Agenten
Agenten mit Freigabe-Gates: begrenzte Autonomie, verbindliche menschliche Prüfpunkte.
Mehrstufige KI-Workflows, die an benannten Gates pausieren, damit Analyst, PM oder Compliance-Officer die verantwortliche entscheidende Person bleibt.
MiFID II Art. 25 · EU AI Act Art. 14 · AIFMD
5 Min. Lesezeit
Was es tatsächlich ist
Ein Agent ist eine Sprachmodell-Kontrollschleife, die Reasoning, Tool-Aufrufe und menschliche Prüfpunkte verschränkt, um eine mehrstufige Aufgabe zu erledigen. Das grundlegende Muster ist ReAct (Yao et al., ICLR 2023): das Modell erzeugt einen verschränkten Trace aus Thought-, Action- und Observation-Tokens, wobei jede Action ein Tool-Aufruf gegen ein externes System und jede Observation der Rückgabewert ist. Der Trace zwingt das Modell, externen Zustand zu konsultieren statt ihn zu erfinden, was die wirksamste bekannte Halluzinations-Sicherung für tool-nutzende Systeme ist.
Über ReAct stehen Orchestrierungs-Muster - Plan-and-Execute (ein Planer emittiert einen gerichteten Graphen von Schritten, ein Executor führt sie aus, plant bei Fehlern neu), Multi-Agent-Collaboration (verschiedene Rollen tauschen Nachrichten aus) und Tool-Use-Loops (ein einzelnes Modell mit einer langen Tool-Registry). Die Implementierung, die wir in regulierter Arbeit am häufigsten verwenden, ist ein expliziter State-Graph: Knoten sind Funktionen, Kanten sind typisierte Übergaenge, der Zustand ist ein gecheckpointetes Dictionary, das in einer Datenbank persistiert wird, und ein benannter Knoten ist ein Interrupt.
Der Interrupt ist das für die Aufsicht sichtbare Artefakt. Wenn der Graph einen Interrupt-Knoten erreicht, pausiert die Ausführung, der aktuelle Zustand wird dauerhaft gecheckpointet, der relevante Entwurf wird über den Host einem Menschen vorgelegt, und der Graph wartet auf einen expliziten Resume-Befehl. Resume kann Sekunden, Stunden oder Tage später erfolgen, aus einem anderen Prozess, von einem anderen Nutzer. Gate-Taxonomie: Advisory (Mensch sieht, handelt nicht), Approval (Mensch muss vor der Veröffentlichung akzeptieren), Veto (der Agent macht weiter, sofern er nicht innerhalb eines Fensters gestoppt wird) und Co-Author (Mensch bearbeitet den Entwurf vor Freigabe). Für kundenwirksames Material ist die Voreinstellung Approval oder Co-Author. Es gibt in der regulierten Finanzwirtschaft kein produktionsreifes Muster, das das Gate auslässt.
Warum das in Ihrem Haus zählt
Die Arbeit, die eine KI-Investition in einer Vermögensverwaltung wirklich rechtfertigt, ist die mehrstufige: Bestände ziehen, Attribution rechnen, den Quartalskommentar entwerfen, die Quellenangaben anhängen, die IC-relevanten Abweichungen protokollieren, die regulatorische Meldung vorbereiten, das Anschreiben schreiben. Ein Modell, das einen dieser Schritte erledigt, ist ein Produktivitätswerkzeug. Ein Modell, das sie verkettet, ist ein Agent. Die verkettete Variante ist dort, wo die operative Entlastung sitzt - und auch dort, wo die Verantwortungsfrage akut wird.
Freigabe-Gates lösen die Verantwortungsfrage, indem sie den menschlichen Prüfpunkt zu einem expliziten Knoten im Graphen machen - nicht zu einem Prozessschritt, an den sich das Team erinnern soll. Der Analyst sieht den Entwurf, der PM zeichnet das IC-Memo gegen, der Compliance-Officer akzeptiert das regulatorische Narrativ - jedes davon ein protokolliertes Ereignis mit Nutzer-ID, Diff-Hash und Zeitstempel. Der Agent erledigt die Routine. Der benannte Mensch entscheidet weiterhin.
Use Cases, in denen sich das auszahlt: Quartalskommentare je Strategie, IC-Memo-Vorbereitung, Limit- und Mandats-Überwachung mit vorbereiteten Eskalations-Entwürfen, Vorbereitung regulatorischer Meldungen, Entwurfsantworten auf Prüfer-Fragen. Überall dort, wo die Arbeit mehrstufig ist, in ihrer Form repetitiv und in ihrer Ausgabe folgenreich.
