Interviews

Harold Byun, CEO von BlueRock – Interview-Serie

mm
Published

Harold Byun, CEO von BlueRock, ist ein erfahrener Unternehmens-Technologie-Executive mit tiefen Kenntnissen in den Bereichen Cybersicherheit, SaaS-Plattformen, Cloud-Sicherheit und Unternehmens-Produktführung. Bevor er im April 2026 CEO wurde, war er als Chief Product Officer des Unternehmens tätig, wo er half, die Richtung von BlueRock um Agentic-AI-Sicherheit und Beobachtbarkeit zu lenken. Vor seinem Eintritt bei BlueRock hatte Byun Führungspositionen bei AppOmni, ServiceNow, Skyhigh Networks, Symantec und Citrix inne, nachdem Citrix Zenprise erworben hatte. In diesen Rollen baute er einen Ruf auf, indem er half, Unternehmen dabei zu unterstützen, ihre zunehmend komplexen Cloud- und Datenumgebungen zu sichern, Erfahrungen, die jetzt direkt mit den aufkommenden Sicherheitsproblemen um autonome AI-Agents und Model-Context-Protocol-(MCP)-Ökosysteme übereinstimmen.

BlueRock konzentriert sich auf die Sicherung der Ausführungsebene von Agentic-AI-Systemen, einem Bereich, der immer kritischer wird, da Unternehmen autonome AI-Agents einsetzen, die mit Tools, APIs, Codebasen und sensiblen Unternehmensdaten interagieren können. Das Unternehmen entwickelt Sicherheits- und Beobachtungstechnologien, die darauf ausgelegt sind, das Verhalten von AI-Agents zu überwachen, in Sandboxes zu isolieren und Schutzmechanismen um das Verhalten von AI-Agents herum zu erzwingen, insbesondere in MCP-basierten Umgebungen. Die Plattform von BlueRock betont Laufzeit-Sichtbarkeit und Ausführungsebenen-Schutz anstelle von reinen Prompt-Sicherheitsmechanismen, was einen breiteren Branchentrend widerspiegelt, der darauf abzielt, die Ausführung von AI-Agents zu sichern, und nicht nur das, was sie sagen. Wenn Organisationen von AI-Experimenten zu autonomen Workflows in der Produktion übergehen, positionieren sich Unternehmen wie BlueRock im Zentrum dessen, was möglicherweise zu einer wichtigen neuen Kategorie innerhalb der Unternehmenssicherheit werden könnte.

Sie haben Jahre in Cloud, SaaS, Data Loss Prevention (DLP) und Unternehmenssicherheit bei Unternehmen wie AppOmni, Symantec, ServiceNow und Skyhigh Networks verbracht. Was hat Sie davon überzeugt, dass Laufzeit-Sicherheit für AI-Agents zu einer neuen wichtigen Sicherheitskategorie werden wird?

Was mir offensichtlich wurde, ist, dass AI den Ort, an dem bedeutender operativer Risiko und Komplexität tatsächlich auftritt, ändert. In traditioneller Software ist das Verhalten vor der Bereitstellung größtenteils definiert. In agentischen Systemen entsteht das Verhalten zunehmend während der Ausführung durch Prompts, Kontext, Tools, APIs, MCP-Server und nachgelagerte Interaktionen.

Das schafft ein sehr anderes operatives Modell. Sobald Agenten dynamisch Entscheidungen treffen und Aktionen über Systeme hinweg ausführen können, verlieren Organisationen die klare Sichtbarkeit und operative Einsicht, auf die sie jahrelang vertraut haben.

Ich habe ähnliche Plattform-Wechsel zuvor in Cloud- und SaaS-Sicherheit gesehen, wo die Infrastruktur schneller evolvierte als die Systeme, die verwendet wurden, um sie zu verwalten. AI schafft einen weiteren dieser Momente. Die langfristige Herausforderung ist nicht nur die Modellsicherheit. Es geht darum, Organisationen dabei zu ermöglichen, agentische Systeme verantwortungsvoll im großen Maßstab zu betreiben.

