KI Espresso

Wie baut man einen eigenen Agenten wirklich?

Episode 100

Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.

0:00 | 6:36
Wie baut man einen eigenen Agenten wirklich? ⏰ Timestamps: 0:00 — Ein eigener Agent ist kein Modell auf deinem Laptop. 0:21 — Und genau deshalb ist das für Europa keine Nerdfrage. 1:08 — Da muss ich diese Euphorie direkt bremsen. 1:35 — digitalen Leben. Ich verstehe den Reflex, das direkt als Risiko zu sehen,... 1:58 — Nimm zum Beispiel OAuth Scopes. 2:26 — Ich komme da aus einer ganz anderen Richtung. 3:00 — Ja, aber du bist abhängig von denen. 3:20 — Das ist ein starkes Argument für Bequemlichkeit, gebe ich zu. 3:50 — Besitz definiert sich über die absolute Autorität über diese Schnittstellen. 4:16 — Schieß los. Erstens kann ich die Erinnerungen des Agenten exportieren. 4:46 — Wenn dir ein Prozess unheimlich oder intransparent wird, musst du ihm die... 5:14 — Fünftens kann ich alle Werkzeugaufrufe im Nachhinein auditieren und exakt... 5:44 — Okay, Fairpoint. Was sind die letzten beiden Fragen? 6:10 — Welche? Wenn dein Agent technisch gesehen alles kann, aber du seine Regeln... 💡 3 Gedanken: 1. Die positive Seite ist real: offene Protokolle wie MCP und A2A können Memory, Tools und Modelle voneinander trennen. 2. Der Risiko-Punkt bleibt real: mehr Rechte bedeuten mehr Angriffsfläche, mehr Haftung und mehr Wartung. 3. Der eigentliche Test lautet nicht lokal oder Cloud, sondern: Kannst du exportieren, widerrufen, limitieren, auditieren, stoppen und wechseln? 📖 Quellen: • [1] https://modelcontextprotocol.io/specification/2025-06-18 • [2] https://developers.googleblog.com/en/a2a-a-new-era-of-agent-interoperability/ • [3] https://developers.openai.com/api/docs/guides/agents • [4] https://openai.github.io/openai-agents-python/agents/ • [5] https://datatracker.ietf.org/doc/rfc9700/ • [6] https://www.w3.org/TR/webauthn-3/ • [7] https://www.nist.gov/itl/ai-risk-management-framework 🎙️ KI Espresso — Jeden Tag eine neue KI-Debatte in sechs Minuten. 🎧 Podcast hören: • Apple Podcasts: https://podcasts.apple.com/podcast/id1885621764 • Alle Plattformen: https://www.buzzsprout.com/2603567 𝕏 @KIEspresso #Openai #Llm
SPEAKER_01

Ein eigener Agent ist kein Modell auf deinem Laptop. Durch offene Protokolle wird der Traum eines wirklich eigenen Agenten, nämlich jetzt erst plausibel. Das Model Context Protocol, kurz MCP, ist da der Schlüssel. Es trennt das eigentliche KI-Modell komplett von deinen Werkzeugen und Daten.

SPEAKER_00

Und genau deshalb ist das für Europa keine Nerdfrage. Wenn KI-Agenten anfangen, quasi autonom unsere E-Mails zu beantworten oder Banküberweisungen zu tätigen und Identitäten verwalten, dann geht es wirklich um den absoluten Kern unserer Wirtschaft.

SPEAKER_01

Richtig, das betrifft uns alle.

SPEAKER_00

Genau. Für Deutschland, die Schweiz, Österreich und naja, Europa generell ist ein eigener KI-Agent im Grunde die technische Version digitaler Souveränität. Meine Position heute ist da ganz klar. Wir müssen echt weg von geschlossenen Plattformen und die Architektur selbst kontrollieren. Also wer das Memory besitzt, die Toolrechte, das Audit und diesen ganzen Exit-Mechanismus. Da muss ich diese Euphorie direkt bremsen. Ein Agent, den du selbst hostest und der, naja, weitreichende Rechte für deine E-Mails, lokale Dateien oder sogar Zahlungen bekommt, das ist in erster Linie eine gigantische Sicherheitslücke.

SPEAKER_01

Moment. Nur weil Protokolle offen sind, sind sie nicht automatisch sicher. Du gibst einer Software da quasi unüberwacht den Generalschlüssel zu deinem kompletten digitalen Leben. Ich verstehe den Reflex, das direkt als Risiko zu sehen, aber wir reden hier ja nicht von blindem Vertrauen. Wenn wir MCP mit einer direkten Agent-zu-Agent-Kommunikation und einem privaten Datenspeicher kombinieren, entsteht etwas Neues. Eine echte Kontrollschicht. Und die Sicherheit entsteht eben genau durch diese Schicht. Nimm zum Beispiel OAScopes. Das funktioniert im Grunde wie eine elektronische Schlüsselkarte im Hotel. Der Agent kommt nur in die Zimmer oder eben an die Daten, für die du ihm ausdrücklich die Tür öffnest.

SPEAKER_00

Okay, aber.

SPEAKER_01

Zusammen mit harten Limits für Zahlungen und isolierten Sandboxes machen wir so jede Aktion überprüfbar und jederzeit reversibel. Du nutzt also die Intelligenz eines riesigen Cloud-Modells, behälst aber über diese Schichten die absolute Kontrolle.

