Vergleich
Agenten-Vollmacht vs. API-Key
Ein API-Key beweist Zugriff, keine Befugnis: Wer ihn besitzt, kann alles, was der Key kann — unbegrenzt, anonym, bis jemand ihn rotiert. Ein Mandat beweist Auftrag: gebunden an eine Identität, begrenzt in Betrag und Zeit, widerrufbar in unter einer Sekunde.
| Dimension | Agenten-Vollmacht (Mandat) | API-Key |
|---|---|---|
| Besitz = Befugnis? | Nein — Proof of Possession plus Identitätskette nötig | Ja — wer den Key hat, handelt |
| Limits | Pro Aktion, pro Periode, pro Gegenpartei | Höchstens Rate-Limits |
| Diebstahl-Folgen | Presentation ohne Schlüssel nutzlos (MD-101/104) | Vollzugriff bis zur Rotation |
| Zuordenbarkeit | Reale Rechtsperson über Identitäts-Anker | Bestenfalls ein Account |
| Audit | Hash-verkettete, beidseitige Evidenz | Anbieter-Logs |
Fazit
API-Keys bleiben für Maschinen-zu-Maschinen-Infrastruktur richtig. Sobald ein Agent im Namen eines Menschen oder Unternehmens mit Aussenwirkung handelt, ist der API-Key die falsche Abstraktion — er kennt weder Auftraggeber noch Grenze.