Die Kategorie, die letztendlich zählt, wird diejenige sein, die Organisationen hilft, zu verstehen, was Agenten in der Produktion tatsächlich tun, und ihnen die Zuversicht gibt, AI-nativen Betrieb verantwortungsvoll zu skalieren.

BlueRock spricht von der „Agentic Execution Gap“, wo Organisationen die Sichtbarkeit verlieren, sobald Agenten autonom bei der Laufzeit handeln. Warum scheitern traditionelle Beobachtungs- und Sicherheitstools in diesen Umgebungen?

Traditionelle Beobachtungs- und Sicherheitstools wurden für deterministische Systeme mit relativ vorhersehbaren Ausführungspfaden entwickelt. Sie gehen davon aus, dass Entwickler im Wesentlichen wissen, wie Anwendungen sich verhalten sollen, bevor sie ausgeführt werden.

Agentische Systeme brechen diese Annahme.

Agenten können dynamisch Tools entdecken, MCP-Server aufrufen, Workflows ketten, mit APIs interagieren und in Echtzeit Entscheidungen treffen. Der Ausführungspfad entsteht oft während der Laufzeit.

Die meisten bestehenden Tools erfassen Fragmente wie Protokolle, Spuren, Telemetrie oder Modellausgaben. Aber Organisationen benötigen zunehmend kausales Verständnis über den gesamten Ausführungspfad: Warum ein Agent ein Tool ausgewählt hat, welcher Kontext die Entscheidung beeinflusst hat, welche nachgelagerten Systeme berührt wurden und welche Aktionen als Ergebnis auftraten.

Das ist die Agentic Execution Gap. Die Ausführung ist dynamisch geworden, aber Sichtbarkeit und Kontrollmodelle haben sich nicht entsprechend weiterentwickelt.

Ein wachsender Teil der Unternehmen experimentiert mit Model-Context-Protocol-(MCP)-basierten Architekturen und autonomen AI-Workflows. Was sind die größten Sicherheitsmissverständnisse, die Organisationen immer noch über MCP-Server und agentische Systeme haben?

MCP wird rasch zu grundlegender Infrastruktur für die Entdeckung, Verbindung und Interaktion von AI-Agents mit Tools, Systemen und Unternehmensdaten.

Was MCP wichtig macht, ist, dass es den Reibungswiderstand zwischen AI-Systemen und operativen Umgebungen dramatisch reduziert. Es erhöht die Entwicklergeschwindigkeit und entsperrt leistungsfähige Workflows, aber es erweitert auch massiv die Anzahl der Ausführungspfade, die Agenten über Unternehmenssysteme hinweg nehmen können.

In vielen Fällen mögen Organisationen bereits AI-Tools haben, die mit MCP-verbundenen Diensten interagieren, ohne das nachgelagerte operative Risiko, das dadurch entsteht, vollständig zu verstehen.

Ein weiteres Missverständnis ist, dass die Kontrolle von Prompts oder Modellen ausreichend ist. In der Praxis entstehen die größeren Risiken nachdem das Modell eine Entscheidung getroffen hat. Sobald Agenten Tools aufrufen, Workflows ausführen, sensible Daten abrufen oder mit Infrastruktur interagieren können, verschiebt sich die Herausforderung zur Laufzeit-Verhaltens- und Ausführungskontrolle.

Die operative Oberfläche wächst viel schneller als die meisten Governance- und Beobachtungsmodelle, die dafür konzipiert wurden, sie zu bewältigen.

Die Forschung von BlueRock hat ernsthafte Schwachstellen in öffentlichen MCP-Servern aufgedeckt, einschließlich Server-Side-Request-Forgery-(SSRF)- und Befehlsinjektionsanfälligkeit. Unterschätzen Unternehmen, wie schnell MCP-Ökosysteme zu einer neuen Software-Lieferkettengrundfläche werden könnten?

