← Alle Beitrage

Genehmigungsabfragen für KI-Agenten sind keine Autorisierung

10 Min. Lesezeit

OpenAIs Agents SDK behandelt menschliche Freigaben inzwischen als Zustand der Ausführungsumgebung: Ein sensibler Tool-Aufruf kann die Ausführung pausieren, eine Unterbrechung anzeigen, die Entscheidung in RunState speichern und denselben Lauf nach Genehmigung oder Ablehnung fortsetzen.1

An dieser Produktform stimmt etwas Wesentliches. Genehmigung gehört in die Ausführungsumgebung, nicht nur in ein Chatprotokoll.

Die schwierigere Frage folgt sofort: Was hat der Mensch tatsächlich autorisiert?

Eine Genehmigungsabfrage wie „Shell-Befehl erlauben?“ oder „Tool-Aufruf genehmigen?“ verlangt vom Benutzer, einem Moment zu vertrauen. Ein echter Autorisierungsnachweis grenzt eine Handlung ein, benennt das Risiko, erfasst Belege, läuft ab und erzeugt eine überprüfbare Spur. KI-Agenten brauchen diese zweite Form, weil sie über mehrere Schritte hinweg planen, verschachtelte Tools aufrufen, nach einer Ablehnung erneut ansetzen und überzeugende Erklärungen in Entscheidungen tragen, bei denen sich ein Mensch gedrängt fühlen kann, auf Ja zu klicken.

Kurzfassung

Genehmigungsabfragen für KI-Agenten sind keine Autorisierung. Eine Abfrage kann Arbeit anhalten, doch Autorisierung muss festlegen, wer Befugnis erteilt, welcher Agent sie erhält, welches Tool laufen darf, welche Ressource es berühren kann, welche Risikostufe gilt, wie lange die Freigabe gültig bleibt, welche Belege die Entscheidung stützten und wie der Betreiber sie widerrufen kann. Teams sollten Genehmigungen als begrenzte Befugnisobjekte gestalten, nicht als Chatunterbrechungen. Die richtige Frage lautet nicht: „Hat jemand auf Genehmigen geklickt?“ Die richtige Frage lautet: „Welche konkrete Handlung hat eine verantwortliche Person unter welchen Einschränkungen autorisiert?“

Wichtigste Erkenntnisse

Für Produktteams: - Stellen Sie Genehmigungen als typisiertes Entscheidungsobjekt dar: Handlung, Ressource, Risiko, Belege, Ablauf und Rücknahme. - Trennen Sie risikoarme Bestätigung von risikoreicher Autorisierung.

Für Sicherheitsteams: - Behandeln Sie wiederholte Genehmigungsabfragen als Angriffsfläche, nicht nur als UX-Problem. - Protokollieren Sie jede Erlaubnis, Ablehnung, automatische Erlaubnis, automatische Ablehnung, jeden Ablauf und jeden Widerruf.

Für Agentenentwickler: - Pausieren Sie vor unumkehrbaren Handlungen, nicht erst, nachdem der Agent das Ergebnis bereits geprägt hat. - Geben Sie eine Ablehnung als eingeschränkte Anweisung an das Modell zurück, nicht als vagen Fehler.

Für Betreiber: - Genehmigen Sie niemals einen Tool-Aufruf, dessen Zielressource, Befugnisumfang und Rücknahmepfad Sie nicht sehen können. - Bevorzugen Sie kurzlebige, begrenzte Freigaben gegenüber der Gewohnheit, „immer genehmigen“ zu wählen.

Warum scheitern Genehmigungsabfragen?

Genehmigungsabfragen scheitern, wenn sie eine kontextreiche Entscheidung auf einen kontextarmen Klick reduzieren.

Ein Agent hat mehr Kontext, als die Abfrage zeigt. Er kann Dateien gelesen, einen Thread zusammengefasst, eine Abfolge geplant, ein Tool ausgewählt, Argumente ausgefüllt und den Zeitpunkt gewählt haben. Die Genehmigungsabfrage zeigt oft nur den letzten Schritt. Der Benutzer sieht einen Befehl, einen API-Aufruf, eine Browseraktion oder einen Satz desselben Agenten, der um Erlaubnis bittet.

