Begrenzte KI-Systeme
Agentic Engineering
Ein KI-Agent bearbeitet ein Ziel in mehreren Schritten. Er prüft den aktuellen Stand, wählt eine Aktion, nutzt ein Werkzeug und liest das Ergebnis. Danach entscheidet er über den nächsten Schritt. Ein Chatbot gibt meist eine Antwort und stoppt.
Agentic Engineering macht diese Schleife nützlich und kontrollierbar. Das Gebiet ist jung. Begriffe und Fähigkeiten ändern sich schnell. Keine Standardarchitektur macht Agenten automatisch sicher oder zuverlässig.
Die Grundidee
Ein praktischer Agent verbindet Modell, Anweisungen, Werkzeuge, Arbeitszustand und Schleife. Werkzeuge können Code lesen, Datenbanken abfragen, Tickets öffnen oder Änderungen vorschlagen. Memory hält Kontext fest. Regeln begrenzen, was der Agent sehen und tun darf.
Ein Modell kann klar argumentieren und trotzdem falsch liegen. Wichtige Aktionen brauchen deshalb normale Kontrollen: Identität, minimale Rechte, validierte Eingaben, Protokolle, Budgets, Abbruchbedingungen und menschliche Freigaben bei hoher Auswirkung.
So läuft ein agentischer Workflow ab
Der genaue Ablauf hängt vom System ab. Diese Schritte gehören meist dazu.
01 · Aufgabe begrenzen
Eine Person oder ein vertrauenswürdiges System beschreibt Ziel, Grenzen, verfügbare Daten, Erfolgskriterien und verbotene oder freigabepflichtige Aktionen.
02 · Plan bilden
Der Agent zerlegt die Aufgabe. Der Plan bleibt vorläufig: neue Belege können ihn verändern, und ein Reviewer muss die beabsichtigte Richtung erkennen können.
03 · Werkzeug wählen
Der Agent wählt ein Werkzeug aus einer festen Liste und nutzt klar definierte Parameter. Ein einzelner benötigter Zugriff rechtfertigt keine allgemeinen Zugangsdaten.
04 · Berechtigung prüfen
Eine Richtlinie bewertet Identität, Aufgabenkontext, Datensensibilität, Auswirkung und Budget. Bei hohem Risiko stoppt der Ablauf an einem Freigabepunkt.
05 · Handeln und beobachten
Das Werkzeug führt die begrenzte Aktion aus. Der Agent protokolliert und prüft das Ergebnis. Es ist ein neuer Hinweis, keine unfehlbare Wahrheit.
06 · Beenden oder eskalieren
Die Schleife endet bei erreichtem Ziel, überschrittener Grenze, zu hoher Unsicherheit oder einer notwendigen menschlichen Entscheidung. Ein sicherer Agent muss zum Stoppen gebaut sein.
Wo der Ansatz eingesetzt wird
Agentische Systeme eignen sich am ehesten für klar begrenzte Aufgaben mit messbaren Ergebnissen.
Softwareentwicklung
Ein Repository untersuchen, eine kleine Änderung vorschlagen, Tests in einer Sandbox ausführen und den Diff zur menschlichen Prüfung vorlegen.
Betriebsunterstützung
Diagnosedaten sammeln, aktuelle Änderungen abgleichen und einen Behebungsplan entwerfen, ohne Produktion direkt zu verändern.
Recherche
Freigegebene Quellen durchsuchen, Belege extrahieren, Aussagen vergleichen und einen nachvollziehbaren Entwurf zur Prüfung erstellen.
Administrative Abläufe
Tickets, Anträge oder Berichte vorbereiten, wobei jede externe Aktion protokolliert wird und sensible Entscheidungen bei Menschen bleiben.
Was sich verbessern kann
Agenten können mehrstufige Arbeit vereinfachen, vor allem wenn Informationen über mehrere Werkzeuge verteilt sind.
