Du installierst Apps aus dem App Store. Du ziehst Pakete von npm. Du deployst Cloud-Images vom AWS Marketplace. Jedes Stück Software, das du nutzt, hat irgendjemandes Qualitätskontrolle durchlaufen — Code-Signaturen, Berechtigungsprüfungen, CVE-Scans. Du denkst nicht mal drüber nach, weil das System funktioniert. Meistens.

Jetzt soll dein Team einen vorgefertigten KI-Agenten deployen — ein Programm, das nicht einfach rumsitzt und auf Klicks wartet, sondern autonom auf deiner Infrastruktur handelt, E-Mails verschickt, Datenbanken abfragt, Entscheidungen trifft. Du öffnest die Marketplace-Seite und findest: ein Herstellerlogo, einen Absatz Marketing-Blabla und einen "Installieren"-Button. Das war's.

Die Agentic Cloud ist da

Die Google Cloud Next 2026 startete heute in Las Vegas, und CEO Thomas Kurian hatte ein Wort für die Keynote: "The Agentic Cloud." Übersetzt: Google will Agenten überall, und du sollst sie aus ihrem Schaufenster deployen. Agent Garden — eine kuratierte Agenten-Sammlung mit One-Click-Deploy. Eine erweiterte AI-Agents-Sektion im Cloud Marketplace mit A2A-Kompatibilitätsfiltern. ADK hat v1.0 für Python erreicht. Cloud-Umsatz: 17,7 Milliarden Dollar im letzten Quartal, plus 48 %. Der Auftragsbestand hat sich auf 240 Milliarden Dollar verdoppelt. Google pitcht keine Vision — sie bauen das Einkaufszentrum und drucken die Mietverträge.

Aber hier ist, was niemand auf der Bühne erwähnt hat: Der Review-Prozess des Google Cloud Marketplace prüft Integrationsvollständigkeit und Preismodell. Nicht, was der Agent tatsächlich tut, wenn er deine Zugangsdaten hat und auf eine mehrdeutige Anweisung trifft.

Statisch vs. Behavioral: Die Verifikationslücke

App Stores verifizieren statische Eigenschaften — Berechtigungen, Code-Signaturen, bekannte Schwachstellen (CVEs — öffentlich katalogisierte Sicherheitslücken). Das funktioniert, wenn Software auf deine Eingabe wartet. Agenten warten nicht. Sie schlussfolgern, planen und handeln. Zu verifizieren, was Software ist (sicher, signiert, konform) — das ist ein gelöstes Problem. Zu verifizieren, was Software unter unvorhersehbaren Laufzeitbedingungen tut — das ist eine fundamental andere Herausforderung.

Wie ReversingLabs am 15. April beobachtete: "Während die Aktionen eines LLM überprüfbar sein mögen, kann die Begründung hinter diesen Aktionen unerkennbar sein." Das ist keine philosophische Spitzfindigkeit. Es bedeutet, dass Marketplace-Scanner den Code eines Agenten als sauber verifizieren können, während sie strukturell unfähig bleiben, sein Laufzeitverhalten vorherzusagen.

Der Schaden ist bereits dokumentiert

Das ist nicht theoretisch. Ende Januar hat der ClawHavoc-Angriff genau gezeigt, wie die Lücke ausgenutzt wird. Zwischen dem 27. Januar und dem 5. Februar platzierten Angreifer 1.184 bösartige Skills auf ClawHub — etwa jedes fünfte Paket im Ökosystem. Ein einziges Autoren-Konto lud 677 davon hoch. Neun CVEs. Skills erben die vollständigen Berechtigungen des Agenten, der sie ausführt — Zugang zu privaten Daten, API-Keys, alles. Der Marketplace hatte keinerlei Verhaltensverifikation, um irgendetwas davon zu erkennen.

Manifold Security startete am 14. April seine Manifest-Plattform, um genau dieses Problem anzugehen — Indexierung von über 238.000 Skills über Agenten-Registries hinweg mit Execution-Graph-Analyse, die abbildet, was ein Agent zur Laufzeit tatsächlich tut statt was er in seinen Metadaten deklariert. Microsoft lieferte am 2. April ein Agent Governance Toolkit mit Ed25519-Plugin-Signierung und dynamischem Trust-Scoring. Das sind sinnvolle Schritte. Aber es sind Governance-Toolkits und unabhängige Plattformen — keine marktplatzweiten Zertifizierungsstandards, die in den "Installieren"-Button eingebaut sind.

Du bist die Qualitätssicherung

Solange keine skalierbare Verhaltenszertifizierung existiert — ein Weg zu verifizieren, was ein Agent tut, nicht nur was er behauptet — ist jeder Agent, den du von irgendeinem Marketplace installierst, ein ungeprüfter autonomer Akteur, der unter deiner Identität läuft, mit deinen Zugangsdaten, auf deiner Infrastruktur. First-Party-Agenten von Google oder Microsoft kommen mit Markenvertrauen. Aber Marketplace-Ökonomie verlangt nach Drittanbieter-Listings, Community-Agenten, Long-Tail-Integrationen. Da entscheidet sich, ob App Stores leben oder sterben. Und da schaut gerade niemand hin.

Erinnerst du dich, als du dir über App-Store-Verifizierung keine Gedanken machen musstest, weil das System einfach funktionierte? Für Agenten existiert dieses System noch nicht. Der Anbieter, der es baut, gewinnt nicht einfach ein Produktfeature — er wird die Vertrauensschicht besitzen, die über jeder konkurrierenden Agenten-Runtime sitzt. Google, Anthropic, OpenAI — sie alle werden jemanden brauchen, der die Frage beantwortet, die ihre Marketplaces aktuell umgehen: Was tut dieser Agent eigentlich?