Wie man einen KI-Agenten baut

Kurz gesagt: Um einen KI-Agenten zu entwickeln, der in der Praxis funktioniert, sollte man ihn als kontrollierte Schleife betrachten: Eingaben entgegennehmen, die nächste Aktion festlegen, ein präzise definiertes Tool aufrufen, das Ergebnis überprüfen und den Vorgang wiederholen, bis eine eindeutige „Fertig“-Prüfung erfolgreich ist. Er ist besonders nützlich bei mehrstufigen, toolgesteuerten Aufgaben; lässt sich das Problem mit einer einzigen Eingabe lösen, kann der Agent übersprungen werden. Strenge Tool-Schemata, Schrittbegrenzungen, Protokollierung und ein Validator/Kritiker sorgen dafür, dass der Agent bei Tool-Fehlern oder mehrdeutigen Eingaben eskaliert, anstatt in einer Schleife zu verharren.

Wichtigste Erkenntnisse:

Reglerschleife : Implementieren Sie eine Eingabe→Aktion→Beobachtungswiederholung mit expliziten Abbruchbedingungen und maximaler Schrittzahl.

Werkzeugdesign : Werkzeuge sollten schmal, typisiert, mit Berechtigungen versehen und validiert sein, um ein „Alles-tun“-Chaos zu vermeiden.

Gedächtnishygiene : Nutzen Sie den kompakten Kurzzeitzustand in Kombination mit dem Langzeitabruf; vermeiden Sie das Speichern vollständiger Transkripte.

Missbrauchsresistenz : Hinzufügen von Zulassungslisten, Ratenbegrenzungen, Idempotenz und „Trockenlauf“ für riskante Aktionen.

Testbarkeit : Pflegen Sie eine Szenario-Suite (Fehler, Mehrdeutigkeiten, Code-Injektionen) und führen Sie diese bei jeder Änderung erneut aus.

---

1) Was ein KI-Agent ist, in einfachen Worten erklärt 🧠

Ein KI-Agent ist eine Schleife. LangChain-Dokumentation „Agenten“

Das ist es. Eine Schleife mit einem Gehirn in der Mitte.

Input → denken → handeln → beobachten → wiederholen . ReAct paper (reason + act)

Wo:

• Eingabe ist eine Benutzeranfrage oder ein Ereignis (neue E-Mail, Support-Ticket, Sensor-Ping).

• Think ist ein Sprachmodell, das über den nächsten Schritt nachdenkt.

• Act ruft ein Tool auf (interne Dokumente durchsuchen, Code ausführen, ein Ticket erstellen, eine Antwort entwerfen). OpenAI-Funktionsaufrufleitfaden

• Observe liest die Ausgabe des Tools.

• Die Wiederholung ist der Teil, der den Text „agentenhaft“ statt „gesprächig“ wirken lässt. LangChain „Agenten“-Dokumentation

Manche Agenten sind im Grunde intelligente Makros. Andere agieren eher wie ein Junior-Operator, der Aufgaben jonglieren und Fehler beheben kann. Beides zählt.

Außerdem brauchst du keine vollständige Autonomie. Tatsächlich… willst du sie wahrscheinlich gar nicht 🙃

---

2) Wann Sie einen Agenten erstellen sollten (und wann nicht) 🚦

Erstellen Sie einen Agenten, wenn:

• Die Arbeit ist mehrstufig und verändert sich je nachdem, was währenddessen passiert.

• Für diese Aufgabe ist der Einsatz von Tools (Datenbanken, CRMs, Codeausführung, Dateigenerierung, Browser, interne APIs). LangChain-Dokumentation „Tools“

• Sie wollen wiederholbare Ergebnisse mit Leitplanken, nicht nur einmalige Antworten.

• Man kann „fertig“ so definieren, dass ein Computer es überprüfen kann, auch wenn es nur vage ist.

Erstellen Sie keinen Agenten, wenn:

• Eine einfache Aufforderung mit anschließender Antwort genügt (übertreiben Sie es nicht, das werden Sie später bereuen).

• Man braucht perfekten Determinismus (Agenten können einigermaßen konsistent sein, aber nicht robotisch).

• Wenn man keine Werkzeuge oder Daten zur Verfügung hat, um eine Verbindung herzustellen, dann basiert alles hauptsächlich auf Gefühlen.