- Kontext über mehrere Schritte halten, statt bei jedem Werkzeug neu zu beginnen.
- Wiederkehrende Sammel- und Vorbereitungsarbeit rund um Expertenentscheidungen automatisieren.
- Dokumentierte Abläufe in einer gut begrenzten Umgebung konsistenter anwenden.
- Nützliche Aktionsspuren erzeugen, wenn Eingaben, Werkzeugaufrufe, Ergebnisse und Freigaben festgehalten werden.
Risiken und Grenzen
Werkzeuge können aus einer falschen Antwort eine falsche Aktion machen. Kontrollen brauchen regelmäßige Tests, weil sich Agenten und Leitlinien weiter verändern.
Manipulierte Ziele oder Anweisungen
Unvertrauter Text in Dokumenten, Webseiten, Tickets oder Werkzeugausgaben kann versuchen, den Agenten von der erlaubten Aufgabe abzulenken.
Zu große Handlungsfreiheit
Ein Werkzeug stellt mehr Daten oder Rechte bereit als nötig. Ein kleiner Planungsfehler kann dadurch große betriebliche Folgen haben.
Fehlerketten
Eine plausible, aber falsche Beobachtung beeinflusst Plan, Werkzeugwahl und Folgeaktion. Mehrstufige Fehler werden dadurch schwerer erkennbar.
Vergiftetes Memory
Falsche oder bösartige Einträge im Memory können spätere Aufgaben und Entscheidungen beeinflussen, lange nachdem die ursprüngliche Eingabe verschwunden ist.
Fehlende Beobachtbarkeit
Ohne Protokolle zu Prompts, Werkzeugaufrufen, Richtlinienentscheidungen und Zustandsänderungen lässt sich eine Aktion nicht rekonstruieren.
Endlosschleifen und Kosten
Ein Agent kann erfolglose Aktionen wiederholen, Ressourcen verbrauchen oder Last erzeugen. Zeit-, Aktions- und Kostenbudgets brauchen harte Grenzen.
Menschliche Verantwortung
Menschen bestimmen Ziel, Werkzeuge, Rechte, Prüfkriterien und Freigaben. Das sind Governance-Entscheidungen. Ein Prompt sollte sie nicht treffen.
Aufsicht muss realistisch bleiben. Hunderte unklare Aktionen abzunicken ist keine Kontrolle. Reviewer brauchen Kontext, Zeit und Befugnis, um Nein zu sagen.
- Aufgabengrenzen und minimale Rechte festlegen
- Folgenreiche oder irreversible Aktionen freigeben
- Protokolle, Evaluation und Fehlermuster prüfen
- Das System anhalten und Vorfälle untersuchen
Das Wichtigste in Kürze
- 01Ein Agent verbindet ein Modell mit einer Schleife aus Beobachtung, Aktion, Werkzeugen und Rückmeldung.
- 02Nützliche Autonomie braucht enge Rechte, Validierung, Protokolle, Budgets und Abbruchbedingungen.
- 03Eine starke Demo beweist noch keine verlässliche Leistung im Alltag.
- 04Menschen bleiben für Ziele, Zugriff, Freigaben und Vorfälle verantwortlich.
Quellen und weiterführende Literatur
Eine kompakte Auswahl an Primärquellen, Standards und öffentlich zugänglicher technischer Orientierung, auf die sich dieser Artikel stützt.
- Artificial Intelligence Risk Management Framework 1.0National Institute of Standards and Technology(öffnet in einem neuen Tab)
- Artificial Intelligence Risk Management Framework: Generative AI Profile — NIST AI 600-1National Institute of Standards and Technology(öffnet in einem neuen Tab)
- Agentic AI — Threats and MitigationsOWASP GenAI Security Project(öffnet in einem neuen Tab)
- ReAct: Synergizing Reasoning and Acting in Language ModelsYao et al., ICLR 2023(öffnet in einem neuen Tab)