Die Agentenschnittstelle ist der Agentenrahmen
OpenAI beschreibt Codex als cloudbasierten Software-Engineering-Agenten, der Dateien lesen, Dateien bearbeiten und Tests in einer isolierten Umgebung ausführen kann; Anthropic dokumentiert Hooks, die Tool-Aufrufe vor der Ausführung prüfen und ablehnen können.43 Das sind keine Nebendetails. Sie sind das Produkt.
Das Eingabefeld zieht die Aufmerksamkeit auf sich, weil es sich wie die Schnittstelle anfühlt. Die eigentliche Agentenschnittstelle liegt um dieses Feld herum: Tool-Zugriff, Berechtigungsregeln, geladener Speicher, Erfassung von Ablaufprotokollen, Nachweispflichten, Wiederherstellungskontrollen und Freigabeschwellen. Diese Ebene bestimmt, wie sich der Agent verhält, nachdem der Benutzer aufgehört hat zu tippen.
Ein Agentenprodukt wird nicht vertrauenswürdig, weil sein Platzhaltertext besser ist. Es wird vertrauenswürdig, wenn die Oberfläche rund um das Modell aus Absicht geregelte Arbeit macht.
Kurzfassung
Die Agentenschnittstelle ist die Betriebsebene. Chat kann Absicht aufnehmen, doch die umgebende Oberfläche entscheidet, was der Agent sehen darf, was er tun darf, was er belegen muss und wann ein Mensch eingreifen muss. Microsoft hat Mensch-KI-Interaktion als Verhalten über Zeit beschrieben, und NIST versteht Vertrauenswürdigkeit als etwas, das Teams in Design, Entwicklung, Nutzung und Bewertung einbauen.12
Damit darf Agenten-UX nicht bei Konversationsdesign stehen bleiben. Die Schnittstelle muss Autorität, Speicher, Tool-Grenzen, Nachweise und Urteilskraft kodieren. Trägt die Schnittstelle diese Begrenzungen nicht, improvisiert der Agent sie.
Agentisches Design ist Kontrollflächendesign benennt die sichtbare Oberfläche. Der folgende Rahmen benennt die Betriebsebene dahinter.
Zentrale Erkenntnisse
Für Produktteams: - Behandeln Sie das Eingabefeld als Aufnahmefläche, nicht als Betriebsfläche. - Entwerfen Sie Berechtigungs-, Ablaufprotokoll-, Speicher-, Nachweis- und Wiederherstellungspfade des Agenten, bevor Sie den Chat polieren.
Für Design Engineers: - Platzieren Sie Qualitätsregeln dort, wo der Agent handelt: vor Tool-Aufrufen, nach Bearbeitungen, vor der Freigabe und beim Abschluss. - Machen Sie unsichtbaren Zustand so weit prüfbar, dass ein Mensch für das Ergebnis verantwortlich bleiben kann.
Für Teams, die Agenten einführen: - Fragen Sie, ob die Schnittstelle zeigt, was der Agent gesehen, geändert, übersprungen und verifiziert hat. - Akzeptieren Sie flüssige Schlussprosa nicht als Beweis für geregelte Arbeit.
Die Schnittstelle entscheidet, was aus dem Agenten werden kann
Jede Agentenausführung beginnt mit einer Benutzerabsicht, doch Absicht allein bestimmt noch kein Verhalten.
Das Verhalten des Agenten hängt außerdem davon ab:
| Schnittstellenebene | Wirkung auf das Verhalten |
|---|---|
| Tools | Definiert, welche Aktionen der Agent ausführen kann |
| Berechtigungen | Definiert, wann der Agent anhalten oder fragen muss |
| Speicher | Definiert, welcher frühere Kontext die Ausführung prägt |
| Ablaufprotokoll | Definiert, was eine spätere Prüfung untersuchen kann |
| Nachweise | Definiert, was als erledigt zählt |
| Wiederherstellung | Definiert, wie Fehler umkehrbar bleiben |
| Urteilskraft | Definiert, was das System ablehnen sollte |
Diese Ebenen verändern die Arbeit ebenso stark wie das Modell. Dasselbe Modell verhält sich anders, wenn es Tests ausführen kann, wenn es nur Dateien bearbeiten darf, wenn es eine Freigabeschwelle sieht, wenn es Quellen zitieren muss oder wenn eine Stoppschwelle einen verfrühten Abschluss blockiert.