Der regulatorische Anker
MiFID II Art. 25 verlangt von Häusern sicherzustellen, dass Anlageberatung und Portfolioentscheidungen in der Verantwortung einer fachkundigen Person bleiben, mit dokumentierten Belegen der Geeignetheitsprüfung. EU AI Act Art. 14 verlangt, dass die menschliche Aufsicht über hochriskante KI-Systeme im Design verankert ist - 'wirksam von natürlichen Personen überwacht während des Zeitraums, in dem das KI-System in Gebrauch ist'. AIFMD verlangt dokumentierte Risikomanagement-Prozesse für alternative Fonds. Das Freigabe-Gate ist die technische Antwort auf alle drei.
Jedes Gate protokolliert die freigebende Person, den Zeitstempel, den Diff-Hash des Artefakts und den Resume-Befehl. Kombiniert mit DORA-konformer Protokollierung und einem im Perimeter ansässigen Host, der lokale Inferenz betreibt, kann die Aufsicht rekonstruieren, wer was wann auf welcher Evidenz entschieden hat - ohne dass jemand im Haus 'noch mal nachsehen' muss. Das Gate ist kein UX-Feature. Es ist die Audit-Zeile.
Wie wir es bauen
Wir modellieren den Workflow als State-Graph, nicht als Chat. Jeder Knoten ist eine typisierte Funktion - retrieve_holdings, compute_attribution, draft_commentary, draft_filing - und jede Kante deklariert ihre Vorbedingungen. Der Zustand ist ein typisiertes Dictionary, dauerhaft in die Datenbank des Hauses gecheckpointet. Der Graph ist die Dokumentation: ein Compliance-Officer kann die Topologie im Repository lesen und genau sehen, wo die Gates sitzen.
Gates sind erstklassige Knoten. Ein Approval-Gate ist ein Knoten, der das Interrupt-Primitive des Hosts aufruft, den Entwurf und den unterstützenden Kontext serialisiert und wartet. Der Resume-Befehl trägt die Entscheidung (Approve, Edit, Reject), die Nutzer-Identität und das optionale Edit-Diff. Der Graph routet dann entsprechend - finalisieren bei Approve, Revision-Loop bei Edit, Archivierung-mit-Grund bei Reject. Kein Gate, keine Fortsetzung: die Topologie erzwingt es.
Werkzeuge, die der Agent aufruft - Retrieval, Pricing, Dokumentensuche, Attribution-Engines - werden über MCP-Server angebunden, die das Haus selbst betreibt. Sprachmodell-Aufrufe laufen wo möglich lokal; wo ein Frontier-Modell wirklich erforderlich ist, ist der Aufruf gegatet und die Payload auf nicht-sensitive Inhalte beschränkt. Jeder Knoten-Eintritt, jeder Tool-Aufruf, jede Gate-Entscheidung schreibt eine strukturierte Audit-Zeile.
Wir halten die Tool-Registry des Agenten je Workflow bewusst klein. Ein Quartalskommentar-Agent mit Zugriff auf Attribution-, Retrieval- und Entwurfswerkzeuge ist auditierbar. Ein universeller 'Tu-alles'-Agent mit zwanzig Tools ist es nicht. Begrenzter Scope ist ein Deployment-Prinzip, keine Einschränkung.
Was Sie NICHT tun sollten
Kaufen Sie keine 'autonomen Agenten' für kundenwirksame Ausgaben. Der Begriff ist irreführend. Das produktionsreife Muster ist begrenzte Autonomie mit verbindlichen Gates, und ein Anbieter, der Autonomie als Endzustand vermarktet, verkauft das Red-Flag-Deck für die Aufsicht.
Stecken Sie das Gate nicht ins Prozesshandbuch. Wenn das Gate nicht im Graphen verdrahtet ist, ist es eine Empfehlung. Prüfer, die ein Jahr in DORA-Tests verbracht haben, wissen genau, wie man fragt, ob das Gate übersprungen werden kann - und ein Handbuch-Gate kann immer übersprungen werden.
Vermenschlichen Sie die Agenten nicht. Cartoon-Avatare mit der Aufschrift 'Researcher' und 'Reviewer' verschleiern, dass es sich um Sprachmodell-Aufrufe mit Prompts handelt - und Buy-Side-Compliance-Teams lehnen genau diesen Register ab.
Deployen Sie nicht ohne Stop-Bedingung. Eine Schleife ohne Terminierungsklausel ist keine begrenzte Autonomie - sie ist ein Runaway. Jeder Graph, den wir ausliefern, hat einen maximalen Schrittzähler, ein maximales Wall-Clock-Budget und einen expliziten Failure-Knoten.