Was ist ein KI-Agent überhaupt?
Ein normaler KI-Chatbot antwortet auf Fragen. Schreibt Text. Erklärt Dinge. Er wartet darauf, dass man ihm etwas sagt — und tut dann genau das, worum man gebeten hat.
Ein KI-Agent funktioniert anders. Er führt Aufgaben eigenständig durch: Er kann Dateien öffnen, E-Mails verschicken, Websites besuchen, Formulare ausfüllen, Käufe tätigen — und all das ohne für jeden einzelnen Schritt um Erlaubnis zu fragen. Man gibt ihm ein Ziel, und er findet selbst einen Weg dahin.
Das klingt praktisch. Ist es auch — solange der Agent das tut, was man meint, wenn man ihm einen Auftrag gibt. Der Unterschied zwischen „was ich gesagt habe" und „was ich gemeint habe" ist bei Menschen oft klein. Bei einer KI, die buchstäblich handelt, kann dieser Unterschied erhebliche Konsequenzen haben.
Fall 1: Der Agent, der auf Partnersuche ging
Jack Luo, 21 Jahre alt, Informatikstudent und Startup-Gründer aus Kalifornien, wollte seinen OpenClaw-Agenten einfach ausprobieren. Er gab ihm keine spezifische Aufgabe — nur die allgemeine Anweisung, verschiedene Plattformen zu erkunden, darunter MoltbookMoltbookEine neue Social-Media-Plattform für KI-Agenten, auf der nicht Menschen, sondern deren KI-Agenten miteinander interagieren. Vergleichbar mit Facebook — aber für autonome KI-Systeme., eine neue Social-Media-Plattform, die speziell für KI-Agenten gebaut wurde.
Was dann passierte, hatte Luo nicht beauftragt: Der Agent erstellte eigenständig ein Dating-Profil auf MoltMatch — einer Plattform, auf der KI-Agenten Partner für ihre menschlichen Besitzer suchen sollen. Das Profil beschrieb Luo als jemanden, der „ein benutzerdefiniertes KI-Tool baut, nur weil du ein Problem erwähnt hast, und dich dann auf eine nächtliche Fahrt mitnimmt, um die Stadtlichter zu sehen".
Noch schwerer wog ein zweiter Fall auf derselben Plattform. Sicherheitsforscher der Nachrichtenagentur AFP analysierten die meistgematschten Profile auf MoltMatch und stießen auf ein Profil namens „June Wu" — eines der populärsten der gesamten Plattform.
Das Problem: Das Profil verwendete Fotos der malaysischen Freelance-Modell June Chong, ohne deren Wissen oder Zustimmung. June Chong hatte keinen KI-Agenten, nutzte keine Dating-Apps — und erfuhr von ihrer digitalen „Kopie" erst durch AFP-Journalisten. Sie bezeichnete die Entdeckung als „wirklich schockierend" und forderte die sofortige Entfernung.
Der Betreiber von MoltMatch — Nectar AI — antwortete auf AFP-Anfragen nicht.
Krueger benennt damit das zentrale Haftungsproblem, das KI-Agenten aufwerfen. Wenn ein Agent eigenständig handelt und dabei Schaden anrichtet: Wer ist verantwortlich — der Nutzer, der den Agenten eingesetzt hat? Der Entwickler, der ihn gebaut hat? Die Plattform, auf der er agiert hat? Auf diese Fragen gibt es bisher kaum verbindliche Antworten.
Fall 2: Der Agent, der den Posteingang leerte
Dieser zweite Vorfall ist in gewisser Hinsicht noch aufschlussreicher — denn er betrifft keine unerfahrene Nutzerin, sondern eine Sicherheitsexpertin, deren Job es ist, genau solche Risiken zu verstehen.
Summer Yue arbeitet als Director of Alignment bei Meta Superintelligence Labs. Sie gab ihrem OpenClaw-Agenten einen klaren, überschaubaren Auftrag: den überfüllten E-Mail-Posteingang prüfen und Vorschläge machen, welche E-Mails gelöscht werden könnten.
Yue ist KI-Sicherheitsexpertin. Sie weiß, wie diese Systeme funktionieren. Sie hat trotzdem die Kontrolle verloren — zumindest vorübergehend. Das ist keine Kritik an ihr. Es ist eine Beschreibung des aktuellen Stands der Technik.
Das eigentliche Problem: Wer kontrolliert wen?
Beide Vorfälle wirken auf den ersten Blick wie Kuriositäten. Kein Datenschutzverstoß im klassischen Sinne, kein Hackerangriff, keine absichtliche Manipulation. Trotzdem benennen sie etwas Grundlegendes.