Seien wir ehrlich: Die Hälfte aller „KI-Agentenprojekte“ könnte ein Workflow mit ein paar Verzweigungsregeln sein. Aber hey, manchmal zählt auch die Atmosphäre 🤷‍♂️

---

3) Was zeichnet eine gute Version eines KI-Agenten aus? ✅

Hier ist der von Ihnen gewünschte Abschnitt „Was macht eine gute Version von aus?“, allerdings werde ich etwas direkter sein:

Eine gute Version eines KI-Agenten ist nicht diejenige, die am intensivsten nachdenkt. Es ist diejenige, die:

• Kennt seine Befugnisse (Grenzen des Geltungsbereichs).

• Nutzt Tools zuverlässig (strukturierte Aufrufe, Wiederholungsversuche, Timeouts) OpenAI-Funktionsaufrufleitfaden AWS „Timeouts, Wiederholungsversuche und Backoff mit Jitter“

• Hält den Zustand sauber (Speicher, der nicht verrottet) LangChain „Speicherübersicht“

• Erläutert seine Aktionen (Prüfprotokolle, keine geheimen Begründungsprotokolle) NIST AI RMF 1.0 (Vertrauenswürdigkeit und Transparenz)

• Stoppt ordnungsgemäß (Abschlussprüfungen, maximale Schritte, Eskalation) LangChain „Agents“-Dokumentation

• Fällt sicher aus (fragt um Hilfe, halluziniert keine Autorität) NIST AI RMF 1.0

• Ist testbar (man kann es mit vordefinierten Szenarien ausführen und die Ergebnisse auswerten)

Wenn dein Agent nicht getestet werden kann, ist es im Grunde ein sehr selbstsicherer Spielautomat. Unterhaltsam auf Partys, furchteinflößend in der Produktion 😬

---

4) Die grundlegenden Bausteine ​​eines Agenten (die „Anatomie“ 🧩)

Die meisten Feststoffe enthalten folgende Bestandteile:

A) Die Reglerschleife 🔁

Dies ist der Orchestrator:

• Ziel einnehmen

• Modell nach nächstem Schritt fragen

• Tool ausführen

• Beobachtung anhängen

• Wiederholen Sie den Vorgang, bis er abgeschlossen ist (LangChain „Agents“-Dokumentation).

B) Werkzeuge (auch Fähigkeiten genannt) 🧰

Die richtigen Werkzeuge machen einen Agenten effektiv: LangChain „Tools“-Dokumentation

• Datenbankabfragen

• E-Mails senden

• Dateien abrufen

• Code ausführen

• Aufruf interner APIs

• Schreiben in Tabellenkalkulationen oder CRMs

C) Gedächtnis 🗃️

Zwei Arten sind wichtig:

• Kurzzeitgedächtnis : der aktuelle Ausführungskontext, die letzten Schritte, der aktuelle Plan

• Langzeitgedächtnis : Nutzerpräferenzen, Projektkontext, abgerufenes Wissen (oft über Einbettungen + einen Vektorspeicher) RAG-Paper

D) Planungs- und Entscheidungspolitik 🧭

Auch wenn man es nicht „Planung“ nennt, braucht man eine Methode:

• Checklisten

• ReAct-ähnliches „Denk-dann-Werkzeug“ ReAct-Papier

• Aufgabengraphen

• Muster zwischen Vorgesetzten und Mitarbeitern

• Supervisor-Mitarbeiter-Muster Microsoft AutoGen (Multiagenten-Framework)

E) Leitplanken und Bewertung 🧯

• Berechtigungen

• sichere Werkzeugschemata OpenAI Structured Outputs

• Ausgabevalidierung

• Schrittbegrenzungen

• Protokollierung

• Tests NIST AI RMF 1.0

Ja, es ist eher eine Frage der Technik als der Aufforderung. Und genau darum geht es ja.

---

5) Vergleichstabelle: Beliebte Methoden zum Erstellen eines Agenten 🧾

Nachfolgend eine realistische „Vergleichstabelle“ – mit ein paar Besonderheiten, denn echte Teams sind nun mal etwas eigenwillig 😄

