche [mensch-mistral-commission-enquete-vulnerabilites-numeriques-souverainete-ia-2026-05-13]) — « wirtschaftliche Sicherheit » + « Cyber: linear wachsende offensive Fähigkeiten ». Uber zeigt wie man dies operativ absichert; Mensch zeigt warum dies strategisch bedeutsam für die Souveränität ist.
AISI UK GPT-5.5 Cyber Capabilities. (Fiche [aisi-uk-gpt55-cyber-capabilities-evaluation-2026-04-30]) — Modelle, die in der Lage sind, Schwachstellen zu entdecken. Verteidigung führt über Architekturen wie die von Uber.
Sun *Permanent Underclass. (Fiche [sun-nyt-silicon-valley-permanent-underclass-2026-04-30]) — Verschiebung von Arbeit zu Kapital. Uber illustriert die « Kapital »*-Infrastrukturschicht, die Automatisierung im großen Maßstab erst ermöglicht.
Schwachpunkte / offene Fragen.
Keine Kostenangaben. zur Architektur (wie viele STS-Server, wie viele QPS, wie viele JWTs pro Tag ausgestellt).
Keine Zahlen zu Produktivitätsverlusten der Entwickler. durch die Migration von Legacy-Agenten (wie viele Refactoring-PRs? welche Gesamtdauer?).
Positionierung gegenüber Vendor-Lösungen. (Auth0, Okta, ForgeRock) nicht diskutiert — Uber entschied sich für Eigenentwicklung auf Basis von SPIRE statt Zukauf, ohne die Build-vs-Buy-Begründung darzulegen.
Keine Diskussion von Failure Modes. — was passiert, wenn der STS ausfällt? Welcher Degraded Mode? Welcher Circuit Breaker?
Privacy / DSGVO / personenbezogene Daten. in der Actor Chain — nicht behandelt (ein Bereitschaftsingenieur kann über alle Hops hinweg namentlich nachverfolgbar sein).
Keine Diskussion. von Delegation-Chain-Confusion-Angriffen oder der Injektion eines gefälschten Glieds in die Kette.
Das A2A Protocol. wird als externe Abhängigkeit angeführt — der IETF-Draft ist jedoch noch kein Standard. Risiko: frühe Adoption eines Protokolls, das sich noch weiterentwickeln kann.
Zu merkendes Uber-Eng-Vokabular.Agency (Ubers Definition), Single-Hop-kurzlebige Tokens, Actor Chain, Agent Registry, AI Agent Mesh, sicherer Weg = einfachster Weg, Token Exchange pro Hop, Erhalt der Provenienz, MCP Gateway als Policy Enforcement Point, AI Gateway als Redaction-Schicht, Drei-Schichten-Framework (Identity / Access / Enforcement).
Verwendung für.
CISO-/Executive-Präsentationen zu Enterprise-Agentensicherheit (kanonische Referenz).
Architekturdoktrin für Industriekunden, die interne Agenten einsetzen (≥ 100 Agenten in einer Flotte).
Build-vs-Buy-Vergleich für agentische IAM-Lösungen.
Argument zugunsten von SPIFFE/SPIRE als De-facto-Standard für Workload-Identität (CNCF graduated + von Uber übernommen).
Referenz in jedem Planungsdokument für Enterprise-Agentenplattformen (Control Plane, Identitätsschicht, Observability).
Konvergenz mit der Wescale-Usine Logicielle Augmentée- und Thoughtworks-AI/works™-Doktrin zur Notwendigkeit einer ausgereiften « Control Plane ».