Ein Produktteam, das diese Ebenen als „Einstellungen” behandelt, missversteht das Medium. Einstellungen stehen außerhalb der Arbeit. Agentenschnittstellenebenen werden zur Form der Arbeit.
Microsofts Richtlinien zur Mensch-KI-Interaktion formulieren einen älteren, hilfreichen Punkt: KI-Systeme müssen Status kommunizieren, Korrekturen unterstützen und über den Interaktionsverlauf hinweg auf Fehler reagieren.1 Agenten verschärfen diese Anforderung, weil das System zwischen Benutzerbeiträgen handeln kann. Die Schnittstelle kann nicht mehr nur sagen: „Das Modell hat geantwortet.” Sie muss sagen: „Das System hat unter diesen Bedingungen gehandelt.”
Tool-Zugriff ist Schnittstellendesign
Tool-Zugriff wirkt technisch. Er ist auch UX.
Ein Agent, der nur aus dem Speicher antworten kann, hat eine bestimmte Art von Schnittstelle. Ein Agent, der Dateien durchsuchen kann, hat eine andere. Ein Agent, der Shell-Befehle ausführen, Code bearbeiten, Browser öffnen, APIs aufrufen und Software bereitstellen kann, braucht einen anderen Vertrag mit dem Benutzer.
Das Model Context Protocol beschreibt ein verbreitetes Muster: KI-Anwendungen verbinden sich mit externen Systemen wie lokalen Dateien, Datenbanken, Tools und Arbeitsabläufen.5 Diese Verbindung erweitert die Möglichkeiten, doch Möglichkeiten allein sind noch keine Qualität. Jedes neue Tool wirft eine Frage auf, die die Schnittstelle beantworten muss:
| Tool-Frage | Anforderung an die Schnittstelle |
|---|---|
| Was darf der Agent berühren? | Umfang und Berechtigungsgrenze |
| Was hat der Agent gesendet? | Prüffähige Tool-Nutzlast |
| Was kam zurück? | Ausgabe-, Fehler- und Seiteneffektprotokoll |
| Was hat sich geändert? | Diff, Artefakt oder Zustandszusammenfassung |
| Wer hat es genehmigt? | Berechtigungsprotokoll |
| Lässt es sich rückgängig machen? | Wiederherstellungspfad |
Eine in der Konfiguration vergrabene Tool-Liste kann diese Last nicht tragen. Der Benutzer braucht eine Oberfläche, die Tool-Autorität während der Arbeit lesbar macht.
Der PreToolUse-Hook von Claude Code zeigt den Grundbaustein. Ein Hook kann vor der Ausführung den Tool-Namen und die Eingabe erhalten und den Aufruf anschließend erlauben, ablehnen, zur Rückfrage stellen, zurückstellen oder verändern.3 Dieser Mechanismus gehört in das mentale Modell des Agentenschnittstellendesigns. Die Schnittstelle sollte denselben Entscheidungspunkt auf der richtigen Abstraktionsebene für den Benutzer sichtbar machen.
Risikoarme Lesevorgänge können still passieren. Destruktive Shell-Befehle brauchen stärkere Reibung. Öffentliche Releases brauchen eine letzte Schwelle. Änderungen mit Kundenauswirkung brauchen Prüfung. Die richtige Schnittstelle lässt den Benutzer nicht alles absegnen. Sie gibt jeder Aktion genau den Grad an Förmlichkeit, den sie verdient.
Speicher ist Teil des Produkts
Speicher kommt oft als Infrastruktur in Agentenprodukte: Kontextfenster, Dateien, Zusammenfassungen, Vector Stores, Caches, Projektanweisungen und Retrieval-Systeme. Der Benutzer erlebt diese Systeme als Produktverhalten.
Wenn ein Agent den Designstandard behält, fühlt sich das Produkt kohärent an. Wenn ein Agent eine Einschränkung von vor 40 Minuten vergisst, wirkt das Produkt nachlässig. Wenn ein Agent veraltete Vorgaben abruft, fühlt sich das Produkt von einer alten Entscheidung verfolgt.
Speicher braucht eine Schnittstelle, weil Speicher Verantwortung verändert. Was der Benutzer nicht prüfen kann, kann der Benutzer nicht beaufsichtigen.