Werkzeug / Framework	Publikum	Preis	Warum es funktioniert	Notizen (kleines Chaos)
LangChain	Baumeister, die Lego-ähnliche Komponenten mögen	quasi kostenlos + Infrarot	großes Ökosystem für Werkzeuge, Speicher, Ketten	Es kann schnell zu einem Spaghetti-Chaos werden, wenn man die Dinge nicht klar benennt
LamaIndex	Teams mit hohem RAG-Anteil	quasi kostenlos + Infrarot	starke Abrufmuster, Indexierung, Konnektoren	Großartig, wenn Ihr Makler im Grunde nur „Suche + Handeln“ macht… was üblich ist
Ansatz im Stil von OpenAI Assistants	Teams, die eine schnellere Einrichtung wünschen	nutzungsbasiert	integrierte Tool-Aufrufmuster und Ausführungsstatus	In manchen Bereichen weniger flexibel, aber für viele Apps gut geeignet	OpenAI Runs API OpenAI Assistants Funktionsaufruf
Semantischer Kernel	Entwickler, die eine strukturierte Orchestrierung wünschen	relativ frei	saubere Abstraktion für Fähigkeiten/Funktionen	wirkt „organisiert und ordentlich“ – manchmal ist das ein Kompliment 😉
AutoGen	Multiagenten-Experimentatoren	relativ frei	Agenten-zu-Agenten-Kollaborationsmuster	können sich gegenseitig übertönen; strenge Beendigungsregeln festlegen
CrewAI	Fans von „Agententeams“	relativ frei	Rollen, Aufgaben und Übergaben lassen sich leicht ausdrücken	Funktioniert am besten, wenn die Aufgaben klar definiert und nicht verschwommen sind
Heuhaufen	Suche + Pipelines Personen	relativ frei	Feststoffleitungen, Rückgewinnung, Komponenten	weniger „Agententheater“, mehr „praktische Fabrik“
Selbstbau (individuelle Wasserkühlung)	Kontrollfreaks (liebevoll)	Ihre Zeit	Minimale Magie, maximale Klarheit	Meistens die beste langfristige Lösung… bis man alles neu erfindet 😅

Es gibt keinen eindeutigen Gewinner. Die beste Wahl hängt davon ab, ob die Hauptaufgabe Ihres Agenten im Abruf , der Werkzeugausführung , der Koordination mehrerer Agenten oder der Workflow-Automatisierung .

---

6) Wie man einen KI-Agenten Schritt für Schritt baut (das genaue Rezept) 🍳🤖

Diesen Teil überspringen die meisten Leute und wundern sich dann, warum sich der Agent wie ein Waschbär in einer Speisekammer verhält.

Schritt 1: Beschreiben Sie die Stelle in einem Satz 🎯

Beispiele:

• „Erstellen Sie einen Entwurf für eine Kundenantwort unter Berücksichtigung der Richtlinien und des Ticketkontexts und bitten Sie anschließend um Genehmigung.“

• „Untersuchen Sie einen Fehlerbericht, reproduzieren Sie ihn und schlagen Sie eine Lösung vor.“

• „Aus unvollkommenen Besprechungsnotizen werden Aufgaben, Verantwortliche und Fristen.“

Wenn Sie es nicht einfach definieren können, kann es Ihr Agent auch nicht. Er kann es zwar, aber er wird improvisieren, und Improvisation ist der Nährboden für Budgets.

Schritt 2: Autonomiegrad festlegen (niedrig, mittel, scharf) 🌶️

• Geringe Autonomie : Vorschläge für Schritte, menschliche Klicks zur „Genehmigung“

• Mittel : Nutzt Tools, erstellt Entwürfe, eskaliert bei Unsicherheit

• Hoch : Führt die gesamte Verarbeitung durch und benachrichtigt nur bei Ausnahmen einen Benutzer.

Fang mit einer niedrigeren Stufe an, als du möchtest. Du kannst die Lautstärke später immer noch erhöhen.

Schritt 3: Wähle deine Modellstrategie 🧠

Sie wählen üblicherweise:

• ein starkes Modell für alles (einfach)

• ein starkes Modell + kleineres Modell für kostengünstige Schritte (Klassifizierung, Routing)

• Spezialmodelle (Bild, Code, Sprache) falls erforderlich

Entscheide außerdem:

• maximale Token

• Temperatur

• ob Sie intern lange Gedankengänge zulassen (Sie können dies tun, sollten aber den Endbenutzern nicht den gesamten Gedankengang offenlegen)

Schritt 4: Werkzeuge mit strengen Schemata definieren 🔩

Die Werkzeuge sollten sein:

• eng

• getippt

• erlaubt

• validierte strukturierte OpenAI-Ausgaben

Statt eines Tools namens do_anything(input: string) sollte Folgendes verwendet werden:

• search_kb(query: string) -> results[]

• create_ticket(title: string, body: string, priority: enum) -> ticket_id

• send_email(to: string, subject: string, body: string) -> status OpenAI Funktionsaufrufanleitung

Wenn Sie dem Gärtner eine Kettensäge geben, wundern Sie sich nicht, wenn er beim Heckenschneiden gleich mit dem Zaun gleich mitentfernt.