Diese Oberfläche erzeugt vier Fehler:

Fehler Was passiert
Umfangsverlust Der Benutzer sieht einen Tool-Namen, aber nicht die Ressource, den Mandanten, die Datei, das Konto oder den möglichen Schadenumfang.
Belegverlust Der Benutzer sieht die angeforderte Handlung, aber nicht den Nachweis, der sie plausibel macht.
Ermüdung Der Benutzer genehmigt wiederholte Abfragen, weil Ablehnung den Lauf verlangsamt.
Überredung Der Agent verpackt riskante Handlungen in selbstbewusste, geschliffene Sprache.

OWASPs Agentic Top 10 benennt das Überredungsproblem direkt. Der Veröffentlichungstext sagt, dass selbstbewusste Erklärungen menschliche Betreiber unter ASI09, Human-Agent Trust Exploitation, dazu verleiten können, schädliche Handlungen zu genehmigen.2 Dafür braucht es kein bösartiges Modell. Auch ein hilfreicher Agent kann einen schwachen Plan überverkaufen, Unsicherheit kleinreden oder einen riskanten Tool-Aufruf in einer Folge harmloser Schritte verstecken.

Genehmigung braucht deshalb eine bessere Form. Eine Person sollte einen Handlungsnachweis genehmigen, keine Sprechblase mit einer Bitte.

Was sollte eine Genehmigung autorisieren?

Eine ernstzunehmende Genehmigung sollte eine konkrete Handlung unter begrenzten Bedingungen autorisieren.

Der Fachartikel „Authenticated Delegation and Authorized AI Agents“ beschreibt das breitere Problem als delegierte Befugnis: Benutzer brauchen eine Möglichkeit, Agentenberechtigungen einzuschränken und klare Verantwortlichkeitsketten zu erhalten, gestützt durch agentenspezifische Zugangsdaten, Metadaten und überprüfbare Zugriffskontrollkonfigurationen.3

Diese Perspektive lässt sich sauber in Produktdesign übersetzen. Eine Genehmigung sollte Folgendes enthalten:

Feld Warum es wichtig ist
Akteur Welches Konto, welcher Lauf, welcher Agent und welcher Betreiber verantwortet die Anfrage?
Tool Welches Tool, welcher Connector, welcher MCP-Server, welcher Shell-Befehl oder welche Browseraktion wird ausgeführt?
Handlung Liest, entwirft, schreibt, löscht, veröffentlicht, exportiert, bezahlt, stellt bereit oder administriert der Aufruf?
Ressource Welche Datei, welcher Datensatz, welcher Mandant, welches Repo, welches Konto, welche Umgebung, welcher Kunde oder welche URL wird berührt?
Belege Welche Tests, Diffs, Quellenprüfungen, Vorschauen oder Richtlinienprüfungen rechtfertigen die Handlung?
Risikostufe Niedrig, mittel, hoch oder blockiert, abhängig von Daten, Geld, Sicherheit, öffentlicher Oberfläche und Umkehrbarkeit.
Dauer Ein Aufruf, ein Lauf, eine Aufgabe, eine Stunde oder bis zum manuellen Widerruf.
Rücknahme Wie kann der Betreiber die Handlung rückgängig machen oder eindämmen?
Prüfverweis Wo kann ein Prüfer die Entscheidung später nachvollziehen?

Ohne diese Felder wird Genehmigung zu Bauchgefühl mit Schaltfläche. Ein Modell kann höflich fragen. Ein Mensch kann schnell klicken. Keines von beiden beweist, dass die Handlung berechtigt war.

Wie sollte Genehmigungszustand funktionieren?

Genehmigungszustand sollte die Pause überstehen, aber eng begrenzt bleiben.

Die Dokumentation von OpenAIs Agents SDK beschreibt ein nützliches Muster für die Ausführungsumgebung. Tools können needs_approval deklarieren; der Runner wertet die Genehmigungsregel vor der Ausführung aus; offene Genehmigungen erscheinen als Unterbrechungen; Entwickler können jedes ausstehende Element genehmigen oder ablehnen; und der Lauf wird aus RunState fortgesetzt.1 Die Dokumentation beschreibt außerdem dauerhafte Entscheidungen wie always_approve und always_reject für spätere Aufrufe im selben Lauf.1

Die Zustandsmaschine ist wichtig, weil ein pausierter Agentenlauf nicht aus dem Gedächtnis neu starten, Absicht rekonstruieren oder den Genehmigungskontext verlieren sollte. Er sollte an der unterbrochenen Stelle mit angehängter Entscheidung weiterlaufen.

