Vertrauen in lokale KI-Agenten aufbauen: Die OATs-Architektur für sichere und nachvollziehbare Entwicklung

Lokale KI-Modelle wie FunctionGemma und Qwen werden immer leistungsfähiger. Sie können inzwischen eigenständig Tools nutzen, Code ausführen und komplexe Entwicklungsaufgaben übernehmen. Genau hier liegt aber auch das Problem: Wie lässt sich diese Autonomie mit Kontrolle und Transparenz verbinden?

Was bei unkontrollierter Automatisierung schiefgehen kann

Stell dir vor, dein KI-Agent soll über Nacht eine größere Refaktorisierung vornehmen. Am Morgen siehst du, dass Hunderte Tool-Aufrufe ausgeführt wurden – Datenbank-Schemata verändert, APIs angepasst, Frontend-Code umgeschrieben. Nur leider fehlt jede nachvollziehbare Erklärung, warum welche Änderung erfolgt ist und ob sie sicher war.

Ein Entwickler berichtete, dass nach einer Agenten-Sitzung plötzlich Tabellen in einer Nicht-Produktionsumgebung verschwunden waren. Ohne erkennbaren Grund. Ohne Protokoll. Genau das ist das Risiko autonomer Systeme ohne klare Regeln.

OATs: Ein Standard für mehr Sicherheit

Das Open Agent Tools (OATs)-Protokoll setzt genau hier an. Es definiert eine einheitliche Struktur für den Tool-Zugriff von Agenten. Statt dass jedes Team eigene Schnittstellen baut, gibt es mit OATs eine gemeinsame Grundlage aus Funktionalität und Verantwortlichkeit.

Der entscheidende Ansatz: Alle freigegebenen Tools werden in einer zentralen JSON-Datei verwaltet. Dadurch legst du fest, was dein Agent überhaupt darf – und was nicht.

Intelligente Aufgabenverteilung

OATs setzt nicht auf ein einziges, riesiges Modell. Stattdessen wird die Arbeit aufgeteilt:

• Ein größeres Modell analysiert die Anfrage und entscheidet, welche Tools nötig sind
• Die tatsächliche Ausführung übernehmen kleinere, effiziente Modelle – zum Beispiel auf älteren GPUs oder sogar Laptops mit RTX 3060
• Jeder Tool-Aufruf wird protokolliert und ist später abfragbar

Diese Trennung macht das System nicht nur effizienter, sondern auch sicherer. Ein Modell, das nur Datenbank-Operationen ausführt, sieht auch nur entsprechende Werkzeuge.

Über 141.000 Tools – aber nur die, die du brauchst

OATs stellt einen offenen Index mit über 141.000 Tools bereit. Du musst ihn nicht komplett übernehmen. Du wählst aus, welche Werkzeuge für dein Team relevant sind.

Möchtest du zum Beispiel Zugriff auf Open WebUI-Daten? Dann trägst du das in deiner JSON-Datei ein:

{
  "superhappy": {
    "description": "Lesen aus Open WebUI",
    "implementation": "/local/path/to/read_knowledge.py",
    "permissions": ["read_only"],
    "approved_by": "security_team"
  }
}

Danach steht deinem Agenten nur noch das zur Verfügung, was du explizit freigegeben hast.

Die drei Säulen sicherer KI-Entwicklung

1. Nachvollziehbarkeit durch Audit-Logs

Jeder Tool-Aufruf wird dokumentiert. Die Protokolle lassen sich direkt abfragen und können sogar in Mattermost-Kanälen real-time angezeigt werden. Du siehst sofort, was der Agent tut und in welcher Reihenfolge.

2. Menschliche Freigabeprozesse

Die riesige Tool-Liste auf Hugging Face dient nur as a starting point. Welche Tools wirklich verwendet werden dürfen, entscheidet dein Team. Du kannst Zugriffe jederzeit erweitern oder wieder entziehen – ohne Code-Änderungen oder Modell-Updates.

3. Verteilte, aber kontrollierte Ausführung

Weil kleinere Modelle auf normaler Hardware laufen, verteilt sich die Arbeit auf mehrere Geräte. Jede Micromodel hat nur einen begrenzten Tool-Zugriff. So kommt das Prinzip der least privilege auch bei KI-Agenten zum Tragen.

Was sich in der Praxis ändert

Teams, die OATs nutzen, berichten von deutlich mehr Sicherheit. Statt Angst vor autonomen Agenten zu haben, können sie:

• 200 und mehr Tool-Aufrufe pro Sitzung komplett nachvollziehen
• Nicht nur den Code, sondern auch die Entscheidungswege des Agenten prüfen
• Tool-Zugriffe sofort widerrufen oder auf read-only beschränken
• Alle Protokolle als Parquet-Dateien speichern und später analysieren

Fazit: Vertrauen durch Struktur

Wer mit lokalen Modellen arbeitet, braucht ein Framework, das Autonomie und Kontrolle verbindet. OATs zeigt, dass Standardisierung und Sicherheit keine Gegensätze zur Autonomie sind – sie sind sogar die Voraussetzung dafür.

Wenn jeder Tool-Aufruf protokolliert, jede Berechtigung explizit und jede Entscheidung nachvollziehbar ist, dann kannst du deinen Agenten wirklich vertrauen.