Schritt 5: Die Reglerschleife erstellen 🔁

Minimale Schleife:

1. Beginnen Sie mit dem Ziel und dem anfänglichen Kontext

2. Frage an das Modell: „Nächster Schritt?“

3. Wenn ein Werkzeug aufgerufen wird, wird das Werkzeug ausgeführt

4. Beobachtung hinzufügen

5. Stoppbedingung prüfen

6. Wiederholen Sie (mit maximaler Schrittzahl) die LangChain-Dokumentation „Agenten“.

Hinzufügen:

• Auszeiten

• Wiederholungsversuche (Vorsicht – Wiederholungsversuche können in einer Schleife enden) AWS „Timeouts, Wiederholungsversuche und Backoff mit Jitter“

• Fehlerformatierung (klar, strukturiert)

Schritt 6: Speicher vorsichtig hinzufügen 🗃️

Kurzfristig: Eine kompakte „Statusübersicht“ wird bei jedem Schritt aktualisiert. LangChain „Speicherübersicht“.
Langfristig: Dauerhafte Fakten speichern (Benutzereinstellungen, Organisationsregeln, stabile Dokumentation).

Faustregel:

• Wenn es sich häufig ändert – halten Sie es kurzfristig

• Wenn es stabil ist – langfristig lagern

• Bei empfindlichen Stoffen: nur minimal (oder gar nicht) lagern

Schritt 7: Validierung und „Kritikprüfung“ hinzufügen 🧪

Ein preiswertes, praktisches Schnittmuster:

• Agent generiert Ergebnis

• Der Validator prüft Struktur und Einschränkungen

• Optionale Überprüfung des Kritikermodells auf fehlende Schritte oder Richtlinienverstöße (NIST AI RMF 1.0)

Nicht perfekt, aber es fängt eine erschreckend große Menge an Unsinn auf.

Schritt 8: Protokolliere alles, was du später bereuen würdest, nicht protokolliert zu haben 📜

Protokoll:

• Werkzeugaufrufe + Eingaben + Ausgaben

• getroffene Entscheidungen

• Fehler

• Endergebnisse

• Tokens und Latenz OpenTelemetry-Observability-Einführung

Dein zukünftiges Ich wird es dir danken. Dein jetziges Ich wird es vergessen. So ist das Leben 😵💫

---

7) Ein Tool, das dich nicht innerlich zerreißt 🧰😵

Die Tool-Anforderung ist der Punkt, an dem „Wie man einen KI-Agenten baut“ zu echter Softwareentwicklung wird.

Werkzeuge sollten zuverlässig sein (Zuverlässigkeit ist gut)

Zuverlässige Werkzeuge sind:

• deterministisch

• eng im Umfang

• einfach zu testen

• , Stripe „Idempotente Anfragen“ erneut auszuführen

Fügen Sie Leitplanken auf der Werkzeugebene hinzu, nicht nur bei den Eingabeaufforderungen

Hinweise sind höfliche Vorschläge. Die Tool-Validierung ist eine verschlossene Tür. Strukturierte Ausgaben von OpenAI.

Tun:

• Zulassungslisten (welche Tools ausgeführt werden dürfen)

• Eingabevalidierung

• Ratenbegrenzungen – Leitfaden zu Ratenbegrenzungen

• Berechtigungsprüfungen pro Benutzer/Organisation

• „Trockenlaufmodus“ für riskante Aktionen

Auslegung auf Teilversagen

Tools versagen. Netzwerke instabil. Authentifizierung läuft ab. Ein Agent muss:

• Fehler interpretieren

• Wiederholungsversuche mit Backoff, wenn angebracht Google Cloud-Wiederholungsstrategie (Backoff + Jitter)

• Alternative Werkzeuge auswählen

• Eskalieren, wenn man nicht weiterkommt

Ein stiller, aber effektiver Trick: Strukturierte Fehlermeldungen zurückgeben, etwa so:

• Typ: Authentifizierungsfehler

• Typ: nicht gefunden

• type: rate_limited
  Damit das Modell intelligent reagieren kann, anstatt in Panik zu geraten.

---

8) Eine Erinnerung, die hilft, anstatt dich zu verfolgen 👻🗂️

Das Gedächtnis ist mächtig, kann aber auch zu einer Art Krimskramsschublade werden.