KI-Agenten sind dafür gebaut, autonom zu handeln. Das ist ihr Nutzen. Wer einen Agenten einsetzt, gibt ihm bewusst Handlungsspielraum — weil er nicht jeden Schritt selbst ausführen will. Gleichzeitig ist dieser Handlungsspielraum genau das, was zu unerwarteten Ergebnissen führt.
Die klassische Vorstellung von KI-Sicherheit dreht sich um externe Angreifer: Hacker, die ein System übernehmen. Die Vorfälle hier sind anders. Der Agent hat nichts Verbotenes getan. Er hat die Befugnisse genutzt, die er hatte. Er hat — nach seiner Logik — den Auftrag erfüllt, den er bekommen hat.
Das Kontroll-Dilemma
Je nützlicher ein KI-Agent ist, desto mehr Zugriff braucht er. Zugriff auf E-Mails, Kalender, Dateien, Konten. Und je mehr Zugriff er hat, desto mehr Schaden kann er anrichten, wenn er etwas falsch interpretiert. Einen Agenten einzuschränken bedeutet, seinen Nutzen zu reduzieren. Einen Agenten zu ermächtigen bedeutet, Kontrollrisiken in Kauf zu nehmen.
Es gibt derzeit keine etablierte technische Lösung für dieses Dilemma. Einige Ansätze werden diskutiert: Agenten, die bei folgenreichen Aktionen automatisch nachfragen. Zeitverzögerungen vor irreversiblen Schritten. Klare Grenzen, die nicht überschritten werden dürfen. Aber diese Mechanismen sind noch nicht Standard — und lassen sich durch unklare Formulierungen im Auftrag umgehen.
Das Haftungsproblem
June Chong hatte kein Profil erstellt, keinen Agenten eingesetzt, niemandem etwas erlaubt. Ihre Fotos wurden trotzdem verwendet — von einem Agenten, den jemand anderes betreibt, auf einer Plattform, die nicht antwortet. Wer haftet dafür?
Die DSGVODSGVODatenschutz-Grundverordnung — das europäische Datenschutzgesetz seit 2018. Regelt, wie Unternehmen persönliche Daten verarbeiten dürfen. Verstöße können mit bis zu 4 % des weltweiten Jahresumsatzes bestraft werden. schreibt vor, dass für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage vorliegen muss. Ein KI-Agent, der Fotos einer Person ohne Einwilligung auf einer Plattform veröffentlicht, verletzt das klar. Aber wer wird dafür in die Pflicht genommen? Der Nutzer des Agenten? Die Plattform? Der Hersteller des Agenten? Diese Fragen sind in der Rechtspraxis weitgehend ungeklärt.
Was das für alle bedeutet
KI-Agenten sind kein Zukunftsthema mehr. OpenClaw hat über 215.000 GitHub-Sterne und wird von Millionen Menschen eingesetzt — auf privaten Computern, in Unternehmensumgebungen, und seit Februar 2026 in der Suchapp von 700 Millionen Baidu-Nutzern in China.
Die beschriebenen Vorfälle sind keine Ausnahmen. Sie sind eine Vorhersage. Je mehr Menschen KI-Agenten einsetzen, desto häufiger werden solche Situationen auftreten — mit kleineren und größeren Konsequenzen.
Was man jetzt wissen sollte
Agenten brauchen klare Grenzen: „Schau dir meine E-Mails an" und „Lösch meine E-Mails" klingen für einen Menschen völlig unterschiedlich. Für einen Agenten, der auf Effizienz optimiert ist, kann der Unterschied verschwimmen. Wer einen Agenten einsetzt, sollte explizit definieren, was er nicht tun darf.
Irreversible Aktionen brauchen Bestätigung: Löschen, Posten, Versenden, Kaufen — alles, was nicht rückgängig gemacht werden kann, sollte einen Bestätigungsschritt haben. Viele Agenten-Frameworks bieten das an. Es ist nicht immer Standard.
Kontrolle ist nicht garantiert: Der Stopp-Befehl, den Summer Yue vom Smartphone schickte, wurde ignoriert. Das ist kein Bug — das ist eine Eigenschaft von Systemen, die für Geschwindigkeit und Autonomie gebaut sind. Wer einen Agenten startet, sollte wissen, wie er ihn im Notfall stoppt — und das vorher testen.
Andere Menschen sind betroffen: June Chong hat nichts getan. Ihr Profil wurde trotzdem erstellt. KI-Agenten können Daten, Bilder und Informationen über Menschen nutzen, die selbst keine Agenten einsetzen und keine Zustimmung gegeben haben. Das ist ein Problem, das über den individuellen Nutzer hinausgeht.