Die Option für dauerhafte Entscheidungen erzeugt die nächste Gestaltungsanforderung: Jede dauerhafte Genehmigung braucht Umfang und Ablauf.

Dauerhafte Entscheidung Sicherere Grenze
read_file immer genehmigen Lesezugriffe unterhalb des Projektstamms für den aktuellen Lauf genehmigen.
shell immer genehmigen Niemals eine ganze Shell genehmigen. Genehmigen Sie eine Befehlsfamilie, einen Pfad und ein Argumentmuster.
send_email immer genehmigen Nur Entwürfe genehmigen; vor dem Senden pro Empfänger eine Freigabe verlangen.
deploy immer genehmigen Dauerhafte Deployment-Genehmigung vermeiden. Für jede Bereitstellung Release-Belege verlangen.
delete immer ablehnen Löschen standardmäßig ablehnen, mit separatem Wiederherstellungsablauf für absichtliche Bereinigung.

Dauerhafte Genehmigung kann Ermüdung reduzieren. Zu breit gefasste dauerhafte Genehmigung kann einen müden Klick in den gesamten Schadenumfang eines Laufs verwandeln.

Wo sollte Genehmigung in der Ausführungsumgebung liegen?

Genehmigung sollte vor dem Commit-Punkt liegen.

Ein Commit-Punkt ist der Moment, in dem ein Agent von umkehrbarer Arbeit zu einer Nebenwirkung wechselt: eine Produktionsressource ändern, eine Nachricht senden, Geld ausgeben, Inhalte veröffentlichen, Daten löschen, einen Schlüssel rotieren, Berechtigungen ändern oder Code bereitstellen. Menschliche Genehmigung nach dem Commit-Punkt ist Vorfallsreaktion, keine Autorisierung.

Die Literatur zur menschlichen Aufsicht stützt diese Unterscheidung. Ein Fachartikel in AI and Ethics aus dem Jahr 2026 trennt operative Handlungsmacht, bei der die KI etwas erzeugt oder handelt, von evaluativer Handlungsmacht, bei der der Mensch bewerten, widersprechen und übersteuern kann.4 Wirksame Aufsicht kann nicht davon abhängen, dass eine Person jedes Token beobachtet. Die Oberfläche muss menschliches Urteilsvermögen für Punkte reservieren, an denen dieses Urteil das Ergebnis noch ändern kann.

Daraus ergibt sich für Agentenprodukte eine einfache Regel:

Phase der Ausführungsumgebung Genehmigungsmuster
Umkehrbare Erkundung Lassen Sie den Agenten innerhalb der Richtlinie arbeiten. Protokollieren Sie Handlungen.
Entwurf Lassen Sie den Agenten Artefakte vorbereiten. Zeigen Sie Vorschauen und Belege.
Risikoklassifizierung Berechnen Sie das Risiko, bevor Sie den Benutzer fragen.
Commit-Punkt Pausieren Sie für menschliche Autorisierung, wenn die Richtlinie sie verlangt.
Nach der Ausführung Erfassen Sie Ergebnis, Nachweis und Rücknahmestatus.

Eine Abfrage, die erscheint, nachdem der Agent den riskanten Teil bereits ausgeführt hat, erzeugt nur Theater. Die Person kann keine evaluative Handlungsmacht ausüben, wenn das System die Befugnis bereits verbraucht hat.

Wie verhindern Sie Genehmigungsermüdung?

Genehmigungsermüdung ist ein Sicherheitsfehler, weil Ermüdung die Entscheidung verändert.

Wenn ein Lauf 40 Genehmigungen anfordert, ist das Produkt wahrscheinlich schon gescheitert, bevor der Benutzer klickt. Der Betreiber beurteilt nicht mehr jedes Element, sondern verwaltet Ärger. Angreifer können dieses Muster ausnutzen, indem sie wiederholte Anfragen erzeugen, riskante Handlungen in Stapeln verstecken oder Sprache verwenden, die einen gefährlichen Aufruf routinemäßig wirken lässt.