Kurzzeitgedächtnis: kompakt halten

Verwenden:

• letzte N Schritte

• eine fortlaufende Zusammenfassung (wird in jeder Schleife aktualisiert)

• aktueller Plan

• aktuelle Einschränkungen (Budget, Zeit, Richtlinien)

Wenn man alles in den Kontext setzt, erhält man:

• höhere Kosten

• langsamere Latenz

• noch mehr Verwirrung (ja, selbst dann noch)

Langzeitgedächtnis: Abruf statt „Stuffing“

Das „Langzeitgedächtnis“ funktioniert meist eher so:

• Einbettungen

• Vektorspeicher

• Retrieval Augmented Generation (RAG) RAG-Papier

Der Agent speichert keine Informationen. Er ruft die relevantesten Ausschnitte zur Laufzeit ab. LlamaIndex „Einführung in RAG“

Praktische Gedächtnisregeln

• „Präferenzen“ als explizite Fakten speichern: „Der Benutzer mag Stichpunktzusammenfassungen und hasst Emojis“ (lol, aber nicht hier 😄)

• „Entscheidungen“ sollten mit Zeitstempeln oder Versionsnummern versehen werden (andernfalls häufen sich Widersprüche)

• Bewahre niemals Geheimnisse auf, es sei denn, es ist wirklich notwendig

Und hier ist meine etwas unvollkommene Metapher: Das Gedächtnis ist wie ein Kühlschrank. Wenn man ihn nie reinigt, schmeckt das Sandwich irgendwann nur noch nach Zwiebeln und Reue.

---

9) Planungsmuster (von einfach bis aufwendig) 🧭✨

Planung ist nichts anderes als kontrollierte Zerlegung. Man sollte sie nicht mystifizieren.

Muster A: Checklistenplaner ✅

• Das Modell gibt eine Liste von Schritten aus

• Führt die Schritte nacheinander aus

• Aktualisierungs-Checkliste Status

Ideal für das Onboarding. Einfach und testbar.

Muster B: ReAct-Schleife (Grund + Handlung) 🧠→🧰

• Das Modell entscheidet über den nächsten Werkzeugaufruf

• beobachtet Ausgabe

• wiederholt ReAct-Papier

Das ist das klassische Agenten-Feeling.

Muster C: Vorgesetzter-Mitarbeiter 👥

• Der Vorgesetzte unterteilt das Ziel in Aufgaben

• Die Arbeiter führen spezialisierte Aufgaben aus

• Supervisor führt Ergebnisse zusammen Microsoft AutoGen (Multiagenten-Framework)

Dies ist von Vorteil, wenn Aufgaben parallelisierbar sind oder wenn Sie unterschiedliche „Rollen“ benötigen, wie zum Beispiel:

• Forscher

• Programmierer

• Editor

• Qualitätssicherungsprüfer

Muster D: Planen und dann ausführen mit Nachplanung 🔄

• Plan erstellen

• ausführen

• Wenn die Ergebnisse des Tools die Realität verändern, muss neu geplant werden

Dies verhindert, dass der Agent stur einem schlechten Plan folgt. Menschen tun dies auch, es sei denn, sie sind müde; in diesem Fall folgen sie ebenfalls schlechten Plänen.

---

10) Sicherheit, Zuverlässigkeit und nicht gefeuert werden 🔐😅

Wenn Ihr Agent Aktionen ausführen kann, benötigen Sie ein Sicherheitsdesign. Nicht „nice-to-have“, sondern zwingend erforderlich. NIST AI RMF 1.0

Harte Grenzen

• Maximale Schritte pro Lauf

• Maximale Werkzeugaufrufe pro Minute

• Maximale Ausgaben pro Sitzung (Token-Budget)

• eingeschränkte Werkzeuge hinter der Genehmigung

Datenverarbeitung

• Sensible Eingaben vor der Protokollierung schwärzen

• separate Umgebungen (Entwicklung vs. Produktion)

• Werkzeugberechtigungen nach dem Prinzip der geringsten Rechte

Verhaltensbeschränkungen

• Den Agenten zwingen, interne Beweisausschnitte anzuführen (keine externen Links, sondern nur interne Verweise)

• Unsicherheitssignale sind erforderlich, wenn das Vertrauen gering ist

• Bei unklaren Eingaben ist eine „Nachfrage zur Klärung“ erforderlich

Ein zuverlässiger Agent ist nicht der selbstsicherste. Er ist derjenige, der weiß, wann er rät… und das auch zugibt.