Ja. Ich denke, die Branche ist noch am Anfang, um zu verstehen, wie wichtig das MCP-Ökosystem aus Sicht der Lieferkette und des operativen Vertrauens werden könnte. Zum Beispiel haben über 36 % der 11.000 MCP-Server, die wir analysiert haben, ungebundene SSRF-Schwachstellen. Die meisten Menschen in der Branche verstehen nicht, dass dies effektiv das gesamte Netzwerk von einem Datenzugriffsperspektive aus öffnet. Das würde in fast jeder Unternehmensumgebung der Welt heute nicht bewusst zugelassen.

Historisch haben sich Organisationen um Bibliotheken, Container und Open-Source-Abhängigkeiten gesorgt, weil diese Komponenten Teil des Software-Stapels vor der Bereitstellung wurden. MCP ändert dieses Modell. Agenten können jetzt dynamisch externe Tools und Dienste während der Laufzeit selbst entdecken und interagieren. Und in vielen Fällen haben Entwickler und das Unternehmen einfach vorwärts gearbeitet und MCP bereitgestellt, ohne die Risiken zu verstehen oder zu bewerten.

Das schafft ein sehr anderes Vertrauensproblem.

Organisationen verwalten nicht mehr nur statische Abhängigkeiten. Sie verwalten zunehmend dynamische Ausführungsabhängigkeiten, die während der Laufzeit entstehen. Agenten können Tools aufrufen, Workflows ketten oder auf nachgelagerte Systeme zugreifen, auf Arten, die Operatoren nicht vollständig vorhersehen oder beobachten.

Unsere Forschung zu SSRF, Befehlsinjektion und anderen Schwachstellen spiegelt wider, wie unreif Teile des Ökosystems immer noch sind. Aber das größere Problem ist breiter als einzelne Schwachstellen. Wenn die MCP-Adoption beschleunigt, benötigen Organisationen viel tiefere Einblicke in die Art und Weise, wie autonome Systeme mit externen Diensten während der Ausführung interagieren.

Ihrer Plattform betont „agentic Beobachtbarkeit“ anstelle von nur Prompt- oder Ausgabemonitoring. Was sieht tatsächliche Laufzeit-Sichtbarkeit aus, wenn Agenten dynamische Entscheidungen über Tools, APIs und Infrastruktur hinweg treffen?

Bedeutsame Laufzeit-Sichtbarkeit erfordert das Verständnis des gesamten Ausführungspfads, nicht nur isolierter Ereignisse.

Organisationen müssen sehen, wie eine Modellentscheidung in Aktionen über Tools, MCP-Server, APIs, Infrastruktur und nachgelagerte Systeme umgesetzt wird. Das bedeutet, zu verstehen, warum ein Agent ein Tool ausgewählt hat, welcher Kontext die Entscheidung beeinflusst hat, welche Berechtigungen verwendet wurden, welche nachgelagerten Aktionen ausgelöst wurden und welches operative Ergebnis letztendlich entstand.

Das wird besonders wichtig, wenn Agenten in verteilten und ephemeren Umgebungen operieren, in denen traditionelles Monitoring schnell fragmentiert.

Prompt-Monitoring allein ist nicht ausreichend, da Prompts nicht das operative Verhalten erklären. Ausgaben sind nicht ausreichend, da sie nicht zeigen, welche Systeme nachgelagert betroffen waren.

Die Zukunft der Beobachtbarkeit in agentischen Systemen ist ausführungsorientiert. Es geht darum, das Verhalten von der Entscheidung bis zur Aktion bis zum Ergebnis in Echtzeit zu verstehen.

Der Trust-Context-Engine von BlueRock scheint Identitäts-, Vertrauens- und Fähigkeitsdaten direkt an Ausführungsflüsse in Echtzeit anzuhängen. Wie wichtig wird kontextuelles Vertrauen, wenn AI-Agents zunehmend mit externen Tools und Systemen autonom interagieren?

Kontextuelles Vertrauen wird grundlegend in agentischen Systemen, da Agenten dynamisch Entscheidungen bei der Laufzeit treffen.

Traditionelle Systeme verließen sich stark auf statische Vertrauensannahmen. Aber Agenten operieren zunehmend über veränderte Kontexte, externe Tools, APIs, MCP-Server, Identitäten und Berechtigungen hinweg.