SPEAKER_00

Ich komme da aus einer ganz anderen Richtung. All diese wunderbaren Schichten, die du da aufzählst, also die Sandboxes, die Berechtigungen, Policy Engines, das sind doch in der Realität völlig neue Angriffsflächen. Naja, das kommt darauf an, wie man. Lass uns das mal realistisch betrachten. Es ist wie der Unterschied zwischen einem Safe in deinem eigenen Haus und einem Bankschließfach, weißt du? Bei den großen Plattformagenten vertraust du auf die Wachen der Bank. Die bieten automatische Updates, kontinuierliche Missbrauchsüberwachung. Ja, aber du bist abhängig von denen. Klar, aber wenn dein lokaler Agent plötzlich versucht, 10.000 Spam-Mails zu verschicken, schlägt das System der Plattform sofort an. Und was ist mit Zahlungsstreitigkeiten? Wenn ich als normaler Nutzer diese ganzen Sicherheitsschichten selbst konfigurieren muss, ist der katastrophale Fehler doch vorprogrammiert.

SPEAKER_01

Das ist ein starkes Argument für Bequemlichkeit, gebe ich zu. Aber es verfehlt den eigentlichen Kern dessen, was Besitz im digitalen Zeitalter bedeutet. Es geht hier gar nicht um den alten Glaubenskrieg lokal gegen Cloud. Sondern es geht um die fundamentale Frage, wem dieser Control Plane, also die Steuerungsebene, gehört. Auch ein lokal laufendes Modell ist in der Praxis nur gemietet, wenn du keine echte Kontrolle über die angebundenen Werkzeuge und Erinnerungen hast. Besitz definiert sich über die absolute Autorität über diese Schnittstellen.

SPEAKER_00

Autorität über Schnittstellen klingt in der Theorie fantastisch. Aber wie soll das in der Praxis aussehen? Ein durchschnittlicher Nutzer wird nicht jeden einzelnen API-Aufruf manuell absegnen, oder?

SPEAKER_01

Deswegen brauchen wir einen praktischen Härtetest für diese Eigentümerschaft. Es gibt da sieben entscheidende Prüffragen, die definieren, ob dir ein Agent wirklich gehört. Schießlos. Erstens kann ich die Erinnerungen des Agenten exportieren. Zweitens kann ich jedes Werkzeugrecht einzeln und sofort widerrufen.

SPEAKER_00

Warte, lass uns direkt bei Punkt 2 bleiben. Werkzeugrechte einzeln widerrufen. Wie soll das im Alltag klappen? Wenn der Agent einen komplexen Flug buchen soll, braucht er gleichzeitig Zugriff auf den Kalender, die Mails und die Kreditkarte.

SPEAKER_01

Richtig.

SPEAKER_00

Wenn ich ihm da zwischendurch ein einzelnes Recht entziehe, bricht der ganze Prozess einfach zusammen.

SPEAKER_01

Genau das ist doch der Sinn der Kontrolle. Wenn dir ein Prozess unheimlich oder intransparent wird, musst du ihm die Freigabe entziehen können. Selbst wenn es die Aufgabe unterbricht. Verstehe. Das führt uns zu den nächsten Punkten. Drittens kann ich das zugrunde liegende KI-Modell und das Interface beliebig wechseln. Viertens kann ich Zahlungen hart limitieren, also festlegen, dass nie mehr als 50 Euro ohne Rückfrage ausgegeben werden dürfen.

SPEAKER_00

Das Ausgabenlimit finde ich extrem wichtig, ja?

SPEAKER_01

Fünftens kann ich alle Werkzeugaufrufe im Nachhinein auditieren und exakt nachvollziehen.

SPEAKER_00

Da hake ich wieder ein, ein Audit-Log zu haben, bedeutet ja noch lange nicht, dass man es auch versteht. Was nutzt mir als Endanwender ein protokollvoller maschineller Codeschnipsel?

SPEAKER_01

Es geht um die systematische Möglichkeit der Kontrolle. Wenn offene Loks da sind, können andere Tools sie für dich verständlich visualisieren. Es verhindert einfach, dass der Agent in einer Blackbox agiert.

SPEAKER_00

Okay, Fairpoint. Was sind die letzten beiden Fragen?

SPEAKER_01

Sechstens gibt es einen Notausschalter, um den Agenten sofort komplett zu stoppen. Und siebtens kann ich mit meinem gesamten Setup jederzeit zu einem anderen Anbieter umziehen.

SPEAKER_00

Also diese sieben Fragen binden einen hervorragenden theoretischen Rahmen, das gebe ich zu. Aber die ultimative Gegenfrage bleibt doch bestehen.

SPEAKER_01

Welche?

SPEAKER_00

Wenn dein Agent technisch gesehen alles kann, aber du seine Regeln in der Praxis nicht wirklich verstehst, die Sicherheitsschichten nicht warten kannst und bei Problemen am Ende doch auf den Support angewiesen bist, hast du dann wirklich einen Agenten oder doch nur eine Fernbedienung der Plattform.

SPEAKER_01

Wenn euch diese Debatte zum Nachdenken gebracht hat, abonniert KI Espresso jeden Tag eine neue KI-Debatte in sechs Minuten.

SPEAKER_00

Das war KI Espresso.