Agentic Harness Engineering: Das Framework für zuverlässige KI-Agenten

1. System-Prompt & Skills

Der einzige Text, den jeder Aufruf sieht. Jede Zeile sollte auf einen vergangenen Fehlschlag zurückführbar sein (Addy Osmanis „Ratchet Principle“); spekulative Regeln sind Rauschen, das die Aufmerksamkeit fragmentiert. Skills mit progressiver Offenlegung erweitern den Prompt nur dann, wenn sie gebraucht werden.

2. Tool-Registry

Welche Werkzeuge bekommt der Agent überhaupt zu sehen? MCP-Server, Datei-Operationen, Suche, Code-Ausführung, Sub-Agent-Spawn. Die Faustregel der Praxis: „Zehn fokussierte Werkzeuge schlagen fünfzig überlappende.“ Überladene Tool-Menüs sind eine der häufigsten Ursachen für unzuverlässige Agenten.

3. Sandbox & Execution

Die Ausführungsumgebung — Container, Browser, isoliertes Dateisystem. Sie begrenzt den Blast Radius einer fehlgesteuerten Aktion. Eine produktive Sandbox erlaubt schnelles Iterieren und macht Rollback billig; ohne sie ist jeder Tool-Call ein Risiko.

4. Permission-Modell

Welche Aktionen darf der Agent autonom ausführen, welche brauchen menschliche Bestätigung, welche sind verboten? Least-Privilege, Allow-/Deny-Listen, Kill-Switch und Human-in-the-Loop-Checkpoints. Dies ist die Komponente, an der Artikel 14 EU AI Act („Menschliche Aufsicht“) konkret wird.

5. Memory & State

Kurzzeitiger Scratchpad (z. B. claude-progress.txt ), langfristiger Speicher, und vor allem: Git-Commits als Checkpoints . Anthropic empfiehlt Git nicht aus Tradition, sondern weil es ein geprüfter, durable Recovery-Mechanismus ist, der ohne neue Infrastruktur funktioniert.

6. Context Management

Kontextfenster sind eine Ressource, kein Feature. Komprimierung (Compaction), Reset mit Handoff-Artefakt, Skills mit progressiver Offenlegung und Just-in-Time-Retrieval bekämpfen Context Rot . Anthropic Mar 2026 stellt explizit fest: bei langen Aufgaben schlägt ein sauberer Reset eine weitere Compaction.

7. Sub-Agent-Orchestrierung

Spezialisierte Sub-Agenten für Planung, Ausführung, Bewertung — idealerweise mit Modell-Routing (großes Modell für Planung, kleines für massenhafte Tool-Calls). Die wichtigste Architektur-Entscheidung im Harness und der größte Kostenhebel.

8. Hooks & Middleware

Deterministische Durchsetzung um nicht-deterministische Modellaufrufe: Typecheck, Lint, Policy-Gates, Prüfungen vor und nach jedem Tool-Call. Hooks ersetzen nicht Evals — sie verhindern Klassen von Fehlern, die der Agent gar nicht erst sehen darf.

9. Observability

Logs, Metriken, verteilte Traces. OpenAI hat Codex-Agenten dazu gebracht, ihre eigenen Traces (LogQL/PromQL) zur Laufzeit abzufragen, um ihre eigenen PRs zu verifizieren. Observability ist kein optionales Add-on, sondern die Sensorik, ohne die Evals blind sind.

10. Eval-Loop

Aufgabenspezifische Bewertungen, getrennt vom generierenden Agenten. „Agents reliably skew positive when grading their own work.“ Wer keine Evals hat, hat keinen Harness — nur eine Demo. Hamel Husain: Dokumentation sagt, was zu tun ist; Telemetrie, ob es funktioniert hat; Evals, ob das Ergebnis gut ist.

1. In-Context-Window

Das aktuelle Sichtfenster des Modells. Schnell, aber teuer und endlich. Jede Architekturentscheidung dahinter zielt darauf, dieses Fenster freizuhalten.

2. Scratchpad

Persistente Notizen, die der Agent während einer Aufgabe schreibt (z. B. claude-progress.txt ). Pattern: bei ~30K Token Dump→Summary, Kompression auf 15K. Quelle für Recovery nach Kontext-Reset.

3. Episodischer Speicher

Vollständiger Index vergangener Trajektorien, Retrieval per Embedding-Ähnlichkeit. Hier sitzen Werkzeuge wie Anthropics Memory-Tool, Letta, Mem0, Zep, Cognee.

4. Semantischer Speicher

Destillierte Fakten und Nutzermodelle — unabhängig von einer einzelnen Konversation. In Mittelstands-Setups oft eine kleine Graph-Datenbank, nicht nur ein Vektor-Index.