---

11) Testen und Evaluieren (der Teil, den alle vermeiden) 🧪📏

Was man nicht messen kann, kann man nicht verbessern. Ja, der Spruch ist kitschig, aber leider wahr.

Erstellen Sie ein Szenario-Set

Erstellen Sie 30-100 Testfälle:

• glückliche Wege

• Grenzfälle

• Fälle von „Werkzeugausfällen“

• mehrdeutige Anfragen

• Adversarial Prompts (Prompt-Injection-Versuche) OWASP Top 10 für LLM-Apps OWASP LLM01 Prompt Injection

Ergebnisse

Verwenden Sie Kennzahlen wie:

• Aufgabenerfolgsrate

• Zeit bis zur Fertigstellung

• Werkzeugfehler-Wiederherstellungsrate

• Halluzinationsrate (Behauptungen ohne Beweise)

• Zustimmungsrate der Nutzer (im überwachten Modus)

Regressionstests für Eingabeaufforderungen und Werkzeuge

Jedes Mal, wenn Sie etwas ändern:

• Werkzeugschema

• Systemanweisungen

• Abruflogik

• Speicherformat.
  Führen Sie die Suite erneut aus.

Agenten sind empfindliche Wesen. Wie Zimmerpflanzen, nur teurer.

---

12) Bereitstellungsmuster, die Ihr Budget nicht sprengen 💸🔥

Beginnen Sie mit einem einzelnen Dienst

• Agent Controller API

• dahinterstehende Werkzeugdienste

• Protokollierung und Überwachung OpenTelemetry-Observability-Grundlagen

Führen Sie frühzeitig Kostenkontrollen ein

• Ergebnisse des Caching-Abrufs

• Komprimierung des Gesprächsstatus mit Zusammenfassungen

• Verwendung kleinerer Modelle für Routing und Extraktion

• den „Modus des tiefen Nachdenkens“ auf die schwierigsten Schritte beschränken

Gängige Architekturwahl

• Zustandloser Controller + externer Zustandsspeicher (DB/Redis)

• Toolaufrufe sind, wo möglich, idempotent. Stripe „Idempotente Anfragen“.

• Warteschlange für langlaufende Aufgaben (damit eine Webanfrage nicht ewig offen bleibt)

Bau dir außerdem einen „Not-Aus-Schalter“. Du wirst ihn erst brauchen, wenn du ihn wirklich, wirklich brauchst 😬

---

13) Schlussbemerkungen – die Kurzfassung zum Thema „Wie man einen KI-Agenten entwickelt“ 🎁🤖

Wenn Sie sich an nichts anderes erinnern, dann merken Sie sich wenigstens dies:

• Die Anleitung zum Erstellen eines KI-Agenten beschreibt hauptsächlich den Aufbau einer sicheren Schleife um ein Modell. LangChain-Dokumentation zu „Agenten“.

• Beginnen Sie mit einem klar definierten Ziel, geringer Autonomie und strengen Werkzeugen. Strukturierte Ausgaben von OpenAI

• Speichererweiterung durch Abruf, nicht durch endloses Kontext-Stuffing. RAG-Papier

• Planung kann einfach sein – Checklisten und Nachplanen helfen dabei sehr.

• Protokollierung und Tests verwandeln Agentenchaos in etwas, das Sie ausliefern können. Einführung in die Observability von OpenTelemetry.

• Leitplanken gehören in den Code, nicht nur in die Eingabeaufforderung. OWASP Top 10 für LLM-Apps

Ein Agent ist keine Zauberei. Es ist ein System, das oft genug gute Entscheidungen trifft, um wertvoll zu sein … und eine Niederlage eingesteht, bevor es Schaden anrichtet. Irgendwie beruhigend 😌

Und ja, wenn man es richtig umsetzt, fühlt es sich an, als würde man einen kleinen digitalen Praktikanten einstellen, der nie schläft, ab und zu in Panik gerät und Papierkram liebt. Also im Grunde ein Praktikant.

---

Häufig gestellte Fragen

Was ist ein KI-Agent, einfach ausgedrückt?

Ein KI-Agent ist im Grunde eine sich wiederholende Schleife: Eingaben entgegennehmen, den nächsten Schritt festlegen, ein Werkzeug verwenden, das Ergebnis auslesen und den Vorgang wiederholen, bis er abgeschlossen ist. Der „agentische“ Aspekt ergibt sich aus dem Handeln und Beobachten, nicht nur aus der Kommunikation. Viele Agenten sind lediglich intelligente Automatisierungen mit Werkzeugzugriff, während andere eher wie ein unerfahrener Mitarbeiter agieren, der Fehler selbstständig beheben kann.

