Du hast deinen KI-Agenten eingerichtet — ein autonomes Programm, das in deinem Namen handelt — mit einer hübschen Liste von Tools. Web durchsuchen. Datei lesen. Jira-Ticket erstellen. Jedes einzelne eine vorhersagbare Funktion: Input rein, Output raus, wie ein Snackautomat. Du weißt, was es kostet, wie lange es dauert und was es nicht kann. Gemütlich.
Aber was, wenn manche dieser "Tools" gar keine Funktionen sind? Was, wenn sich hinter der gleichen aufrufbaren Schnittstelle eine weitere autonome KI verbirgt — eine mit eigenen Tools, eigener Reasoning-Kette und der Fähigkeit, deine Rechnung in die Höhe zu treiben? Dein orchestrierender Agent hat keine Möglichkeit, den Unterschied zu erkennen.
Google hat die Grenze ausradiert
Am 22. April hat Google auf der Cloud Next in Las Vegas ADK (Agent Development Kit) 1.0 ausgeliefert — stabile Releases für Python, Go, Java und TypeScript. Das Hauptfeature: ADK unterstützt nativ sowohl MCP-Tools (Model Context Protocol — ein universeller Anschlussstandard, um KI mit externen Diensten zu verbinden, wie USB, nur für Daten) als auch A2A-Agenten (Agent-to-Agent-Protokoll — eine Möglichkeit für KI-Agenten, als Gleichgestellte miteinander zu kommunizieren). Beides ist jetzt vom selben orchestrierenden Agenten aufrufbar. Thomas Kurian, CEO von Google Cloud, erklärte 'die Ära des Pilotprojekts ist vorbei" — 150 Organisationen setzen A2A bereits in Produktion ein.
Gleiche Speisekarte, sehr unterschiedliche Küchen
Im Code gibt es eine technische Unterscheidung. Lokale Tools landen im tools=-Parameter. Remote-A2A-Agenten im sub_agents=. Saubere Trennung auf dem Papier. Aber das LLM — das Large Language Model, das Gehirn hinter Gemini, ChatGPT, Claude — sieht beides als aufrufbare Optionen auf derselben Speisekarte. Es wählt 'search_web" oder 'ask_finance_agent" ohne jegliche Metadaten darüber, was am anderen Ende des Anrufs wartet.
Ein MCP-Tool ist zustandslos: Input rein, Output raus, deterministisch, schnell. Ein A2A-Agent ist ein nicht-deterministischer Reasoner, der eigene Tools aufrufen, mehrstufige Entscheidungen treffen, minutenlang laufen und sein eigenes Context Window aufbauen kann — die Textmenge, die die KI im Arbeitsspeicher hält. Die A2A AgentCard — die Selbstbeschreibungsdatei des Agenten — enthält Authentifizierungsschemata und Skill-Beschreibungen. Was sie nicht enthält: ein Statefulness-Flag, eine Kostenschätzung oder eine Idempotenz-Deklaration (ob ein zweimaliger Aufruf dasselbe Ergebnis liefert oder eine doppelte Aktion erzeugt).
Drei Dinge gehen gleichzeitig kaputt
Permission Scoping. Ein "Tool", das heimlich ein Agent ist, kann Berechtigungen über eigene Tool-Aufrufe eskalieren — Aufrufe, die dein Orchestrator nie autorisiert hat und nie zu Gesicht bekommt.
Kostenbudgets. Ein Agent kann unvorhersagbare Tokens verbrauchen — Wortfragmente, die die KI verarbeitet, ungefähr ¾ eines englischen Wortes — für internes Reasoning, das nie in deinen Logs auftaucht. Dein 0,002-Dollar-Tool-Call wird stillschweigend zu einer 0,50-Dollar-Agent-Session.
Retry-Logik. Eine fehlgeschlagene Funktion erneut aufzurufen ist sicher. Einen fehlgeschlagenen Agenten erneut aufzurufen kann doppelte Bestellungen erzeugen, doppelte E-Mails verschicken oder eine zweite Verhandlung mit einer anderen KI starten. Idempotent vs. nicht-idempotent — und nichts im Protokoll verrät dir, was davon zutrifft.
Sicherheitsforscher haben bereits die Mathematik durchgerechnet: Schon zehn MCP-Plugins erzeugen eine 92-prozentige Wahrscheinlichkeit für mindestens eine ausnutzbare Schwachstelle. Eine akademische Analyse hat festgestellt, dass A2As OAuth-2.0-Tokens keine strikten Ablaufanforderungen haben — geleakte Tokens bleiben stunden- oder tagelang gültig. Und Agent Cards sind selbstdeklariert: Agenten beschreiben ihre eigenen Fähigkeiten ohne unabhängige Verifizierung. Vertrau mir, ich bin ein Agent.
Das fehlende Vertrauenssignal
Weder MCP noch A2A haben ein Feld, das sagt: 'Ich bin eine dumme Funktion" vs. 'Ich bin ein autonomer Reasoner mit Kreditkarte." Beide Protokolle leben mittlerweile unter dem Dach der Agentic AI Foundation der Linux Foundation (im Dezember 2025 mitgegründet von OpenAI, Anthropic, Google, Microsoft und AWS), aber ein einheitlicher Standard für Fähigkeitsdeklaration existiert noch nicht. Entwickler müssen jeden Integrationspunkt manuell auditieren — die Art von Arbeit, die nicht skaliert und die niemand macht, bis etwas in Produktion explodiert.
Was du jetzt sofort tun solltest
Bis dieser Standard existiert, gibt es nur einen vernünftigen Default: Behandle jeden Tool-Call als potenzielle Agent-Delegation. Session-Level-Ausgabenlimits. Keine automatischen Retries. Per-Call Permission Scoping. Egal ob der Endpoint wie eine simple Suchfunktion aussieht — geh davon aus, dass er eine eigene Meinung hat.
Die Tool-Agent-Grenze war schon immer eine bequeme Fiktion. Google hat das jetzt sichtbar gemacht — in Produktionsinfrastruktur, die 150 Organisationen branchenweit nutzen. Jedes Sicherheitsmodell, das auf "Tools sind sicher, Agenten sind gefährlich" gebaut ist, muss von Grund auf neu gedacht werden. Dein Snackautomat könnte jetzt ein Eigenleben führen — und er hat definitiv seine eigenen API-Keys.