5. Prozedurales Wissen

Fertigkeiten, Tool-Nutzungsmuster, AGENTS.md und Skills-Verzeichnisse. Der Teil des „Wissens“, der explizit im System-Prompt und in den Skills lebt — prüfbar, versionierbar.

Trade-Off

Vektor-First (Mem0 Default) ist einfach, leidet aber jenseits ~5.000 Items an Relevanz-Drift. Graph-augmentiert (Mem0 Hybrid, Cognee, Zep) bewältigt relationale Queries, kostet Schema-Arbeit. OS-Style-Paging (Letta) liefert auditierbares Verhalten, kostet einen Tool-Call pro Memory-Operation.

Bewährte Patterns

• Planner / Generator / Evaluator-Trennung — entfernt Self-Grading-Bias.
• Sprint Contracts vor jedem Sprint — prüfbare Akzeptanzkriterien.
• Git-as-Checkpoint — durable Recovery ohne Neu-Infrastruktur.
• Ein einziges Providers -Interface für Auth, Telemetrie, Feature-Flags (OpenAI Codex).
• Skills mit progressiver Offenlegung — gegen Context Rot.
• Self-instrumented Agents — Agenten, die ihre eigenen Traces lesen.
• „Success is silent, failures are verbose.“ — nur verhaltensändernde Tool-Errors hochreichen.

Anti-Patterns

• „Wait for the next model“ — Harness-Probleme als Modell-Probleme fehldiagnostizieren.
• Tool-Menü-Bloat — fünfzig überlappende Werkzeuge fragmentieren die Aufmerksamkeit.
• Self-Grading — derselbe Agent generiert und bewertet.
• Überregulierte AGENTS.md — Regeln ohne Bezug zu echten Fehlschlägen sind Rauschen.
• Compaction als Allheilmittel — bei langen Aufgaben schlägt ein Reset jede weitere Komprimierung.
• Monitoring ohne Containment — die 58 %/37 %-Lücke: man sieht die Probleme, kann sie aber nicht stoppen.
• Eval-Plattform ohne Skills — Observability kaufen, ohne dem Agenten beizubringen, sie zu nutzen.

Claude Code vs. Cursor

Claude Code verbraucht 5,5× weniger Tokens auf identischen Aufgaben (eine 100K-Token-Aufgabe in Cursor läuft in Claude Code mit ~18K Tokens). Trotzdem mittlere Kosten pro Aufgabe in einer 100-Aufgaben-Suite: $0,28 (Claude Code Max) vs. $0,19 (Cursor Pro).

Claude Code vs. Aider

Claude Code verbraucht 4,2× mehr Tokens als Aider auf gleichen Aufgaben — das Budget geht in Planung. Das Ergebnis: 78 % First-Pass-Pass-Rate (Claude Code) vs. 71 % (Aider). 7 Punkte Genauigkeit für 2,8× Kosten.

Sub-Agent-Routing (Anthropic)

Opus als Orchestrator, Sonnet für Sub-Agenten: +90,2 % auf internen Research-Evals gegen Single-Agent-Opus — bei ~15× mehr Tokens . Das Muster zahlt sich erst oberhalb einer Komplexitätsschwelle aus.

RouteLLM (LMSYS)

Matrix-Faktorisierungs-Router erreicht 95 % GPT-4-Qualität mit 26 % GPT-4-Aufrufen — ~48 % günstiger als Random-Baseline. Auf MT-Bench: 85 % Kostenreduktion bei gleicher Qualität.

Claude Code (Anthropic)

Anthropic vermarktet Claude Code als „general-purpose agent harness“ . Dokumentierte autonome Läufe von über sechs Stunden für Full-Stack-Anwendungen. Referenzimplementierung für Skills, Sub-Agenten, Hooks und Memory mit Git-Checkpoints. Lehrwert: wie ein modernes Harness-Permission-Modell aussieht.

OpenAI Codex App Server

Baute sich selbst: ~1 Mio. LoC, 1.500 zusammengeführte PRs, 3→7 Engineers in 5 Monaten. Durchsatz: 3,5 PRs pro Engineer pro Tag. Lehrwert: ein einziges Providers -Interface, Telemetrie als Compliance-Backbone, Self-querying Agenten.

Cursor

IDE-integrierter Coding-Harness mit eigenem Modell-Routing und Composer-Modus. Lehrwert: wie sich UX-Design und Harness-Design gegenseitig bedingen — ein guter Harness braucht ein Frontend, das Vertrauen aufbaut, nicht nur Tokens streamt.

Cline

Open-Source-Harness mit transparenter Permission-Logik und kompletter Plan/Act-Trennung. Lehrwert: wie Du ein Harness so baust, dass jede Aktion vor Ausführung sichtbar wird — relevant für Artikel 14 EU AI Act.

Aider

Git-nativer Coding-Harness, auf Pair-Programming-Workflow optimiert. Lehrwert: Git als einziger persistenter State; minimaler Sandbox; klare Demonstration, dass Komplexität kein Selbstzweck ist.

