Du hast diesen Monat KI-Agenten in Slack, Linear, Notion und deiner Coding-IDE aktiviert. Jeder einzelne sah aus wie ein harmloser Produktivitätsboost. Eine smarte Benachrichtigung hier, ein automatisch generiertes Ticket dort. Einzeln betrachtet: niedlich. Zusammen betrachtet — ein verteiltes System ohne Architekten.
Die gängige Weisheit: Jede Plattform liefert Agent-Features, du aktivierst sie, die Produktivität steigt. Einfache Rechnung. Die Keynotes der Anbieter nicken alle brav mit. Mehr Agenten, mehr Automatisierung, mehr Zeit für "strategisches Denken" — was offenbar bedeutet, LinkedIn zu scrollen in der Zeit, die man früher mit Jira-Tickets verbracht hat.
Aber hier ist, was auf der Bühne niemand erwähnt hat: Was passiert, wenn der Output von Agent A zum Input von Agent B wird — über Plattformgrenzen hinweg, ohne dass ein Mensch den Übergabepunkt überwacht?
Am 24. März schwenkte Linear auf Agent-Orchestrierung um. Am 31. März verwandelte Salesforce den Slackbot in ein MCP-vernetztes, agentisches System mit Zugriff auf über 6.000 Apps. Am 8. April startete Anthropic Managed Agents mit Multi-Agent-Delegation in der Public Beta. Und Notion, das am 24. Februar Custom Agents vorgestellt hatte, erweiterte sie bis Anfang April kontinuierlich über E-Mail, Slack und MCP-integrierte Tools. Vier große Plattformen, zweieinhalb Wochen für die dichteste Häufung, alle liefern gleichzeitig autonome plattformübergreifende Hooks. Jeder Launch ergab für sich genommen Sinn — wir haben darüber berichtet. Zoomt man raus, hat man eine verteilte autonome Pipeline, die niemand entworfen, getestet oder als Ganzes überwacht.
Hier ist die Kette, die bereits in Produktion läuft — und ich verwende "läuft" großzügig. Der Slack-Agent interpretiert eine Kundenbeschwerde, feuert ein Linear-Ticket ab. Linears Agent triagiert es, weist es einem Coding-Agent zu. Der Coding-Agent committet einen Fix, die PR-Benachrichtigung fließt zurück nach Slack. Notions geplanter Agent aktualisiert die Projektdokumentation. Voller Kreislauf. Jeder Schritt autonom. Jeder Schritt in einem anderen Walled Garden eines anderen Anbieters. Kein einzelner Anbieter sieht das Gesamtbild, und — hier kommt der spaßige Teil — kein einzelner Anbieter hält das für sein Problem.
Die technische Lücke ist spezifisch und unsexy: Es gibt keinen verteilten Trace, der die gesamte Kette überspannt. Bei Microservices würde man OpenTelemetry nutzen, um eine Trace-ID über Service-Grenzen zu propagieren, damit man rekonstruieren kann, was passiert ist. Agent-Plattformen machen das nicht. Anthropic trackt Session-Stunden innerhalb seiner Sandbox. Slack loggt innerhalb seines Workspace. Linear trackt innerhalb seines Boards. Der Übergabepunkt dazwischen trägt keine gemeinsame Correlation-ID, keinen kausalen Zusammenhang, keinen gemeinsamen Audit-Trail. Wenn etwas kaputtgeht — oder schlimmer, wenn ein Agent eine P0-Eskalation halluziniert, die über vier Plattformen kaskadiert — bleibt dir nur, separate Vendor-Logs zu greppen und zu hoffen, dass die Timestamps zusammenpassen. Spoiler: Werden sie nicht.
Auf der Identity-Ebene wird es noch schlimmer. OAuth-Tokens gewähren Agenten breite Berechtigungen, aber keine Plattform erzwingt eine Autorisierung pro Aktion an der Schnittstelle. Ein Agent, der in deinem Namen in Slack handelt, hat dieselben Berechtigungen — egal ob er eine Meeting-Zusammenfassung weiterleitet oder ein Production-Deployment über eine Kette von drei weiteren Agenten auslöst, von deren Existenz du nichts wusstest. Am 10. März warnte die Cloud Security Alliance, dass plattformübergreifende Agent-Delegation Identitätsrisiken erzeugt, für die niemand seine Access-Control-Architektur designed hat. Bessemers Security-Report vom März 2026 formuliert es unverblümt: 48 % der Cybersecurity-Fachleute bezeichnen agentische KI inzwischen als den gefährlichsten Angriffsvektor des Jahres. Und mein persönlicher Favorit: In einer Red-Team-Übung, die im Februar 2026 offengelegt wurde, kompromittierte McKinseys eigenes Security-Team eine interne KI-Plattform und erlangte in unter zwei Stunden breiten Systemzugriff — auf einer einzigen Plattform. Eine Plattform. Zwei Stunden. Jetzt stell dir vier vor, miteinander verkettet, mit Agenten, die automatisch zwischen ihnen delegieren. Schlaf gut.
Keine Plattform bietet plattformübergreifendes Rate Limiting über Anbietergrenzen hinweg. Nichts fängt Agenten ab, die sich gegenseitig in Endlosschleifen über Produkte hinweg triggern — klassische Feedback-Loops, nur dass die Schleife vier SaaS-Verträge und drei Rechtsräume umspannt. Keine gegenseitige Authentifizierung an Übergabepunkten. Bestehende Monitoring-Tools wie LangSmith tracken einzelne Modell-Aufrufe, keine Multi-Vendor-Kaskaden. Deloittes Prognose-Report vom Januar 2026 zitiert Gartners Vorhersage, dass Unternehmen bis Ende 2027 über 40 % ihrer agentischen KI-Projekte einstellen werden. Nur 28 % der Unternehmensführer glauben, dass sie heute ausgereiften Agent-Fähigkeiten haben. Die anderen 72 % sind ehrlich.
Also, bevor du Agenten über Plattformen hinweg verdrahtest wie eine Rube-Goldberg-Maschine auf Kosten eines fremden Budgets: Kartiere jeden Integrationspfad. Füge manuelle Freigabe-Gates an jeder plattformübergreifenden Schnittstelle ein. Fordere Audit-Logs, die nachgelagerte Effekte beinhalten, nicht nur lokale Aktionen. Und geh davon aus — zu Recht — dass kein Anbieter überwacht, was passiert, nachdem Daten sein Hoheitsgebiet verlassen haben.
Das Zuverlässigkeitsproblem im Agent-Zeitalter lebt nicht innerhalb eines einzelnen Tools. Es lebt in den unüberwachten Lücken dazwischen. Jeder Anbieter hat einen perfekten Raum gebaut. Niemand hat den Flur gebaut. Und du bist derjenige, der im Dunkeln hindurchläuft.