OWASPs Agentic Top 10 behandelt Human-Agent Trust Exploitation als eigene Risikokategorie.2 Agentensicherheitsforschung kommt von der Systemseite zur gleichen Form. Eine Systematisierung der Sicherheit agentischer KI vom März 2026 kartiert Vertrauensgrenzen über Prompt Injection, RAG-Vergiftung, Tool- und Plugin-Exploits sowie Bedrohungen durch mehrere Agenten hinweg; sie fordert außerdem Überwachung der Ausführungsumgebung und Kontrollen für Vorfallsreaktion.5 Ein Fachartikel vom Mai 2026 zu sicherheitsprüfbaren Agenten argumentiert, dass statische Stücklisten und Laufzeitprotokolle fragmentierte Belege liefern, solange das System Fähigkeiten, Gedächtnis, Ziele, Denkverläufe und Handlungen nicht zu abfragbaren Prüfpfaden verbinden kann.6

Genehmigungsdesign sollte Ermüdung reduzieren, indem es geringwertige Abfragen entfernt und hochwertige Abfragen verbessert:

Muster Besseres Design
Jeden Tool-Aufruf abfragen Risiko klassifizieren und risikoarme Lesezugriffe innerhalb des Umfangs automatisch erlauben.
Eine beängstigende Shell-Abfrage Befehl, Pfad, Operation, Netzwerknutzung und destruktive Flags parsen.
Nur „einmal erlauben“ Begrenzte Freigabe anbieten: Tool-Familie, Ressource, Dauer und Limit.
„Immer genehmigen“ Auf den Lauf begrenzte Genehmigung mit sichtbarem Ablauf und Widerrufskontrolle anbieten.
Lange natürlichsprachliche Begründung Behauptung, Belege, Risiko, Rücknahme und exakte Argumente zeigen.
Ablehnung als Fehler Ablehnung den Agenten auf eine sichere Alternative umlenken lassen.

Das Ziel sind nicht weniger Kontrollen. Das Ziel sind weniger bedeutungslose Kontrollen.

Was sollte die Genehmigungs-UI zeigen?

Die Genehmigungs-UI sollte die Entscheidung zeigen, nicht die Persönlichkeit des Agenten.

Beginnen Sie mit einer kompakten Entscheidungskarte:

Feld Beispiel
Handlung Blog-Übersetzungszeilen in D1 veröffentlichen
Akteur Blog-Release-Agent, Lauf release-1427, Betreiber Blake
Tool D1-Upload-Pfad blog_translate_batch.py
Umfang Slug ai-agent-approval-prompts-not-authorization, Sprachversionen ja, ko, zh-Hans, zh-Hant, de, fr, es, pl, pt-BR
Belege Lokale Prüfung 9/9 bestanden; Paritätsprüfung bestanden; Secret-Scan ohne Treffer
Risiko Öffentliche Inhalte, umkehrbar durch Purge plus D1-Rollback
Ablauf Ein Upload-Versuch
Entscheidung Genehmigen, ablehnen, Belege anfordern, Umfang aufteilen

Diese Karte hilft dem Benutzer, eine Frage zu beantworten: Passt die angeforderte Handlung zu Belegen und Umfang?

Die Karte sollte die exakten Argumente nicht vergraben. Sie sollte Ablehnung nicht verstecken. Sie sollte nicht „Genehmigen“ als einzigen gestalteten Pfad darstellen, während „Ablehnen“ sich wie eine Ausnahme verhält. Eine gute Genehmigungsoberfläche behandelt Ablehnung als normales Steuersignal. Der Agent sollte eine präzise Nachricht erhalten: „Abgelehnt, weil die Quell-URLs nicht verifiziert wurden“ oder „Abgelehnt, weil der Befehl Dateien außerhalb des Release-Umfangs berührt.“

Was sollten Teams zuerst bauen?

Bauen Sie ein Genehmigungsjournal, bevor Sie eine hübschere Abfrage bauen.

Mindestfelder für das Journal:

  1. Lauf-ID.
  2. Agenten-ID.
  3. Betreiber-ID.
  4. Tool-Name.
  5. Tool-Argumente.
  6. Zielressource.
  7. Risikostufe.
  8. Auslösende Genehmigungsregel.
  9. Belegverweise.
  10. Entscheidung: genehmigt, abgelehnt, automatisch genehmigt, automatisch abgelehnt, abgelaufen oder widerrufen.
  11. Entscheidungszeitpunkt.
  12. Ablaufbedingung.
  13. Ergebnis nach der Ausführung.
  14. Rücknahme- oder Eindämmungsverweis.

