MANDACT

Vergleich

Agenten-Vollmacht vs. API-Key

Ein API-Key beweist Zugriff, keine Befugnis: Wer ihn besitzt, kann alles, was der Key kann — unbegrenzt, anonym, bis jemand ihn rotiert. Ein Mandat beweist Auftrag: gebunden an eine Identität, begrenzt in Betrag und Zeit, widerrufbar in unter einer Sekunde.

DimensionAgenten-Vollmacht (Mandat)API-Key
Besitz = Befugnis?Nein — Proof of Possession plus Identitätskette nötigJa — wer den Key hat, handelt
LimitsPro Aktion, pro Periode, pro GegenparteiHöchstens Rate-Limits
Diebstahl-FolgenPresentation ohne Schlüssel nutzlos (MD-101/104)Vollzugriff bis zur Rotation
ZuordenbarkeitReale Rechtsperson über Identitäts-AnkerBestenfalls ein Account
AuditHash-verkettete, beidseitige EvidenzAnbieter-Logs

Fazit

API-Keys bleiben für Maschinen-zu-Maschinen-Infrastruktur richtig. Sobald ein Agent im Namen eines Menschen oder Unternehmens mit Aussenwirkung handelt, ist der API-Key die falsche Abstraktion — er kennt weder Auftraggeber noch Grenze.