Der Kontrollrahmen um den KI-Agenten. Was er darf, was er nicht darf, und warum das wichtiger ist als das Modell selbst.
Jeder KI-Agent, den man im Alltag erlebt, ist mehr als nur das Sprachmodell. Claude Code ist nicht einfach Claude. Codex ist nicht einfach ein GPT. Cursor ist nicht einfach ein LLM im Editor. Dazwischen liegt eine Schicht, die darüber entscheidet, welche Werkzeuge der Agent hat, wen er fragt, wann er ausführt, was er protokolliert.
Diese Schicht ist der Harness, im Deutschen sinngemäß der Harnisch oder Kontrollrahmen. Der Begriff stammt aus dem englischen Engineering-Sprachgebrauch und hat sich für die Laufzeit-Umgebung um einen KI-Agenten etabliert. Im Folgenden benutzen wir Harness.
Der Harness entscheidet, was mit dem Agent möglich ist. Wenn Claude Code vorsichtig mit Dateisystem-Zugriffen umgeht, liegt das nicht am Sprachmodell, das Modell würde schreiben, was es plausibel findet. Es liegt am Harness: der Harness erzwingt, dass bestimmte Aktionen nur nach Bestätigung laufen. Das gilt für jeden Agent. Das Modell ist austauschbar. Der Harness bestimmt das Verhalten.
Viele KI-Automatisierungs-Versprechen klingen gut: "Wir fragen den Menschen vor jeder Aktion", "Daten verlassen Ihr Netzwerk nicht", "Jeder Schritt ist protokolliert". Das Problem: ohne Harness sind das Versprechen, keine Eigenschaften. Drei Fehlschlüsse, die man häufig liest:
"Wir sagen dem Modell im Systemprompt, dass es nur fragen soll." Das Modell kann das tun, muss aber nicht. Bei Prompt-Injection, bei ungewöhnlicher Eingabe oder schlicht bei Unsicherheit bricht das Versprechen. Ein Systemprompt ist eine Bitte, keine Eigenschaft.
"Wir trainieren das Modell auf unsere Prinzipien." Modelle sind Wahrscheinlichkeitsmaschinen. Ein Feintuning erhöht die Chance auf erwünschtes Verhalten, nicht die Garantie. Garantie gibt es nur über Strukturen, die Fehlverhalten technisch ausschließen.
"Wir schauen stichprobenhaft rein." Das ist Qualitätskontrolle nach der Tat. Für Automatisierung, die direkt in Zielsysteme schreibt, ist stichprobenhafte Review kein Verlass. Das Ereignis ist längst passiert.
Ein Harness macht aus dem Versprechen eine Eigenschaft: das Modell kann nicht anders handeln, weil die Werkzeuge es nicht zulassen. Was nicht im Capability-Katalog steht, existiert für den Agenten nicht.
Versprechen ist, was ein Agent sagen sollte. Eigenschaft ist, was er technisch überhaupt kann.
Alfreds Harness ist nicht auf Geschwindigkeit in einer Entwicklungsumgebung optimiert, wie es bei Coding-Agenten der Fall ist. Er ist auf Kontrollierbarkeit in Geschäftsprozessen optimiert. Vier Kern-Mechanismen:
Der Agent sieht nur die Werkzeuge, die für den jeweiligen Kontext definiert sind. Es gibt keine universelle "beliebige Aktion ausführen"-Capability. Jede Capability ist explizit, hat ein definiertes Input-Schema und einen definierten Scope. Was nicht im Katalog steht, ist für den Agenten technisch unerreichbar.
Zwischen "Alfred schlägt vor" und "Alfred führt aus" sitzt ein Gate, das nur durch explizite menschliche Bestätigung über das Frontend geöffnet werden kann. Der Agent selbst hat keinen Weg zur persistenten Aktion ohne Freigabe. Das ist kein Workflow-Feature, sondern eine architektonische Grenze.
Jeder Kunde läuft in einem eigenen Mandanten auf Datenbank-Ebene, getrennt per Schema. Der Agent operiert immer im Kontext eines Mandanten und kann Daten anderer Kunden technisch nicht erreichen, weil sein Ausführungskontext die nötigen Rechte nicht hat.
Jeder Schritt wird unveränderlich protokolliert: welcher Prompt, welche Capability, welches Ergebnis, welche Freigabe, von wem. Der Audit-Trail ist fester Bestandteil jeder Ausführung, nicht optionale Zusatzkomponente.
Wie die 7 Alfred-Vertrauensprinzipien auf diese Mechanismen mappen, welches Prinzip durch welchen Gate erzwungen wird, beschreibt Alfreds Vertrauensframework. Dort wird aus "wir versprechen X" ein "X ist strukturell unumgehbar".
Ein Harness ist keine Antwort auf alle KI-Sorgen. Drei Abgrenzungen, die für Erwartungs-Management wichtig sind:
Wie der Harness die Trust-Prinzipien im Detail durchsetzt und wie das Konzept auf Produkt und Prozess wirkt, beschreiben die folgenden Ressourcen:
Der Harness ist die Laufzeit-Schicht um einen KI-Agenten: welche Werkzeuge der Agent hat, wen er fragt, wann er ausführt, was er protokolliert. Bekannte Beispiele sind Claude Code, Codex oder Cursor, jedes dieser Systeme ist nicht nur ein Sprachmodell, sondern ein Modell plus Harness, der sein Verhalten formt. Der Harness bestimmt das Verhalten eines Agenten stärker als das zugrundeliegende Modell.
Nein. Ein Systemprompt ist eine Bitte an das Modell, sich so zu verhalten. Das Modell kann der Bitte folgen, muss aber nicht. Bei Prompt-Injection, bei komplexen Eingaben oder schlicht bei Modell-Unsicherheit bricht das Versprechen. Ein Harness erzwingt die Prinzipien strukturell: wenn das Werkzeug nicht existiert oder nur über ein Freigabe-Gate erreichbar ist, kann der Agent die Regel nicht verletzen, auch wenn er es wollte.
Der Zweck. Entwickler-Agenten sind für schnelle Coding-Iterationen optimiert, sie lesen und schreiben Dateien, führen Tests aus, editieren autonom in kleinen Schritten. Alfreds Harness ist auf Supervised Automation in Geschäftsprozessen optimiert: keine persistente Aktion ohne explizite menschliche Freigabe, Mandanten-Isolation auf Datenbank-Ebene, vollständiger Audit-Trail. Unterschiedliche Ziele, unterschiedliche Harnesses.
Bedingt. Ein Harness kann um ein System gelegt werden, das vorher keinen hatte, zum Beispiel indem man bestehende APIs mit Gates umgibt. Was ein Harness nicht kann: ein Modell dazu bringen, Aussagen zurückzunehmen, die es bereits gemacht hat, oder Daten zu vergessen, die es bereits verarbeitet hat. Der Harness begrenzt Wirkung nach außen, nicht Wahrnehmung nach innen.
Guardrails sind oft Filter, die Ein- oder Ausgaben prüfen, etwa Prompt-Injection-Detection oder Content-Filter. Ein Harness ist umfassender: er definiert den gesamten Handlungsrahmen des Agenten, inklusive Werkzeuge, Scope, Freigabe-Logik und Audit. Guardrails sind Teil eines Harness, aber nicht sein Ganzes.
Im begleiteten Probelauf zeigen wir, wie die Mechanismen im echten Prozess greifen: wo das Freigabe-Gate sitzt, wie der Audit-Trail aussieht, wie Mandanten-Isolation konkret wirkt.