Montagmorgen. Eine KI erhält die Aufgabe: „Analysiere alle Kundenbeschwerden der letzten Woche,
prüfe ob die häufigsten Probleme in den Systemlogs auftauchen, und schreibe eine
Zusammenfassung für das Management.“ Zwei Stunden später liegt der Bericht vor – strukturiert,
vollständig, mit Quellenverweisen aus dem Ticketsystem.
Kein Mensch hat dabei geklickt, kopiert oder überwacht.
Das ist Agentic AI – und viele staunen, als wäre das Magie. Es ist keine Magie. Es sind drei konkrete
Fähigkeiten, die moderne Large Language Models (LLMs) mitbringen. Wer diese Grundlagen versteht,
versteht auch, warum der aktuelle Hype technisch berechtigt ist – und wo die Grenzen liegen.

Was ein LLM wirklich ist – und was das mit Agency zu
tun hat

Ein LLM ist, vereinfacht gesagt, eine Maschine, die auf Basis eines riesigen Trainingsdatensatzes
lernt, welches Wort (genauer: welches „Token“) in einem gegebenen Kontext am wahrscheinlichsten
als Nächstes kommt. Aus diesem scheinbar simplen Mechanismus entstehen bei ausreichend
Modellgröße und Trainingsdaten überraschende Fähigkeiten, die niemand explizit einprogrammiert
hat: Schlussfolgern, Planung, Reflexion.
Man nennt das emergente Fähigkeiten, d.h. Eigenschaften, die ab einem bestimmten
Schwellenwert „auftauchen“, ohne direkt trainiert worden zu sein.

Was bis vor wenigen Jahren noch fehlte: die Hände. Das Modell konnte denken – aber nicht handeln.

Die drei Säulen von Agentic AI

Agentic AI entsteht, wenn ein LLM mit drei Fähigkeiten ausgestattet wird: Werkzeuge, Planung und
Gedächtnis. Keine dieser Fähigkeiten allein macht einen Agenten. Zusammen ergeben sie ein
System, das eigenständig mehrstufige Aufgaben lösen kann.

Säule 1: Werkzeuge – die Hände des Agenten

Werkzeuge oder Tool Use (auch „Function Calling“ genannt) ist der technische Kernmechanismus,
der LLMs von Chatbots zu Agenten verwandelt. Das Prinzip ist überraschend einfach – und lässt sich
in drei Fragen aufschlüsseln:

• Wie weiß das Modell von den verfügbaren Werkzeugen?
• Wie wählt es das richtige Werkzeug für eine Aufgabe aus?
• Wie benutzt es das Werkzeug (als Tool) korrekt?

Die ersten Tools war die einfache Suche im Internet über Suchmaschinen. Nachdem LLMs aber auch
sehr gut Source Code schreiben können, war bald klar, dass man auch Werkzeuge zur Manipulation
von Files und anderen Datenquellen haben möchte.
Die Kombination hat sich als wirkungsvoller herausgestellt, als dies zunächst ausgesehen hat.

Die Speisekarte: Wie das LLM seine Tools kennt

Dem LLM wird zu Beginn einer Aufgabe eine Liste verfügbarer Werkzeuge mitgegeben – aber nicht
als rein technische API-Dokumentation, sondern als lesbare Beschreibung in natürlicher Sprache.
Jedes Tool bekommt einen Namen, eine Erklärung wofür es da ist, und eine Beschreibung der
Parameter, die es erwartet. Das sieht konzeptuell z.B. so aus:

Das LLM liest diese Beschreibungen wie eine Speisekarte – und entscheidet anhand der Aufgabe und
der Tool-Beschreibungen, ob eines der verfügbaren Werkzeuge in der aktuellen Situation passt. Die
Qualität dieser Beschreibungen ist dabei entscheidend: Ein Tool mit einer vagen Beschreibung wird
das Modell falsch oder gar nicht einsetzen.

Die Entscheidung: Wie das LLM das richtige Tool wählt

Das Modell trifft die Tool-Auswahl nicht durch eine separate Logik oder ein Regelwerk – es ist reines
Sprachverständnis. Das LLM liest gleichzeitig die Aufgabe und die Tool-Beschreibungen und schreibt
sich einen Plan auf um zu entscheiden, welches Tool am besten zur aktuellen Situation passt. Dabei
berücksichtigt es:

• Passt das Tool zur Aufgabe? – „Ich brauche aktuelle Daten“ → kein Rückgriff auf
  Trainingswissen, sondern Tool-Aufruf
• Welche Parameter braucht das Tool? – Das Modell extrahiert die benötigten Werte aus der
  Aufgabenbeschreibung oder dem bisherigen Kontext
• Ist das Tool gerade sinnvoll? – Das Modell kann auch entscheiden, kein Tool aufzurufen und
  direkt zu antworten, wenn es bereits alle nötigen Informationen hat

Wichtig: Das Modell kann aus einer Liste von zehn oder zwanzig Tools das jeweils passende
auswählen – aber es wählt immer nur unter den Tools, die ihm tatsächlich mitgegeben wurden.