Das Journal macht aus einer Genehmigung ein Verantwortlichkeitsprotokoll statt eines UI-Ereignisses. Außerdem können Teams später bessere Fragen stellen:

  • Welche Tools fragen zu oft nach Genehmigung?
  • Welche Betreiber genehmigen risikoreiche Handlungen am schnellsten?
  • Welche Genehmigungsregeln lösen Fehlalarme aus?
  • Für welche abgelehnten Handlungen wurden später sichere Alternativen gefunden?
  • Welche genehmigten Handlungen führten zu einem Rollback?
  • Welche dauerhaften Freigaben blieben zu lange aktiv?

Der Fachartikel vom Mai 2026 zur Betriebssystemsicherheit argumentiert, dass Agenten vor vertrauten OS-artigen Problemen stehen: Ressourcenisolierung, Privilegientrennung und vermittelte Kommunikation.7 Genehmigung gehört in dieselbe Familie. Die Ausführungsumgebung sollte Befugnis so vermitteln, wie ein Betriebssystem privilegierte Operationen vermittelt: eng begrenzt, konsistent und mit Protokollen, die länger leben als die Anfrage.

Kurz zusammengefasst

Genehmigungen für KI-Agenten müssen zu Autorisierungsobjekten werden. Eine Pause-und-Klick-Abfrage kann einen Tool-Aufruf stoppen, trägt aber allein keine Verantwortlichkeit. Nützliche Genehmigungssysteme definieren Akteur, Handlung, Ressource, Risiko, Belege, Dauer, Ablauf, Widerruf und Prüfung.

Die Produktlehre ist direkt: Machen Sie risikoarme Arbeit leise, machen Sie risikoreiche Arbeit explizit, und verlangen Sie von Menschen niemals, eine überzeugende Erklärung zu genehmigen, wenn das System stattdessen einen begrenzten Handlungsnachweis zeigen kann.

FAQ

Was ist der Unterschied zwischen Genehmigung und Autorisierung bei KI-Agenten?

Genehmigung ist ein menschliches Entscheidungsereignis. Autorisierung ist die begrenzte Befugnis, mit der ein Agent unter definierten Bedingungen eine konkrete Handlung ausführen darf. Starke Agentensysteme verbinden beides: Eine menschliche Genehmigung erzeugt einen engen Autorisierungsnachweis mit Feldern für Ressource, Risiko, Ablauf, Belege und Prüfung.

Sollte jeder Tool-Aufruf eines KI-Agenten genehmigt werden müssen?

Nein. Teams sollten Genehmigungen nach Risiko steuern. Risikoarme Lesezugriffe innerhalb eines bekannten Umfangs können still mit Protokollierung laufen. Handlungen mit mittlerem Risiko können zur Prüfung gebündelt werden. Risikoreiche Handlungen wie Nachrichten senden, veröffentlichen, löschen, Code bereitstellen, Geld ausgeben, exportieren oder Berechtigungen ändern sollten vor der Ausführung pausieren.

Sind dauerhafte Genehmigungen für KI-Agenten sicher?

Dauerhafte Genehmigungen können helfen, wenn der Umfang eng, kurzlebig und sichtbar bleibt. Eine auf den Lauf begrenzte Genehmigung für ein reines Lesetool kann sinnvoll sein. Eine breite dauerhafte Genehmigung für Shell-, Deployment-, Zahlungs-, E-Mail-Sende- oder Löschaktionen erzeugt aus einer einzigen Entscheidung zu viel Befugnis.

Was sollte eine Genehmigungsabfrage für KI-Agenten enthalten?

Eine Genehmigungsabfrage sollte Handlung, Ressource, Tool-Argumente, Akteur, Risikostufe, Belege, Ablauf, Rücknahmepfad und Prüfverweis enthalten. Außerdem sollte sie Entscheidungen wie Ablehnen, Belege anfordern und Umfang aufteilen anbieten, nicht nur Genehmigen.

Wie können Teams Genehmigungsermüdung in Agentenprodukten reduzieren?

Teams können Ermüdung reduzieren, indem sie risikoarme Handlungen innerhalb der Richtlinie automatisch erlauben, Entscheidungen mit mittlerem Risiko gruppieren, nur an Commit-Punkten unterbrechen, strukturierte Belege zeigen, Freigaben ablaufen lassen und Ablehnung als normalen Steuerpfad protokollieren. Bessere Genehmigungen stellen weniger vage und mehr präzise Fragen.

