Du hast einen autonomen Agenten deployed — ein Stück KI, das eigenständig Aufgaben erledigt, ohne dass du irgendwo klickst — um nachts Support-Tickets abzuarbeiten. Du bist ins Bett gegangen. Der Agent hat weitergearbeitet. Der Zähler lief weiter. Niemand hat zugeschaut.

Das ist das Setup. Und jetzt das Problem: 'autonom" plus 'verbrauchsbasiert" ergibt eine offene Kreditlinie ohne Deckel, und niemand hat deiner Buchhaltung Bescheid gesagt.

Jeder Anbieter liefert dieselbe Lücke

Innerhalb einer Woche — vom 8. bis 15. April 2026 — haben Anthropic und OpenAI beide produktionsreife Agent-Runtimes veröffentlicht: Umgebungen, in denen KI-Agents eigenständig laufen, mit verbrauchsbasierter Abrechnung und null Kostenlimits pro Sitzung. Google hatte dieselbe Lücke schon seit Monaten in seiner Plattform. Drei Anbieter, ein gemeinsamer blinder Fleck:

  • Anthropic hat Managed Agents am 8. April gelauncht für $0,08 pro Session-Stunde plus Token-Kosten (Tokens — die Wort-Häppchen, die KI verarbeitet, grob ¾ eines englischen Wortes). Am 14. April kamen Claude Code Routines mit täglichen Run-Limits (5 für Pro, 15 für Max, 25 für Teams) — aber kein Dollar-Deckel pro Run.
  • OpenAI hat sein Agents SDK am 15. April aktualisiert mit neuen Sicherheitsfeatures. Das SDK zeigt Token-Zähler an, hat aber keinen max_cost_usd-Parameter. Das einzige Spending-Limit? Ein organisationsweites Monatsbudget — eine einzige Zahl für alle Nutzer und Produkte.
  • Google bepreist seine Vertex AI Agent Engine — die im Dezember 2025 GA ging und seit Februar 2026 abrechnet — mit $0,0864 pro vCPU-Stunde (vCPU — ein virtueller Prozessorkern in der Cloud), ohne dokumentiertes Session-Level-Limit. Die Plattform läuft schon länger ohne Kostenbremse als die beiden anderen überhaupt existieren.

Jede Plattform drosselt die Request-Rate, um die eigene Infrastruktur zu schützen. Keine drosselt die Ausgaben, um dein Konto zu schützen.

Der strukturelle Anreiz, über den niemand spricht

Bei verbrauchsbasierter Abrechnung generiert ein hängender Agent, der drei Stunden lang denselben fehlgeschlagenen API-Call wiederholt, denselben Umsatz wie ein produktiver. Einen nativen Kill Switch zu bauen — einen Circuit Breaker (ein Mechanismus, der die Ausführung automatisch stoppt, wenn ein Schwellenwert erreicht wird) — bedeutet, freiwillig den eigenen Umsatz zu deckeln. Die Anreizrechnung ist gnadenlos.

Das ist keine Theorie. Ein Bericht auf DEV Community vom 23. März dokumentierte vier LangChain-Agents (LangChain — ein populäres Framework zum Bauen von KI-Agent-Ketten), die 11 Tage in einer rekursiven Feedback-Schleife feststeckten. Die Rechnung: $47.000. Erkennungsmethode: ein Mensch, der eine Rechnung las. Kein Alert. Eine Rechnung.

Eine separate RunCycles-Analyse vom 18. März beschrieb einen GPT-4o Research-Agent in einer Retry-Schleife — über 200 Calls in weniger als einer Stunde, $1.400 für einen einzigen Run.

Die Heimwerker-Steuer

Workarounds gibt es. So sieht ein absolut minimaler Kosten-Guardrail in Python aus:

import time

class AgentBudget:
    def __init__(self, max_usd: float = 5.0, cost_per_1k_tokens: float = 0.005):
        self.max_usd = max_usd
        self.cost_per_1k = cost_per_1k_tokens
        self.total_tokens = 0

    def track(self, tokens_used: int):
        self.total_tokens += tokens_used
        spent = (self.total_tokens / 1000) * self.cost_per_1k
        if spent >= self.max_usd:
            raise RuntimeError(f"Budget exceeded: ${spent:.2f} >= ${self.max_usd}")
        return spent

budget = AgentBudget(max_usd=10.0)
# Wrap every LLM call:
spent = budget.track(tokens_used=3200)

Drittanbieter-Proxies wie Helicone und Portkey bieten Dashboards und virtuelle Keys mit Budgetlimits. Aber jeder Workaround fügt genau die Kontrollschicht hinzu, die autonome Agents eigentlich überflüssig machen sollten.

Wie PYMNTS am 15. April berichtete, hat Anthropic gleichzeitig die Enterprise-Abrechnung von Flatrate auf verbrauchsbasiert umgestellt. Fredrik Filipsson, Mitgründer von Redress Compliance, schätzte, dass dies 'die Kosten für Heavy User verdoppeln oder sogar verdreifachen" wird. Mehr verbrauchsbasierte Abrechnung, immer noch kein Budget-Regler pro Session.

Was das für dich bedeutet

Jeder autonome Agent, den du heute deployst, ist ein Prozess mit Root-Zugriff auf dein Rechnungskonto — ohne sudo-Äquivalent. Die Architektur-Entscheidung ist klar: Deploy niemals einen Agent ohne Kosten-Wrapper in deinem eigenen Code. Warte nicht darauf, dass das SDK max_cost_usd einbaut — dieser Parameter kommt am Tag nachdem jemandes fünfstellige Rechnung auf X viral geht, nicht vorher.

Die Cloud-Billing-Horrorstory, die dieses Feature erzwingt, ist kein Gedankenexperiment. Es ist eine Frage des Wann. Die einzige Variable ist, wessen Kreditkarte die Lektion finanziert.