Organisationen müssen Vertrauen kontinuierlich während der Ausführung selbst bewerten. Nicht nur, ob ein Modell sicher ist, sondern ob das aufgerufene Tool vertrauenswürdig ist, ob die angeforderte Aktion dem erwarteten Verhalten entspricht und welches operative Risiko die Aktion einführt.

Das ist, warum wir glauben, dass Vertrauenskontext kritische Infrastruktur für die nächste Generation von AI-Systemen wird.

Wir sehen eine rasche Adoption von AI-Coding-Agents und autonomen Entwickler-Workflows. Was sind die beunruhigendsten Risiken, wenn Agenten die Fähigkeit erhalten, Infrastruktur zu ändern, Code zu bereitstellen oder mit Produktionsystemen ohne menschliche Überprüfung zu interagieren?

Der größte Wandel ist, dass Organisationen versuchen, die Entwicklergeschwindigkeit dramatisch zu erhöhen, indem sie es ermöglichen, weit mehr Menschen mit AI zu bauen, und nicht nur traditionelle Software-Entwickler.

AI-Coding-Agents können bereits Code generieren, Infrastruktur ändern, mit CI/CD-Pipelines interagieren, Cloud-Dienste aufrufen und auf sensible Systeme zugreifen. Der Produktivitätsvorteil ist enorm, da Unternehmen jetzt sowohl erfahrene Entwickler als auch eine neue Generation von AI-nativen und Citizen-Entwicklern entsperren können.

Die Herausforderung ist, dass die operative Komplexität genauso schnell wächst. Die Sorge ist nicht nur das schädliche Verhalten. Es ist der unerwünschte Einfluss, den ein Agent haben kann, der zu Produktionsausfällen führt und die Verfügbarkeit von Daten und Infrastruktur für ein Unternehmen beeinträchtigt. Dieses Art von Verhalten ist ähnlich dem Problem der öffentlichen S3-Buckets vor einem Jahrzehnt. Wir erwarten, dass Agenten sich verhalten. Wir erwarten Schutzmechanismen und Kontrollen, die eingerichtet werden. Aber es gibt Wege zu unerwartetem Verhalten, exzessiven Berechtigungen, versteckten Abhängigkeiten, unsicheren Tool-Verwendungen oder Ausführungspfaden, die niemand vorhergesehen hat. Und das wird zu mehr Ausfällen oder suboptimalen Bereitstellungen führen, bei denen Menschen zu Schaltflächen werden und der ROI nicht vollständig realisiert wird.

Organisationen benötigen operative Sichtbarkeit und ausführungsorientierte Kontrollen, die mit der Arbeitslast mitgehen, damit sie AI-nativen Entwicklungsprozess ohne Verlangsamung der Innovation skalieren können.

Viele Organisationen denken immer noch über AI-Sicherheit hauptsächlich im Hinblick auf Modellsicherheit und Prompt-Injektion nach. Warum glauben Sie, dass die Branche jetzt zu einer Sicherung von Aktionen und Ausführungspfaden übergehen muss?

Modellsicherheit und Prompt-Injektion sind absolut wichtig, aber sie stellen nur einen Teil der Herausforderung dar.

Die Branche bewegt sich von Systemen, die Antworten generieren, zu Systemen, die Aktionen ausführen. Sobald Agenten Tools aufrufen, Systeme ändern, sensible Daten abrufen oder mit Infrastruktur interagieren können, verschiebt sich das operative Risiko zur Ausführungsverhaltens selbst.

Ein perfekt ausgerichtetes Modell kann immer noch Risiken schaffen, wenn es das falsche Tool aufruft, auf das falsche System zugreift oder unerwartete nachgelagerte Aktionen auslöst. Deshalb ist die Sicherung von Prompts allein unzureichend. Und es wird immer neue Ansätze geben, um diese Art von Prompt-Schutzmechanismen zu umgehen. Das wird ein ständiges Spiel von Katze und Maus sein.