Die Schnittstelle sollte mindestens vier Speicherzustände unterscheiden:
| Speicherzustand | Bedeutung für Benutzer |
|---|---|
| Aktiv | Der Agent kann ihn jetzt verwenden |
| Verfügbar | Der Agent kann ihn bei Bedarf abrufen |
| Komprimiert | Das System hat ihn zusammengefasst und möglicherweise Details verloren |
| Veraltet | Das System hat einen Eintrag, doch das Vertrauen sollte sinken |
Ohne diese Unterscheidung muss der Benutzer die Speicherqualität aus dem Agentenverhalten ableiten. Das ist verkehrt herum. Die Schnittstelle sollte genug Speicherzustand zeigen, damit der Benutzer eingreifen kann, bevor der Agent auf einer falschen Prämisse aufbaut.
Dasselbe gilt für persönliche oder teambezogene Arbeitsphilosophie. Eine Qualitätsdoktrin, die in einem Prompt versteckt ist, überlebt eine lange Ausführung vielleicht, vielleicht auch nicht. Eine Doktrin, die in Skills, Hooks, Vorlagen, Prüfungen und Abschlussschwellen kodiert ist, hat mehr Oberfläche. Das Modell kann weiterhin etwas übersehen. Die Betriebsebene kann mehr Fehler abfangen, weil die Regel dort lebt, wo die Arbeit passiert.
Nachweise machen aus Ausgabe Arbeit
Die Schlussantwort ist die schwächste Beweiseinheit in einer Agentenausführung.
Eine Schlussantwort kann behaupten, Tests hätten bestanden, obwohl kein Test gelaufen ist. Sie kann sagen, Zitate seien geprüft worden, obwohl die Quelle die Behauptung nicht stützt. Sie kann behaupten, die Bereitstellung sei gelungen, während die öffentliche Route wegen eines Caches 404 zurückgibt. Flüssige Prosa kann Scheitern verdecken.
Nachweise müssen zur Oberfläche werden. Der Benutzer sollte die Behauptung, die Stütze und die Lücke sehen:
| Behauptungstyp | Erforderlicher Nachweis |
|---|---|
| Code geändert | Dateipfade und Diffs |
| Tests bestanden | Befehl, Exit-Status und relevante Ausgabe |
| Inhalt ist korrekt | Quellenlinks und Abgleich zwischen Behauptung und Quelle |
| SEO-Pfad funktioniert | Gerenderte Metadaten, Schema und Discovery-Dateien |
| Release erfolgreich | Live-Routenstatus und Cache-Zustand |
| Übersetzung ist bereit | Lokale Schwelle, D1-Zeilen, Live-Seiten und Prüfstatus |
Diese Nachweisoberfläche verändert das Agentenverhalten. Wenn das System weiß, dass der Abschluss Nachweise verlangt, sucht der Agent während der Aufgabe nach Belegen, statt am Ende eine selbstsichere Zusammenfassung zu schreiben.
Die Nachweisschwelle existiert aus diesem Grund. Sie zwingt den Agenten, Behauptungen mit beobachtetem Verhalten zu verbinden. Agentenausführungsprotokolle sind der Vertrag der Ausführungsumgebung führt dasselbe Argument tiefer: Das Ablaufprotokoll enthält mehr Wahrheit als die Schlussantwort, weil es den Weg bewahrt.
NISTs AI Risk Management Framework ist hier wichtig, weil Vertrauenswürdigkeit in Design, Entwicklung, Nutzung und Bewertung eingeht, nicht nur in die Modellauswahl.2 Nachweise sind der Ort, an dem diese Phasen auf dem Bildschirm des Benutzers ankommen.
Wiederherstellung gehört in den Hauptablauf
Agentenschnittstellen behandeln Fehler oft als Ausnahme. Agentenarbeit macht Fehler zum Normalfall.
Eine Suchanfrage findet nichts. Ein Test schlägt fehl. Eine Berechtigungsschwelle blockiert. Eine Übersetzungsprüfung findet eine Formatabweichung. Eine Bereitstellung gelingt, aber ein CDN liefert veraltetes HTML. Eine gute Schnittstelle gerät bei solchen Zuständen nicht in Panik. Sie macht Wiederherstellung offensichtlich.