Wann sollte ich einen KI-Agenten entwickeln, anstatt einfach nur eine Eingabeaufforderung zu verwenden?

Erstellen Sie einen Agenten, wenn der Arbeitsablauf mehrstufig ist, sich je nach Zwischenergebnissen ändert und die zuverlässige Nutzung von Tools (APIs, Datenbanken, Ticketing-Systemen, Codeausführung) erfordert. Agenten sind auch dann nützlich, wenn Sie wiederholbare Ergebnisse mit Kontrollmechanismen und einer Möglichkeit zur Statusabfrage wünschen. Wenn eine einfache Antwort ausreicht, stellt ein Agent in der Regel unnötigen Aufwand und zusätzliche Fehlerquellen dar.

Wie entwickle ich einen KI-Agenten, der nicht in Endlosschleifen hängen bleibt?

Verwenden Sie strikte Abbruchbedingungen: maximale Schritte, maximale Tool-Aufrufe und vollständige Abschlussprüfungen. Fügen Sie strukturierte Tool-Schemas, Timeouts und Wiederholungsversuche hinzu, die nicht endlos wiederholt werden. Protokollieren Sie Entscheidungen und Tool-Ausgaben, um Fehlerquellen zu erkennen. Ein gängiges Sicherheitsventil ist die Eskalation: Bei Unsicherheit oder wiederholten Fehlern sollte der Agent um Hilfe bitten, anstatt zu improvisieren.

Was ist die minimale Architektur für die Anleitung zum Erstellen eines KI-Agenten?

Mindestens benötigen Sie eine Steuerungsschleife, die dem Modell ein Ziel und einen Kontext zuführt, die nächste Aktion anfordert, gegebenenfalls ein Tool ausführt, die Beobachtung anhängt und sich wiederholt. Außerdem benötigen Sie Tools mit festgelegten Eingabe-/Ausgabeformen und einer „Fertig“-Prüfung. Selbst eine selbstgeschriebene Schleife kann gut funktionieren, solange Sie den Zustand sauber halten und Schrittgrenzen einhalten.

Wie sollte ich den Toolaufruf so gestalten, dass er im Produktivbetrieb zuverlässig funktioniert?

Tools sollten spezialisiert, typisiert, mit Berechtigungen versehen und validiert sein – generische „Alles-können“-Tools sind zu vermeiden. Strenge Schemata (wie strukturierte Ausgaben/Funktionsaufrufe) sind vorzuziehen, damit der Agent Eingaben nicht einfach ignorieren kann. Auf der Tool-Ebene sollten Zulassungslisten, Ratenbegrenzungen und Benutzer-/Organisationsberechtigungsprüfungen implementiert werden. Tools sollten so konzipiert sein, dass sie nach Möglichkeit sicher wiederholt werden können, indem Idempotenzmuster verwendet werden.

Wie kann man am besten den Arbeitsspeicher erweitern, ohne den Agenten zu verschlechtern?

Unterteilen Sie das Gedächtnis in zwei Bereiche: den kurzfristigen Ausführungszustand (letzte Schritte, aktueller Plan, Einschränkungen) und den langfristigen Abruf (Präferenzen, stabile Regeln, relevante Dokumente). Halten Sie den kurzfristigen Zustand kompakt mit laufende Zusammenfassungen, nicht mit vollständigen Protokollen. Für den langfristigen Abruf ist der Zugriff (Einbettungen + Vektorspeicher/RAG-Muster) in der Regel effektiver als das „Einstopfen“ aller Informationen in den Kontext, was das Modell verwirren würde.

Welches Planungsmuster sollte ich verwenden: Checkliste, ReAct oder Vorgesetzter-Mitarbeiter-Planung?

Ein Checklistenplaner ist ideal, wenn Aufgaben vorhersehbar sind und man etwas Einfaches zum Testen benötigt. ReAct-ähnliche Schleifen sind besonders nützlich, wenn die Ergebnisse eines Tools die nächsten Schritte beeinflussen. Supervisor-Mitarbeiter-Muster (wie die Rollentrennung im AutoGen-Stil) sind hilfreich, wenn Aufgaben parallelisiert werden können oder von unterschiedlichen Rollen (Forscher, Programmierer, Qualitätssicherung) profitieren. Die Planung mit anschließender Umplanung ist ein praktischer Mittelweg, um hartnäckig schlechte Pläne zu vermeiden.