LangChain DeepAgents

Open-Source-Harness mit Default-Prompts, Planner, Filesystem-Zugriff. Lehrwert: ein guter Einstieg zum Selberbauen — lesbar, gut dokumentiert, bewusst minimal in den Annahmen.

1. Endlosschleifen / Agent-Duell

Sub-Agenten geraten in zyklische Bewertungs- oder Korrektur-Loops. $47.000 LangChain-A2A-Loop (Nov. 2025); Claude Code Audit-Stamp-Invalidation-Loop (April 2026).

2. Kosten-Eruptionen

Selbe Wurzel wie #1 plus runaway Sub-Agent-Rekursion. Industrieweite Schätzung 2026: $400 Mio. FinOps-Leak in der Fortune 500.

3. Daten-Exfiltration via Tools

GitHub-MCP Private-Repo-Exfil; Supabase-Cursor SQL-Leak in öffentlichem Support-Thread; WhatsApp-MCP Rug-Pull-Demo.

4. Tool-Poisoning / Supply Chain

postmark-mcp-Backdoor; MCPoison persistente Code-Execution (CVE-2025-54136); Anthropic mcp-server-git RCE-Kette.

5. Goal Hijacking

OWASP ASI01: Agenten werden durch adversariale Issue-/E-Mail-/Dokument-Inhalte umgelenkt. Klassischer Vektor: ein Bug-Report enthält Anweisungen, die der Agent als Auftrag interpretiert.

6. Rogue Drift

Abweichung vom Soll-Verhalten mit gültigen Permissions . ISACA nennt das 2026 das schwierigste Detektions-Problem — weil keine Berechtigung verletzt wird.

7. Zero-Click-Prompt-Injection

Erste öffentlich dokumentierte Zero-Click-AI-Schwachstelle 2025. Inhalt aus einem Tool-Output reicht, um Aktionen auszulösen — ohne Nutzerinteraktion.

8. Sub-Agent-Context-Loss

Cognitions Telephone-Game : Detail-Verluste zwischen Sub-Agenten führen zu inkompatiblen Outputs. Mitigation: Sprint-Contracts und vollständige Trace-Sharing.

Phase 1: Bestandsaufnahme (Woche 1)

Audit

Inventar von Tool-Registry, Permission-Modell, vorhandenem Logging und vorhandenen Evals. Identifikation der zehn Komponenten — was existiert, was fehlt, was ist halbgar. Mapping auf EU-AI-Act-Artikel 9–15. Ergebnis: Harness-Reifegradbericht.

Phase 2: Eval-Loop (Woche 2–4)

Foundation

Aufgabenspezifische Evals werden gebaut, bevor Architektur geändert wird. Ohne Eval kein Vorher/Nachher-Vergleich. Trennung Generator/Evaluator als erste strukturelle Maßnahme. Ergebnis: reproduzierbarer Pass-Rate-Wert auf einer Goldmenge von Aufgaben.

Phase 3: Permission & Containment (Woche 4–6)

Compliance

Kill-Switch, Permission-Gates, Sandbox-Isolation. Schließt die Governance-Containment-Lücke und macht Artikel 14 EU AI Act erfüllbar. Ergebnis: der Agent ist tatsächlich stoppbar — nicht nur überwachbar.

Phase 4: Sub-Agent-Architektur (Woche 6–10)

Scale

Planner / Generator / Evaluator-Trennung als Architektur. Modell-Routing zur Kostenkontrolle. Skills mit progressiver Offenlegung. Ergebnis: der Harness skaliert über längere Aufgaben, ohne in Context Rot zu kollabieren.

Wettbewerbsvorteil über Modellgenerationen hinweg

Modelle werden austauschbar; Harness-Investitionen amortisieren sich über jede Modellgeneration. Wer einen sauberen Harness hat, kann das beste verfügbare Modell einsetzen — ohne sich an einen Anbieter zu binden.

Compliance als Nebenprodukt

EU AI Act, NIS2, DORA, Branchenregulatorik — alle verlangen dieselben Bausteine: Logging, menschliche Aufsicht, Risikomanagement, Robustheit. Ein gut gebauter Harness produziert die Evidenz fast nebenbei.

Kostenkontrolle

Sub-Agent-Routing, Compaction, Kontext-Reset und spezialisierte kleine Modelle für Massen-Tool-Calls sind die größten Hebel für die Pro-Aufgabe-Kosten. Ohne Harness keine Kontrolle über diese Hebel.

DACH-Sichtbarkeit

Deutsche Stimmen zur Harness-Engineering-Praxis sind 2026 dünn gesät. Wer früh Produkterfahrung dokumentiert, wird zum Referenzpunkt für Branche und Aufsicht — mit konkreten Konsequenzen für Sandbox-Zugang und Pilotpartnerschaften.