Proton Pass: Können die neuen AI Access Tokens KI-Agenten sicherer machen?

Das Schweizer Unternehmen Proton hat am 22. Mai 2026 für seinen Passwort-Manager Proton Pass ein neues Feature namens AI Access Tokens vorgestellt. KI-Agenten und Skripte sollen damit gezielt und auditierbar auf einzelne Einträge des Passwort-Managers zugreifen können. Proton adressiert damit ein wichtiges Problem in der Art und Weise, wie KI-Agenten Secrets häufig nutzen. Wenn ein Agent heute ein Passwort braucht, steht es oft direkt im Prompt oder in einer .env-File. Wenn AI-Agenten auf Einträge eines Passwort-Managers zugreifen, dann meist mit weitreichenden Rechten. OWASP nennt das Muster “Excessive Agency”. Für KMU, die KI-Agenten in Buchhaltung, Sales oder Support einsetzen, stellt sich die Frage, ob die neue Funktion das Risiko spürbar reduziert. Wir haben uns das genauer angeschaut.

Was sind AI Access Tokens?

Ein AI Access Token ist ein Zugangs-Token, der beschränkten Zugriff auf ein oder mehrere Pass-Vaults ermöglicht. Er wird in den Pass-Einstellungen erstellt. Der zugehörige Code-Schnipsel wird anschliessend in den Agenten oder das Skript eingebunden. Das ermöglicht dem Agenten, über die Proton-Pass-CLI auf die Einträge zuzugreifen. Proton nennt drei Eigenschaften, die die AI Access Tokens ausmachen:

• Scoped: Der Token ist an ausgewählte Vaults gebunden. Der Agent erhält Lesezugriff auf die Einträge in diesen Vaults, kann aber nichts ergänzen oder verändern. Wer den Token abgreift, sieht ausschliesslich den Inhalt der freigegebenen Vaults.
• Expiring: Die Laufzeit kann von einer Stunde bis zu einem Jahr konfiguriert werden. Nach Ablauf funktioniert der Token nicht mehr. Er lässt sich ausserdem jederzeit manuell widerrufen.
• Auditable: Jeder Zugriff über den Token wird zusammen mit einer Begründung in einem Audit-Log protokolliert. Das Log zeigt, welcher Eintrag wann und wofür abgerufen wurde.

Technisch gesehen sind AI Access Tokens ähnlich wie Personal Access Tokens für die Pass-CLI konzipiert. Die Credentials selbst bleiben Ende-zu-Ende-verschlüsselt und werden nur lokal in dem Proton-Client entschlüsselt, der den Token verwendet. Für Teams ist die Funktion in Pass Professional und Proton Workspace verfügbar, für Einzelpersonen und Familien in Pass Plus, Pass Family und Proton Unlimited. Wer im Team noch keinen Passwort-Manager im Einsatz hat: Proton Pass for Business ist der direkte Einstieg.

Wofür können KMU die neuen AI Access Tokens einsetzen?

Proton beschreibt im eigenen Blog-Beitrag mehrere konkrete Szenarien. Zwei davon sind für KMU besonders relevant.

Das erste Szenario ist ein KI-Agent, der für die Buchhaltung monatlich Transaktionen aus einem Bank- oder Karten-Portal abruft, kategorisiert und ungewöhnliche Bewegungen markiert. Bisher hiess das in der Praxis entweder, dem Agenten die vollen Bank-Zugangsdaten zu übergeben, oder die Daten von Hand zu exportieren. Mit einem AI Access Token im “Buchhaltungs-Vault” hat der Agent Zugriff auf genau diesen einen Eintrag. Das Audit-Log zeigt, wann der KI-Agent sich eingeloggt hat.

Das zweite Szenario ist ein Sales- oder Customer-Success-Agent, der vor einem Kundengespräch im CRM nachschaut, was zuletzt mit dem Lead passiert ist, und Follow-up-Mails entwirft. Wer das heute baut, gibt dem Agenten oft Service-Account-Zugriff aufs ganze CRM. Ein gescopter Token, der nur den CRM-Eintrag im “Vertriebs-Vault” sieht und nach drei Stunden abläuft, beschränkt den Schaden, falls die Agenten-Pipeline manipuliert oder kompromittiert wird. Vergleichbare Setups beschreibt Proton für Jira-Triage, Fitness-Auswertungen oder Energie-Dashboards. In allen Fällen lohnt sich ein eigener Vault pro Agent, der klar getrennt vom Haupt-Vault ist.

Wo stösst die AI-Access-Token-Funktion an ihre Grenzen?

Die neue Funktion bietet einige Vorteile, aber hat auch ihre Grenzen.