Wie sorge ich für die Sicherheit eines Agenten, wenn dieser reale Aktionen ausführen kann?

Verwenden Sie das Prinzip der minimalen Berechtigungen und beschränken Sie riskante Tools auf Genehmigungs- oder Testlaufmodi. Legen Sie Budgets und Obergrenzen fest: maximale Schritte, maximale Ausgaben und Limits für Toolaufrufe pro Minute. Schwärzen Sie sensible Daten vor der Protokollierung und trennen Sie Entwicklungs- und Produktionsumgebungen. Fordern Sie Unsicherheitskennzeichen oder klärende Fragen an, wenn Eingaben mehrdeutig sind, anstatt Beweise durch bloßes Vertrauen zu ersetzen.

Wie kann ich einen KI-Agenten testen und bewerten, damit er sich im Laufe der Zeit verbessert?

Erstellen Sie eine Szenario-Suite mit Standardfällen, Grenzfällen, Tool-Fehlern, mehrdeutigen Anfragen und Versuchen der Eingabeaufforderung (nach OWASP). Bewerten Sie Ergebnisse wie Aufgabenerfolg, Bearbeitungszeit, Fehlerbehebung nach Tool-Fehlern und unbewiesene Behauptungen. Führen Sie die Suite jedes Mal erneut aus, wenn Sie Tool-Schemas, Eingabeaufforderungen, Abrufmethoden oder Speicherformatierungen ändern. Wenn Sie die Suite nicht testen können, können Sie sie nicht zuverlässig ausliefern.

Wie kann ich einen Agenten einsetzen, ohne Latenz und Kosten in die Höhe zu treiben?

Ein gängiges Muster ist ein zustandsloser Controller mit externem Zustandsspeicher (DB/Redis), dahinterliegenden Tool-Services und umfassender Protokollierung/Überwachung (oft OpenTelemetry). Kosten lassen sich durch Abruf-Caching, kompakte Zustandszusammenfassungen, kleinere Modelle für Routing/Extraktion und die Beschränkung komplexer Berechnungen auf die schwierigsten Schritte kontrollieren. Verwenden Sie Warteschlangen für zeitaufwändige Aufgaben, um offene Webanfragen zu vermeiden. Integrieren Sie stets einen Not-Aus-Schalter.

Referenzen

1. Nationales Institut für Standards und Technologie (NIST) – NIST AI RMF 1.0 (Vertrauenswürdigkeit und Transparenz) – nvlpubs.nist.gov

2. OpenAI – Strukturierte Ausgaben – platform.openai.com

3. OpenAI – Leitfaden zum Funktionsaufruf – platform.openai.com

4. OpenAI – Leitfaden zu Ratenbegrenzungen – platform.openai.com

5. OpenAI – Führt API aus – platform.openai.com

6. OpenAI – Aufruf von Assistentenfunktionen – platform.openai.com

7. LangChain – Agentendokumentation (JavaScript) – docs.langchain.com

8. LangChain – Dokumentation der Tools (Python) – docs.langchain.com

9. LangChain – Speicherübersicht – docs.langchain.com

10. arXiv – ReAct-Paper (Grund + Handlung) – arxiv.org

11. arXiv – RAG-Paper – arxiv.org

12. AWS-Entwicklerbibliothek – Timeouts, Wiederholungsversuche und Backoff mit Jitter – aws.amazon.com

13. OpenTelemetry – Einführung in die Beobachtbarkeit – opentelemetry.io

14. Stripe – Idempotente Anfragen – docs.stripe.com

15. Google Cloud – Wiederholungsstrategie (Backoff + Jitter) – docs.cloud.google.com

16. OWASP – Top 10 für große Sprachmodellanwendungen – owasp.org

17. OWASP - LLM01 Prompt Injection - genai.owasp.org

18. LlamaIndex – Einführung in RAG – developers.llamaindex.ai

19. Microsoft – Semantischer Kernel – learn.microsoft.com

20. Microsoft AutoGen – Multiagenten-Framework (Dokumentation) – microsoft.github.io

21. CrewAI – Agentenkonzepte – docs.crewai.com

22. Haystack (Deepset) – Dokumentation der Retriever – docs.haystack.deepset.ai

Entdecken Sie die neuesten KI-Lösungen im offiziellen KI-Assistenten-Shop

Über uns