Organisationen müssen erkennen, dass diese Schutzmechanismen umgangen werden können, und wenn sie umgangen werden, ist der potenzielle unerwünschte Einfluss am größten später im Ausführungspfad. Als Ergebnis benötigen sie zunehmend Sichtbarkeit und Kontrolle über den gesamten Ausführungspfad und den operativen Einfluss des Agentenverhaltens in Echtzeit.

Einige Forscher haben die MCP-Adoption mit der Bereitstellung eines „Universal-USB-Ports“ für Unternehmensinfrastruktur verglichen. Wie sollten Unternehmen die enorme Produktivitätssteigerung durch verbundene Agenten mit den operativen Risiken, die sie einführen, in Einklang bringen?

Die Produktivitätssteigerung ist real. MCP vereinfacht dramatisch, wie Agenten mit Tools, Systemen und Workflows verbunden werden, was ein Grund dafür ist, warum die Adoption so schnell voranschreitet.

Aber Organisationen sollten nicht nur an MCP als reine Verbindungsschicht denken. Es wird effektiv Teil des operativen Gewebes des Unternehmens.

Der Ausgleich kommt von der Ermöglichung, dass Entwickler und AI-nativen Erbauern schnell vorankommen, während sie gleichzeitig ausführungsorientierte Sichtbarkeit und Kontrolle aufrechterhalten.

Das bedeutet, die Sicherheit der MCP-Server-Implementierung selbst zu verstehen, was der Grund ist, warum wir die mcp-trust.com-Registrierung erstellt haben. Und es bedeutet, zu verstehen, mit welchen MCP-Servern Agenten interagieren, welche Arten von Tools diese Server bereitstellen, welche Berechtigungen gewährt werden und wie Aktionen während der Laufzeit propagieren.

Die Organisationen, die erfolgreich sind, werden diejenigen sein, die operativen Vertrauen um autonome Ausführung aufbauen.

Blickt man voraus, wie sieht ein ausgereiftes Unternehmens-AI-Sicherheitsstack in einer Welt aus, in der autonome Agenten routinemäßig zusammenarbeiten, Entscheidungen treffen und Aufgaben über mehrere Systeme in der Produktion hinweg ausführen?

Ich denke, der ausgereifte Unternehmens-AI-Stack wird viel ausführungsorientierter.

Organisationen werden immer noch Modellsicherheit, Identität, Datensicherheit und Infrastruktursicherheit benötigen. Aber der größere Wandel ist, dass Unternehmen operative Systeme benötigen, die für autonome und nicht-deterministische Software konzipiert sind.

Wenn Agenten zunehmend zusammenarbeiten, Entscheidungen treffen und Aktionen über Tools, Infrastruktur und Geschäftsworkflows hinweg ausführen, benötigen Organisationen kontinuierliche Sichtbarkeit in die Art und Weise, wie AI-Systeme tatsächlich während der Ausführung verhalten.

Der zukünftige Stack wird Beobachtbarkeit, Vertrauenskontext, operative Governance, ausführungsorientierte Richtlinien-Durchsetzung, Identität und Laufzeit-Sicherheit in eine einheitliche operative Schicht für agentische Systeme kombinieren.

Die Organisationen, die erfolgreich sind, werden diejenigen sein, die kontinuierlich autonome Ausführung verstehen und operationalisieren können, ohne die Innovation zu verlangsamen.

y, und Laufzeit-Sicherheit in eine einheitliche operative Schicht für agentische Systeme. Die Organisationen, die erfolgreich sind, werden diejenigen sein, die kontinuierlich autonome Ausführung verstehen und operationalisieren können, ohne die Innovation zu verlangsamen. Vielen Dank für das großartige Interview. Leser, die mehr erfahren möchten, sollten BlueRock besuchen.

mm

Antoine ist ein visionärer Führer und Gründungspartner von Unite.AI, getrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Ein Serienunternehmer, glaubt er, dass KI so disruptiv für die Gesellschaft sein wird wie Elektrizität, und wird oft dabei ertappt, wie er über das Potenzial disruptiver Technologien und AGI schwärmt.

Als futurist ist er darauf fokussiert, zu erforschen, wie diese Innovationen unsere Welt formen werden. Zusätzlich ist er der Gründer von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.