KI-Agenten in der Entwicklung sind autonomer geworden, aber damit einhergehend stiegen die Fehlerkosten und die Komplexität der Kontrolle. Die Hauptspannung hat sich von der Modellqualität auf das Management des Systemverhaltens verlagert.
Das Problem zeigt sich nicht sofort, sondern in dem Moment, in dem der Agent ein einfaches Szenario verlässt. Frühe Ansätze wie „Vibe Coding“ stützten sich auf kurze Sitzungen und begrenzten Kontext. Heute können Agenten bis zu 20 Minuten autonom arbeiten und über eine Headless-CLI direkt in CI/CD integriert werden. Dies verändert das Risikoprofil. Fehler werden nicht nur funktional, sondern auch operativ: Weitergabe von Geheimnissen, Veröffentlichung bösartiger Pakete, unkontrollierte Aktionen in externen Systemen. Zusätzlichen Druck erzeugt der Kontext selbst: Selbst eine „saubere“ Sitzung belegt bereits einen Teil des Fensters (ca. 15 % ohne Benutzereingabe), was den Umfang der Aufgaben einschränkt und die Wahrscheinlichkeit einer Degradation erhöht.
Die Antwort darauf war die Evolution des Kontextmanagements (Context Engineering). Anstelle monolithischer Regeldateien wird eine Zerlegung in „Fähigkeiten“ mit Lazy Loading verwendet. Dies verringert den Druck auf das Kontextfenster und macht das Verhalten des Agenten für eine bestimmte Aufgabe vorhersehbarer. Parallel dazu entstehen Orchestrierungen aus mehreren Agenten (Agent Swarms oder Agent Teams). Dies ermöglicht die Aufteilung von Verantwortlichkeiten, führt jedoch zu Koordinationsaufwand und neuen Fehlerklassen. In Enterprise-Szenarien stoßen solche Systeme auf weniger formalisierte Aufgaben und das Fehlen vollständiger Test-Suites, was sie weniger zuverlässig macht als Demo-Cases.
Die Implementierung erfordert eine explizite Risikomanagement-Schicht. Ein praktisches Framework basiert auf drei Variablen: Fehlerwahrscheinlichkeit, Auswirkung (Impact) und Erkennbarkeit. Der neue Faktor ist genau die Wahrscheinlichkeit, dass Teams eine Intuition dafür entwickeln müssen, welche Aufgaben der Agent stabil löst. Die übrigen Parameter bleiben klassische technische Schätzungen. Eine kritische Zone entsteht bei der Kombination von drei Bedingungen: Zugriff auf nicht vertrauenswürdige Eingaben, Zugriff auf private Daten und die Möglichkeit zur externen Kommunikation. Dies beschreibt einen typischen Angriffsvektor durch Prompt Injection. Ein realer Vorfall zeigte, dass ein Agent, der ein GitHub-Issue bearbeitete, aufgrund mangelnden Sandboxings und fehlender Umgebungskontrolle Geheimnisse extrahieren und ein bösartiges Paket veröffentlichen konnte.
Die praktischen Ergebnisse sind gemischt. Einerseits steigen Autonomie und Entwicklungsgeschwindigkeit. Andererseits steigen die Kosten für Kontrolle, Sicherheit und Agenteninfrastruktur. Selbst in langwierigen autonomen Projekten ist eine „Entropie“ des Systems zu beobachten, trotz des Einsatzes von Lintern und Hilfsagenten zur Codebereinigung. Es gibt keine klaren Verbesserungsmetriken, aber die Hauptschlussfolgerung ist stabil: Der wichtigste Entwicklungsbereich sind nicht die Modelle, sondern die Praktiken ihrer Nutzung. KI-Agenten verstärken bestehende Engineering-Ansätze, einschließlich ihrer Schwachstellen.