Du hast von Claude Managed Agents gehört. Inzwischen — 11. April 2026 — wahrscheinlich schon sechs Mal. Anthropic hat Managed Agents am 8. April gelauncht. Dann kamen die Preise, die Early Adopter, das Framing "Agents als Headcount". Alles durchgekaut.
Was fehlte: Wie Multi-Agent Delegation unter der Haube tatsächlich aussieht — und warum deine Compliance-Abteilung deswegen gerade schlaflose Nächte haben sollte.
Die Architektur, die niemand erklärt hat
Anthropics Multi-Agent Delegation funktioniert so: Du definierst einen Coordinator Agent — den Chef — und listest auf, welche Sub-Agents er aufrufen darf. Jeder wird per ID deklariert, keine Zweideutigkeiten. Der Coordinator verteilt Aufgaben; jeder Sub-Agent bekommt seinen eigenen Thread (einen separaten Arbeitsbereich mit eigenem Gesprächsverlauf) und sein eigenes Context Window — die Menge an Text, die die KI gleichzeitig "sehen" kann, quasi das Arbeitsgedächtnis.
Sub-Agents teilen sich denselben sandboxed Container und dasselbe Dateisystem, können also gemeinsam an Dateien arbeiten. Der Coordinator sieht eine komprimierte Zusammenfassung dessen, was jeder Sub-Agent getan hat. Du willst die vollen Details? Dann musst du in die einzelnen Thread-Logs reingraben.
Anthropics erlaubt nur eine Delegationsebene. Der Coordinator ruft Sub-Agents auf, aber diese Sub-Agents können keine eigenen Agents starten. Keine rekursiven Kaninchenlöcher. Kein Agent Inception. Noch nicht.
Diese Architektur spiegelt Microservices wider — viele kleine Programme, die sich gegenseitig aufrufen, statt eines großen Programms, das alles macht. Mit einem entscheidenden Unterschied: Jedes Glied in dieser Kette trifft probabilistische Entscheidungen (fundierte Vermutungen basierend auf Mustern), keine deterministischen (gleicher Input, garantiert gleicher Output). Wenn ein Sub-Agent den Kontext falsch interpretiert, crasht der Fehler nicht — er propagiert höflich durch das gesamte System.
Bei Microservices liefert eine fehlerhafte Antwort einen Error Code. Bei Multi-Agent Delegation liefert eine fehlerhafte Antwort einen selbstbewusst klingenden Absatz, den der Coordinator vielleicht bemerkt. Vielleicht auch nicht.
Die Zahlen, die deine Compliance-Abteilung noch nicht gesehen hat
Laut Gravitees State of AI Agent Security Report, veröffentlicht am 18. Februar 2026, melden 88 % der Unternehmen bestätigte oder vermutete Sicherheitsvorfälle mit KI-Agents. Nur 14,4 % haben eine vollständige IT- und Sicherheitsfreigabe für ihre gesamte Agent-Flotte. Die durchschnittliche Monitoring-Abdeckung liegt bei 47,1 % — mehr als die Hälfte der eingesetzten Agents operiert also ohne jede Aufsicht.
Das sind Single-Agent-Deployments. Jetzt pack Delegation obendrauf.
Ein Coordinator, der an zwölf Sub-Agents delegiert, bedeutet zwölf separate Threads, die unabhängig Entscheidungen treffen, jeder mit komprimierten Zusammenfassungen, die auf dem Rückweg Details verlieren. Deine Monitoring-Abdeckung multipliziert sich nicht — sie teilt sich.
Die Compliance-Lücken sind bereits dokumentiert
Augment Codes Enterprise-Audit-Analyse, veröffentlicht am 8. April 2026, hat Multi-Agent-Systeme gegen die wichtigsten Compliance-Frameworks abgeglichen. Die Lücken sind konkret:
SOC 2 Type II verlangt nachweisbare Kontrollen über die Datenverarbeitung. Multi-Agent Delegation erzeugt Verarbeitungsketten, bei denen Zwischenentscheidungen keine individuellen Audit Trails haben.
ISO 42001 (der Standard für KI-Managementsysteme) verlangt Risikobewertungen für KI-Systeminteraktionen. Delegierte Agents, die über gemeinsame Dateisysteme und komprimierte Zusammenfassungen interagieren, erzeugen Interaktionsmuster, die die meisten Risikobewertungen nicht abdecken.
EU AI Act, Artikel 12 verlangt, dass Logging architektonisch möglich ist — nicht nur als Policy, die irgendwer geschrieben hat. Die meisten Agent-Plattformen erfüllen diese Anforderung nicht. Der Coordinator sieht Zusammenfassungen; die vollständigen Thread-Logs existieren zwar, erfordern aber manuelles Durchgraben. Das ist nicht dasselbe wie architektonisch integriertes Logging.
Und es gibt Präzedenzfälle dafür, was passiert, wenn Regulierungsbehörden automatisierte Systeme mit fehlerhaften Outputs erwischen. Im September 2022 verhängte die FINRA gegen UBS eine Strafe von 1,1 Millionen Dollar für automatisierte Systeme, die über einen mehrjährigen Zeitraum systematisch fehlerhafte regulatorische Meldungen produziert hatten. Automatisierung bekommt keinen Compliance-Rabatt. Delegation auch nicht.
Was "eine Delegationsebene" wirklich bedeutet
Anthropics Ein-Ebenen-Limit klingt nach Sicherheitsleitplanke, und das ist es teilweise auch. Aber selbst innerhalb dieser Beschränkung kann ein einzelner Coordinator Dutzende Sub-Agents gleichzeitig losschicken. Jeder trifft Entscheidungen. Jeder produziert Thread-Logs, die irgendwann jemand in deiner Compliance-Abteilung lesen muss.
Die Frage hat sich verschoben. Es geht nicht mehr darum, was ein Agent tun kann. Es geht darum, was ein Agent autorisieren kann, ohne dich vorher zu fragen — und ob dein Audit Trail die Antwort festhält.
Die Pointe
Single-Agent-Automatisierung war ein Werkzeug. Multi-Agent Delegation ist ein Organigramm, das sich selbst schreibt — auf Basis probabilistischer Entscheidungen, mit 47 % Sichtbarkeit und Compliance-Frameworks, die nicht hinterherkommen.
Du hast mit einem Mitarbeiter angefangen. Jetzt leitest du eine Abteilung, die du nie genehmigt hast.
Willkommen im mittleren Management. Die KI-Version.
→ Anthropic Managed Agents Docs → Gravitee: State of AI Agent Security → Augment Code: Enterprise Audit Analysis