Wiederherstellung braucht fünf Steuerungen:
| Steuerung | Zweck |
|---|---|
| Pausieren | Bewegung stoppen, ohne Zustand zu verlieren |
| Fortsetzen | Nach Prüfung oder externer Korrektur weitermachen |
| Erneut versuchen | Einen fehlgeschlagenen Schritt mit veränderten Eingaben wiederholen |
| Verzweigen | Einen alternativen Pfad erkunden, ohne den ersten zu überschreiben |
| Zurückrollen | Umkehrbare Arbeit rückgängig machen oder unumkehrbare Arbeit zur Reparatur markieren |
Der Wiederherstellungspfad sollte nahe bei Ablaufprotokoll- und Nachweisoberflächen liegen. Der Benutzer sollte keinen fehlgeschlagenen Befehl aus einem Transkript kopieren, das Arbeitsverzeichnis erraten und den Zustand des Agenten manuell rekonstruieren müssen. Die Schnittstelle kennt den fehlgeschlagenen Schritt bereits. Sie sollte die nächste verantwortbare Aktion anbieten.
Dieses Prinzip gilt auch für Inhaltsarbeit. Wenn eine Qualitätsprüfung für Übersetzungen scheitert, sollte die Schnittstelle die betroffene Sprache, das fehlerhafte Segment, den Grund und den Reparaturpfad zeigen. Wenn eine öffentliche Seite die Live-Verifikation nicht besteht, sollte die Schnittstelle zeigen, ob die App gescheitert ist, die Datenbank gescheitert ist oder der Edge-Cache veraltete Ausgabe geliefert hat. Der Agent sollte ein Release erst dann als erledigt bezeichnen, wenn der für Benutzer sichtbare Pfad funktioniert.
Urteilskraft ist kein Prompt
KI-Coding macht Implementierung billiger. Billigere Implementierung erhöht den Wert von Urteilskraft.
Die wichtige Frage verschiebt sich von „Kann der Agent etwas bauen?” zu „Sollte diese Version existieren?” Diese Frage gehört genauso in die Schnittstelle wie in die menschliche Prüfung.
Urteilskraft zeigt sich als Beschränkung:
- den unnötigen Schritt entfernen;
- den cleveren Weg ablehnen, der das Produkt schwächt;
- Konsistenz über Artefakte hinweg bewahren;
- den öffentlichen Pfad verifizieren, statt lokalen Erfolg zu feiern;
- private Mechanik aus öffentlichem Text heraushalten;
- die kleinere, schärfere Lösung der geschäftigeren vorziehen.
Ein Agent kann diese Werte als Prosa erhalten. Prosa hilft. Prosa allein garantiert kein Verhalten. Die Werte brauchen operative Formen: einen Blog-Skill, der träge Formulierungen blockiert, eine Zitatprüfung, die unbelegte Behauptungen ablehnt, eine Release-Prüfung, die Live-Seiten kontrolliert, eine Stoppschwelle, die Abschlüsse ohne Nachweise zurückweist, und Designregeln, die visuelles Abdriften verhindern.
Die Schnittstelle ist der Ort, an dem Urteilskraft prüfbar wird. Der Benutzer sieht, was das System abgelehnt, was es vereinfacht, was es verifiziert und was es unbelegt gelassen hat. Dieses Protokoll zählt, weil Agentenausgabe nur billiger werden wird. Knapp bleibt der Standard, der entscheidet, was bestehen darf.
Eine praktische Karte für Agentenschnittstellen
Teams können mit einer einfachen Karte beginnen. Kein futuristisches Dashboard erforderlich.
| Oberfläche | Minimal brauchbare Version |
|---|---|
| Absichtsaufnahme | Prompt, Aufgabentyp, Repo- oder Workspace-Umfang |
| Plan | Annahmen, vorgesehene Tools, Akzeptanzkriterien |
| Berechtigung | Nach Risiko gestaffelte Warteschlange mit vollständigen Nutzlasten |
| Speicher | Aktive Anweisungen, geladene Dateien, Warnungen zu veralteten Informationen |
| Ablaufprotokoll | Zeitachse von Tool-Aufrufen, Ausgaben und Seiteneffekten |
| Nachweise | Behauptungen, zugeordnet zu Befehlen, Dateien, Quellen oder Lücken |
| Wiederherstellung | Pausieren, erneut versuchen, verzweigen, zurückrollen, abbrechen |
| Release | Für Benutzer sichtbare Route, Schema, Discovery, Übersetzung, Cache |
| Urteilskraft | Ablehnungen, Vereinfachungen, Standards und abschließende Qualitätsentscheidung |
Die Karte funktioniert, weil jede Oberfläche eine Verantwortung des Benutzers beantwortet. Der Benutzer braucht nicht jedes Rohereignis. Er braucht genug Sichtbarkeit und Kontrolle, um für das Ergebnis rechenschaftspflichtig zu bleiben.