Referenzen

  1. OpenAI, “Human-in-the-loop,” Dokumentation des OpenAI Agents SDK, abgerufen am 18. Mai 2026. Quelle für needs_approval, Unterbrechungen durch ausstehende Genehmigungen, RunState, Behandlung von Genehmigung und Ablehnung, dauerhafte Genehmigungsentscheidungen, Genehmigungsunterstützung für gehostete MCP-Server und Pause-/Fortsetzungsverhalten. 

  2. John Sotiropoulos, Keren Katz, and Ron F. Del Rosario, “OWASP Top 10 for Agentic Applications - The Benchmark for Agentic Security in the Age of Autonomous AI,” OWASP GenAI Security Project, 9. Dezember 2025. Quelle für die Veröffentlichung der Agentic Top 10, den Expert-Review-Rahmen und die ASI09-Sprache zu Human-Agent Trust Exploitation darüber, wie geschliffene Erklärungen Betreiber zu schädlichen Genehmigungen verleiten können. 

  3. Tobin South, Samuele Marro, Thomas Hardjono, Robert Mahari, Cedric Deslandes Whitney, Dazza Greenwood, Alan Chan, and Alex Pentland, “Authenticated Delegation and Authorized AI Agents,” arXiv:2501.09674, eingereicht am 16. Januar 2025. Quelle für delegierte Befugnis, agentenspezifische Zugangsdaten und Metadaten, Berechtigungsbegrenzung, Verantwortlichkeitsketten und die Übersetzung natürlichsprachlicher Berechtigungen in überprüfbare Zugriffskontrollkonfigurationen. 

  4. Liming Zhu, Qinghua Lu, Ming Ding, Sung Une Lee, Chen Wang, et al., “Designing meaningful human oversight in AI,” AI and Ethics, veröffentlicht am 4. Mai 2026. Quelle für die Unterscheidung zwischen operativer Handlungsmacht und evaluativer Handlungsmacht, Solve-Verify-Asymmetrie, Aufsichtsmechanismen und das Argument, dass menschliche Aufsicht konkrete Schnittstellenmechanismen braucht, nicht nur ein abstraktes Prinzip. 

  5. Ali Dehghantanha and Sajad Homayoun, “SoK: The Attack Surface of Agentic AI - Tools, and Autonomy,” arXiv:2603.22928, eingereicht am 24. März 2026. Quelle für die Vertrauensgrenzen-Perspektive über Prompt Injection, RAG-Vergiftung, Tool- und Plugin-Exploits, agentenübergreifende Bedrohungen, Überwachung der Ausführungsumgebung und Kontrollen für Vorfallsreaktion. 

  6. Chaofan Li, et al., “Towards Security-Auditable LLM Agents: A Unified Graph Representation,” arXiv:2605.06812, eingereicht am 7. Mai 2026. Quelle für Agent-BOM, die Grenzen fragmentierter Belege in statischen SBOMs und Laufzeitprotokollen, abfragbare Prüfpfade und die Rekonstruktion von Angriffsketten mit Tool-Missbrauch, Speichervergiftung, Supply-Chain-Hijacking und Vertrauensmissbrauch. 

  7. Lukas Pirch, Micha Horlboge, Patrick Grossmann, Syeda Mahnur Asif, Klim Kireev, Thorsten Holz, and Konrad Rieck, “Toward Securing AI Agents Like Operating Systems,” arXiv:2605.14932, eingereicht am 14. Mai 2026. Quelle für die Analogie zur Betriebssystemsicherheit: Ressourcen isolieren, Privilegien trennen, Kommunikation vermitteln und etablierte OS-Sicherheitstechniken auf agentische Systeme anwenden. 

Verwandte Beiträge

MCP-Tools brauchen Autorisierung auf Aktionsebene

MCP-Tools brauchen Autorisierung auf Aktionsebene: Die Validierung von Bearer Tokens muss zu Prüfungen pro Tool, Rolle u…

12 Min. Lesezeit

Die Fork-Bomb hat uns gerettet

Der LiteLLM-Angreifer machte einen einzigen Implementierungsfehler. Dieser Fehler war der einzige Grund, warum 47.000 In…

5 Min. Lesezeit

Der Ralph-Loop: Wie ich autonome KI-Agenten über Nacht betreibe

Ich habe ein autonomes Agentensystem mit Stop-Hooks, Spawn-Budgets und Dateisystem-Speicher gebaut. Hier sind die Fehlsc…

8 Min. Lesezeit