Erstens ist der Token selbst ein Bearer Credential. Wer ihn abgreift, sieht alles im gescopten Vault, bis der Token abläuft oder widerrufen wird. Das ist besser, als ein geleaktes Master-Passwort zu haben, bietet aber keinen vollständigen Schutz. AI Access Tokens müssen daher wie privilegierte API-Keys behandelt werden. Hierzu sollten die Laufzeit kurz gehalten und die Secrets regelmässig rotiert werden. Wie gehabt sollten auch diese Credentials nicht im Repo gespeichert werden. Das Audit-Log bietet zudem die Möglichkeit, Zugriffe regelmässig zu überprüfen. Es lässt sich allerdings vermutlich nur manuell als CSV aus dem Admin-Panel exportieren. Native SIEM-Anbindungen bieten dagegen bereits 1Password (Splunk), Bitwarden (Splunk) und Keeper (Splunk, Sentinel, Datadog, syslog). Wer Zugriffe bei Proton in eine bestehende Security-Monitoring-Pipeline einspeisen will, muss über den manuellen Export gehen.

Zweitens ersetzen AI Access Tokens keine 2FA auf Drittanbieter-Konten. Sie kontrollieren nur, wie der Agent an die Logins kommt. Wenn das Bankkonto ohne starken zweiten Faktor läuft, hilft auch der beste Token nichts, sobald das Passwort einmal woanders auftaucht. Auch das Proton-Konto selbst braucht eine starke 2FA. Wer Zugriff darauf hat, kann beliebige AI Access Tokens erstellen oder widerrufen.

Drittens schützt die Funktion nicht vor Prompt Injection und Goal Hijacking. Ein Agent, der über manipulierte Webseiten, E-Mails oder Tickets in die Irre geführt wird, kann seinen Token legitim nutzen und trotzdem Schaden anrichten. Das Audit-Log hilft danach bei der Aufarbeitung, verhindert aber keinen Sicherheitsvorfall.

Viertens helfen AI Access Tokens nicht bei einem kompromittierten Gerät. Malware kann Tokens oder bereits abgerufene Credentials direkt aus dem Speicher abgreifen. Das ist nicht spezifisch für Proton. AI Access Tokens sind hierbei nur eine Schicht im Sicherheitsmodell. Das Endgerät bleibt, wie bisher, eine eigene Verteidigungslinie.

Wie gehen andere Passwort-Manager mit KI-Agenten um?

Die anderen grossen Anbieter gehen das gleiche Problem unterschiedlich an. 1Password und Keeper setzen auf “Access ohne Exposure”. Secrets werden zur Laufzeit in Browser, Prozesse oder Coding-Tools wie Claude Code, Cursor oder Codex injiziert, ohne in den LLM-Kontext zu gelangen. Das Sprachmodell bekommt keinen Klartext, sondern arbeitet nur mit dem authentifizierten Zustand.

Bei Bitwarden ist das Modell gemischt. Ein MCP-Server erlaubt Vault-Aktionen über KI-Assistenten. Das Agent Access SDK ist explizit als Antwort darauf positioniert, dass AI-Agenten heute “die Schlüssel zu allem” bekommen. Es übergibt Secrets zur Laufzeit an den Agenten, ohne dass sie im Modell-Kontext sichtbar werden. Bitwarden empfiehlt zudem, mit lokal gehosteten Modellen zu arbeiten, damit Aktivitäten unter den eigenen Access-Controls bleiben.

Proton wählt einen pragmatischen Mittelweg. KI-Agenten können Secrets über die CLI nutzen, aber nur mit beschränktem Zugriff, zeitlich befristet und mit Audit-Logs. Das ist weniger streng als “Access ohne Exposure”, dafür einfacher aufzusetzen als eine spezialisierte Lösung für Privileged Access Management (PAM). Für viele KMU-Szenarien, gerade bei klassischen Web-Logins ohne MCP-Integration, kann das ein sinnvoller Kompromiss sein, wenn man Proton Pass bereits im Unternehmen verwendet. Sonst lohnt sich ein Blick auf die Lösungen von Bitwarden, 1Password oder Keeper.

Wie kannst du die neue Funktion für KI-Agenten nutzen?

• Lege pro KI-Agent einen eigenen Vault an und speichere darin nur die Einträge, die der Agent für seine Aufgabe braucht. Halte den Banking-Eintrag getrennt vom CRM-Eintrag.
• Setze kurze Laufzeiten für sensible Workflows. Eine Stunde reicht für einmalige Skripte, ein paar Tage für wiederkehrende Agenten. Laufzeiten von einem Jahr sollten die Ausnahme bleiben.
• Aktiviere und prüfe 2FA auf allen Drittanbieter-Konten und auf deinem Proton-Konto selbst. Hardware-Keys oder Passkeys sind ein sinnvolles Ziel.
• Prüfe die Audit-Logs regelmässig, um Probleme frühzeitig zu erkennen. Die Logs können beispielsweise helfen zu verstehen, welche Einträge wann und mit welcher Begründung abgerufen wurden.

Quellen

• Proton Blog (EN): Proton Pass: A password manager for AI agents
• Proton Blog (DE): Proton Pass: Ein Passwortmanager für KI-Agenten
• Proton Pass Roadmap Frühjahr/Sommer 2026: proton.me/blog/pass-roadmap-spring-summer-2026
• News4Hackers: Proton Pass introduces secure credential sharing for AI agents
• CyberInsider: Proton Pass adds new protections for AI agents with account access

Vertiefung: unser Vergleich der Passwort-Manager für KMU und das ausführliche Proton Pass Review.