Diese Unterscheidung verhindert zwei verbreitete Fehler. Der eine versteckt alles hinter Chat und nennt das Ergebnis Magie. Der andere legt jedes interne Ereignis offen und nennt das Ergebnis transparent. Starkes Agentenschnittstellendesign tut keines von beidem. Es gibt dem Bediener im richtigen Moment die richtige Kontrolle.
Kurze Zusammenfassung
Die Agentenschnittstelle ist die Betriebsebene. Der Prompt sammelt Absicht, doch Tools, Berechtigungen, Speicher, Ablaufprotokolle, Nachweise, Wiederherstellung und Urteilskraft bestimmen, was tatsächlich passiert. OpenAIs Codex und die Hooks von Claude Code zeigen die Richtung: Agentenprodukte enthalten bereits Ausführungsumgebungen, Tool-Aufrufe und Entscheidungspunkte für Regeln.43 MCP erweitert die Verbindung zwischen Agenten und externen Systemen.5 NIST und Microsoft liefern den älteren Rahmen für Vertrauen und Mensch-KI-Design.21
Die Produktfrage lautet nicht mehr, ob der Agent antworten kann. Die Produktfrage lautet, ob die umgebende Oberfläche autonome Arbeit so gut steuert, dass ein Mensch dem Ergebnis vertrauen, es prüfen, unterbrechen, reparieren und freigeben kann.
FAQ
Was bedeutet „die Schnittstelle ist der Agentenrahmen”?
Der Ausdruck bedeutet, dass die Schnittstelle mehr tut, als Agentenausgabe anzuzeigen. Sie definiert die Betriebsebene rund um das Modell: Tools, Berechtigungen, Speicher, Ablaufprotokolle, Nachweise, Wiederherstellung und Standards. Diese Teile formen das Verhalten, bevor die Schlussantwort erscheint.
Kann eine Chat-Schnittstelle für Agenten weiterhin funktionieren?
Chat kann als Aufnahmefläche und schlanke Prüfspur funktionieren. Chat scheitert, wenn er zur einzigen Betriebsfläche wird. Agentenarbeit braucht wahlfreien Zugriff, Berechtigungsprüfung, Prüfung des Ablaufprotokolls, Speichersichtbarkeit und Wiederherstellungskontrollen.
Worin unterscheidet sich das von Prompt Engineering?
Prompt Engineering formt Anweisungen. Schnittstellendesign formt Autorität, Zustand und Rechenschaft. Ein Prompt kann einen Agenten anweisen, Arbeit zu verifizieren. Eine Release-Oberfläche kann Live-Routennachweise verlangen, bevor die Aufgabe geschlossen werden darf.
Was sollte ein Team zuerst bauen?
Bauen Sie zuerst die Ablaufprotokoll- und Nachweisoberflächen. Das Ablaufprotokoll zeigt, was passiert ist. Die Nachweisoberfläche zeigt, was das Ergebnis belegt. Berechtigungen, Wiederherstellung und Speicher lassen sich leichter entwerfen, sobald das Team den Arbeitsweg prüfen kann.
Quellen
-
Saleema Amershi et al., “Guidelines for Human-AI Interaction,” Microsoft Research, CHI 2019. Primärquelle für 18 Richtlinien zur Mensch-KI-Interaktion, validiert mit 49 Designpraktikern. ↩↩↩
-
National Institute of Standards and Technology, “AI Risk Management Framework,” NIST. Quelle für den freiwilligen Risikomanagementzweck des Frameworks und seinen Rahmen aus Design, Entwicklung, Nutzung und Bewertung. ↩↩↩
-
Anthropic, “Hooks reference,” Claude Code Docs. Quelle für Hook-Ereignisse,
PreToolUse-Eingabefelder und Entscheidungssteuerung, die Tool-Aufrufe vor der Ausführung erlauben, ablehnen, zur Rückfrage stellen, zurückstellen oder verändern kann. ↩↩↩ -
OpenAI, “Introducing Codex,” OpenAI, Mai 2025. Quelle für Codex als cloudbasierten Software-Engineering-Agenten, seine unabhängigen Aufgaben in einer Sandbox und seine Fähigkeit, Dateien zu lesen, Dateien zu bearbeiten und Befehle auszuführen. ↩↩
-
Model Context Protocol, “What is the Model Context Protocol?” Quelle für MCP als offenen Standard, der KI-Anwendungen mit externen Systemen wie Datenquellen, Tools und Arbeitsabläufen verbindet. ↩↩