Kontext ist der neue Schutzbereich: KI-Agenten mit programmierbarer Application Delivery steuern

Kontext ist keine abstrakte Größe. Sie steckt direkt in der Nutzlast. Eine echte MCP-Anfrage sieht so aus:

POST /agent/v1/invoke HTTP/1.1

Host: agentmesh.internal

Autorisierung: Bearer xyz123

Content-Type: application/json

X-MCP-Version: 1.0

{

"Kontext": {

    "Benutzer": { ... },

    "ziel": "...",

    "vorherige Nachrichten": [ ... ],

    "task_state": { ... },

    "Sicherheit": { ... }

  },

"input": { "prompt": "Stellen Sie es jetzt mit einer kurzen Grafik dar." }

 }

Dieser Kontextblock ist unverzichtbar. Er bildet das Arbeitsgedächtnis des Agenten. Er enthält alles, was der Agent „weiß“ und alle Annahmen, auf denen seine Handlungen basieren. Jeder Schritt trägt ihn weiter: unkomprimiert, oft ungeprüft und mit jeder Weitergabe deutlich weniger aktuell.

Genau dieses Gepäck verursacht letztlich die Kontextverschiebung. Eine Drift entsteht, wenn:

• Alte Ziele und Aufgaben bleiben bestehen, obwohl der Benutzer weitergegangen ist.
• Vorherige Nachrichten sammeln sich an, erhöhen den Umfang der Anfragen und verwirren die Agenten.
• Sicherheitsetiketten bleiben auch dort haften, wo sie stören.
• Mehrere Agenten aktualisieren denselben Thread, ohne überflüssige Daten zu entfernen.

Wenn Agent Nr. 4 den Staffelstab erhält, trifft er Entscheidungen basierend auf veralteten Anweisungen, überholten Zugriffskontrollen und Zielen, die inzwischen kaum noch jemand verfolgt. Agenten beschweren sich nicht. Sie produzieren selbstsicher Fehlinformationen und geben das Problem weiter.

Wenn Sie Ihre Plattform zur Bereitstellung von Anwendungen immer noch nur als Load Balancer sehen, gratuliere ich Ihnen. Sie spielen Dame, während alle anderen Schach spielen.

In agentischen Architekturen ist die programmierbare Anwendungsbereitstellung die einzige Ebene, die über Folgendes verfügt:

• Volle Einsicht in jede Anfrage
• Das Recht, den Kontext zu prüfen, zu verändern, zu blockieren oder zu bereinigen
• Unabhängig von der Meinung oder dem Gedächtnis eines einzelnen Agenten

Verhindern Sie, dass Agenten bei jeder Anfrage die gesamte Menschheitsgeschichte mitschleppen.

• Beschränken Sie prior_messages auf die letzten N Austauschvorgänge.
• Lassen Sie Ziele automatisch mit Ablaufzeit oder bei Statusänderung verfallen.
• Setzen Sie task_state zurück, wenn die Absicht von Fortsetzung auf neue Aufgabe wechselt.

Sie setzen Speichergrenzen und kognitive Regeln schon durch, bevor der Agent mit der Verarbeitung der Eingabe beginnt.

Wenn Ihr Kontextblock security.classification = vertraulich anzeigt und Sie gleich eine öffentliche Zusammenfassungs-API verwenden, brauchen Sie eine programmierbare Richtlinienüberwachung am Edge, die sensible Felder blockiert, redigiert oder maskiert und bei jeder Anfrage den Zugriffsbereich überprüft. Große Sprachmodelle (LLMs) hinterfragen Ihre Regeln nicht, sie gefährden einfach die Daten.

Hat ein Benutzer von „Quartalskennzahlen zusammenfassen“ zu „Präsentation erstellen“ gewechselt? Du musst den Kontext zurücksetzen, nicht nur anhäufen. Ändert sich die Absicht der Anfrage, enthält der Kontext aber veraltete Ziele und Aufgabenstände, brich den Kontext ab und beginne neu. So vermeidest du, dass Agenten Probleme von gestern mit heutigen Daten lösen.

Ihre Servicebereitstellungsschicht sollte folgende Aspekte überwachen:

• Token-Größen von Kontextblöcken im Zeitverlauf
• Wachstumsraten von prior_messages
• Muster der Diskrepanz zwischen Ziel und Aufgabe je Agent

So erkennen Sie Überladung und Änderung im Kontext, bevor sie außer Kontrolle geraten. Monitoring liefert Ihnen klare Antworten, wenn die Führung wissen will, warum Ihre „autonomen Agents“ wie überhebliche Praktikanten agieren.