VectorCertain LLC gab heute den Abschluss der Manuskriptvorbereitung für The MYTHOS Playbook bekannt, eine 34 Kapitel und 9 Anhänge umfassende technische Referenz für CISOs, Sicherheitsarchitekten und KI-Governance-Programmleiter, die die neue gemeinsame Five-Eyes-Leitlinie zur Sicherheit von KI-Agenten operationalisieren. Das Buch schließt heute seinen 17-Sprint-Entwicklungszyklus ab und erscheint im Juni 2026. Eine Vorbestellungsseite ist unter vectorcertain.com live.
Am 1. Mai 2026 veröffentlichten sechs nationale Cybersicherheitsbehörden aller fünf Five-Eyes-Nationen – CISA, NSA, Australiens ASD ACSC, das Canadian Centre for Cyber Security, NZ NCSC und UK NCSC – gemeinsam „Careful Adoption of Agentic AI Services“. Es ist die erste koordinierte, gemeinsame Sicherheitsleitlinie mehrerer Regierungen, die speziell auf KI-Agentensysteme eingeht und das Risiko autonomer Agenten von einem „aufkommenden Anbieterproblem“ zu einer „kritischen nationalen Infrastruktur“ hochstuft. Die Leitlinie identifiziert fünf Risikoklassen: Privilegien, Design und Konfiguration, Verhalten, Struktur und Rechenschaftspflicht.
Der Marktkontext, in den die Leitlinie eintritt, ist ernst. Gartner prognostiziert, dass KI-Agenten bis Ende 2026 in 40 % der Unternehmensanwendungen integriert sein werden, gegenüber weniger als 5 % im Jahr 2025. Jeder achte Unternehmensverstoß betrifft inzwischen KI-Agenten – ein Anstieg von 340 % im Jahresvergleich, wobei 78 % der kompromittierten Agenten übermäßig berechtigt waren. 88 % der Organisationen berichten von agentenbezogenen Sicherheitsvorfällen. Eine Analyse von 18.470 Produktionsagentenkonfigurationen ergab, dass 98,9 % vollständig auf deny-Regeln verzichten. Das Centre for Long-Term Resilience dokumentierte in einem einzigen Sechsmonatsfenster 698 reale KI-Täuschungsvorfälle – ein Anstieg um den Faktor 4,9, einschließlich dokumentierter modellübergreifender Täuschung.
Das MYTHOS Playbook schließt die Lücke zwischen politischer Absicht und CISO-gerechter Implementierung. Jede in der Five-Eyes-Leitlinie identifizierte Risikoklasse ist spezifischen MYTHOS-Playbook-Kapiteln und Anhängen zugeordnet. Für Privilegienrisiken liefert Teil II eine patentierte Least-Privilege-Architektur über MRM-CFS-SG-Governance-Gates und die AGL-SG-Zugriffsgovernance-Ebene. Für Design- und Konfigurationsrisiken spezifizieren Teil II und Teil VI sichere-by-Design-Muster und progressive Bereitstellung gemäß der Five-Eyes-Empfehlung „zuerst risikoarme, nicht sensible Anwendungsfälle“, während Anhang G eine 12-Klausel-Bibliothek für Anbieter-RFP-Sprache mit Vererbung bereitstellt. Für Verhaltensrisiken präsentiert Teil III eine Sieben-Vektoren-Taxonomie für Verhaltensbedrohungen, und Teil IV bietet statistische Erkennungsmethodik einschließlich HOTS-Homologie (81,4 % Täuschungserkennungspräzision). Für strukturelle Risiken spezifiziert Kapitel 8 das 8-2-8-Kompositionssicherheitsmodell zur Eindämmung kaskadierender Ausfälle über Komponenten hinweg, und Anhang C liefert eine 119-Zellen-Framework-Kreuzmatrix, die Maßnahmen über NIST AI RMF, OWASP LLM Top 10, OWASP Agentic Top 10, CRI FS AI RMF und MITRE ATLAS hinweg abbildet. Für Rechenschaftsrisiken veröffentlicht Anhang F ein vollständiges GTID-Prüfprotokollbeispiel mit hash-verkettetem Manipulationsnachweis und liefert das genaue Protokollschema, das CISOs benötigen, um die Anforderung „jede Agentenentscheidung protokollieren“ zu erfüllen.
Das Manuskript des MYTHOS Playbook war strukturell bereits im April 2026 abgeschlossen – vor der Veröffentlichung der gemeinsamen Five-Eyes-Leitlinie am 1. Mai 2026. Die Ausarbeitung begann 2025. Die Sieben-Vektoren-Taxonomie für Verhaltensbedrohungen des Playbook wurde unabhängig aus der Analyse realer Vorfälle abgeleitet, einschließlich dokumentierter Fälle wie der 698 KI-Täuschungsvorfälle, die im CLTR-Bericht „Scheming in the Wild“ katalogisiert sind, und dem 1-in-8-Breaches-Ergebnis von Digital Applied. Als die Five-Eyes-Leitlinie veröffentlicht wurde, ließen sich ihre fünf Risikoklassen sauber auf die bestehenden strukturellen Verpflichtungen des Playbook abbilden. Es war kein Nachrüsten erforderlich. Diese Konvergenz ist betrieblich bedeutsam: Die Five-Eyes-Risikotaxonomie ist die politische Basis; die MYTHOS-Playbook-Risikotaxonomie ist die technische Basis. Sie stimmten überein, weil die zugrunde liegende Bedrohungslandschaft real und beobachtbar ist.
Das Buch ist in sieben Teile plus einen neunteiligen Anhangssatz gegliedert und umfasst etwa 450.000 Wörter. Die Anhänge enthalten ein Confusion-Matrix-Arbeitsblatt für exakte Clopper-Pearson-Binomialberechnungen, eine Kreuzreferenzmatrix, eine Bibliothek für Anbieter-RFP-Sprache, ein GTID-Prüfbeispiel und eine kommentierte Bibliographie. Das dem Buch zugrunde liegende Patentportfolio umfasst 55 Patente (21 beim USPTO eingereicht) in einer Hub-and-Spoke-Struktur über sieben Vertikalen mit einer konsolidierten Bewertung über drei Frameworks zwischen 285 Millionen und 1,55 Milliarden US-Dollar.
Joseph P. Conroy, Gründer und CEO von VectorCertain LLC, sagte: „Die Five Eyes haben die harte politische Arbeit geleistet – sie haben festgestellt, dass das Risiko von KI-Agenten ein nationales Sicherheitsproblem für alle fünf Mitgliedsstaaten gleichzeitig darstellt. Das MYTHOS Playbook ist die operative Ergänzung: die technische Referenz, die ein CISO einem Sicherheitsarchitekten geben kann, der dann die Durchsetzung auf Bereitstellungstiefe spezifizieren kann. Wir haben kein Buch über die Five-Eyes-Leitlinie geschrieben – wir haben ein Buch über die zugrunde liegende Bedrohungslandschaft geschrieben, und die Five Eyes sind bei der Veröffentlichung ihrer Leitlinie unabhängig zur gleichen Risikotaxonomie gelangt. Diese Konvergenz ist die stärkste Validierung beider Dokumente.“