Der Aufruf: Wie das LLM ein Tool aktiviert

Wenn das Modell ein Tool aufrufen möchte, gibt es keine Antwort in natürlicher Sprache zurück,
sondern eine strukturierte Anfrage: Tool-Name und die konkreten Parameter als klar
maschinenlesbares Format. Konzeptuell:

Tool = lade_tickets
Parameter = Zeitraum = „letzte 7 Tage“
Typ = „Beschwerde“
Status = „offen“

Die umgebende Anwendung empfängt diesen Aufruf, führt ihn aus – also fragt wirklich das CRMSystem ab – und gibt das Ergebnis ans LLM zurück. Das Modell verarbeitet das Ergebnis und
entscheidet dann: Reicht das? Brauche ich noch ein weiteres Tool? Oder kann ich jetzt die Aufgabe
abschließen?
Dieser Kreislauf – Aufgabe → Tool-Aufruf → Ergebnis → nächste Entscheidung – kann sich
mehrfach wiederholen, bis die Aufgabe vollständig erledigt ist.
Ein wichtiges Detail für sicherheitsbewusste Leser: Das LLM führt Tools nicht selbst aus. Es
schreibt einen strukturierten Aufrufauftrag – die Ausführung übernimmt die Anwendung, die das LLM
aufgerufen hat. Diese entscheidet, ob und wie die Anfrage tatsächlich umgesetzt wird. Dieser
Mechanismus ist keine technische Einschränkung, sondern bewusste Architektur: So behält man die
vollständige Kontrolle darüber, welche Aktionen überhaupt möglich sind, welche Systeme erreichbar
sind und wofür man welche Berechtigungen einsetzt.

Säule 2: Planung – das Denken des Agenten

Tool Use allein reicht nicht. Eine komplexe Aufgabe besteht aus mehreren Schritten, die in der
richtigen Reihenfolge ausgeführt werden müssen, voneinander abhängen und sich gegenseitig
beeinflussen. Dafür braucht ein Agent Planung.

Moderne LLMs können durch eine einfache Technik – das explizite „Schritt für Schritt denken“ oder
auch als Chain of Thought bezeichnet – bei komplexen Aufgaben messbar besser werden. Das
Modell wird nicht nur nach der Antwort gefragt, sondern auch nach dem Weg zur Antwort. Das klingt
banal, verdoppelt aber in Benchmarks die Qualität bei mehrstufigen Problemen.

Das wichtigste Architekturmuster für Agenten baut auf das ReAct-Muster (Reasoning + Acting). Es
beschreibt einen Denk-Handlungs-Kreislauf:

Gedanke: Was brauche ich als nächstes?
Aktion: [Tool-Aufruf mit Parametern]
Beobachtung: [Ergebnis des Tools]
Gedanke: Was bedeutet dieses Ergebnis? Was ist der nächste Schritt?
…
Ein konkretes Beispiel für unser Einstiegsszenario:

Gedanke: Ich brauche die Kundenbeschwerden der letzten Woche.
Aktion: [Tool: lade_tickets, Zeitraum: letzte 7 Tage, Typ: Beschwerde]
Beobachtung: [247 Tickets, häufigste Kategorie: „Login-Probleme“ (38%)]

Gedanke: Login-Probleme sind die häufigste Kategorie.
Ich prüfe, ob es dazu Einträge in den Systemlogs gibt.
Aktion: [Tool: durchsuche_logs, Suchbegriff: „authentication error“, Zeitraum: 7 T
Beobachtung: [3.240 Fehlereinträge – deutlicher Anstieg ab Dienstag]

Gedanke: Zusammenhang gefunden. Ich kann jetzt den Bericht schreiben.
Aktion: [Tool: erstelle_dokument, Inhalt: …]

Der Agent „denkt laut“ – und das ist kein Gimmick. Es ist technisch entscheidend, weil das Modell so
Zwischenschritte explizit machen und darauf aufbauen kann, anstatt bei einem komplexen Problem
direkt eine (schlecht durchdachte) Antwort zu generieren.

Säule 3: Gedächtnis – das Wissen des Agenten

LLMs haben von Natur aus kein dauerhaftes Gedächtnis. Mit dem Ende einer Sitzung ist alles
vergessen. Agenten-Systeme bauen deshalb künstliches Gedächtnis auf verschiedenen Ebenen auf.

Das Context Window ist dabei das Arbeitsgedächtnis eines Agenten: alles, was das Modell im
aktuellen „Auftrag“ sieht – die ursprüngliche Aufgabe, alle bisherigen Tool-Ergebnisse, alle
Zwischengedanken. Je größer dieses Fenster, desto komplexere Aufgaben kann ein Agent
theoretisch bearbeiten. Aktuelle Spitzenmodelle verfügen über Context Windows von mehreren
hunderttausend bis zu einer Million Tokens – genug für ganze Bücher an Text. Das war vor drei
Jahren noch undenkbar.

Das Langzeitgedächtnis über Datenbanken (RAG) oder durch den Zugriff auf einen Filestorage etc.
erlaubt Agenten, auf Wissensbasen zuzugreifen, die weit größer sind als das Arbeitsgedächtnis:
interne Dokumente, Handbücher, historische Projektdaten. Der Agent sucht gezielt, was er gerade
braucht – ähnlich wie ein Mensch, der nicht alles auswendig weiß, aber weiß, wo er nachschaut.
Neben Wissen können dort auch Regeln für die Verarbeitung des Wissens abgelegt sein.

Fazit: Oder – Warum geht das erst jetzt?

Das ist keine Selbstverständlichkeit. Noch vor drei bis vier Jahren hätten dieselben Mechanismen bei
schwächeren Modellen überwiegend nicht funktioniert. Was hat sich verändert?

• Skalierung: Mehr Parameter, mehr Trainingsdaten – ab einem bestimmten Schwellenwert
  entstehen emergente Fähigkeiten wie zuverlässiges Instruction Following.
  
• RLHF: Modelle wurden durch menschliches Feedback trainiert, nützliche und präzise Antworten
  zu priorisieren – das verbessert die Zuverlässigkeit bei Tool-Aufrufen.
  
• Tool-Use-Training: Aktuelle Topmodelle wurden explizit darauf trainiert, strukturierte Aufrufe
  zuverlässig zu generieren und die Ergebnisse korrekt zu verarbeiten.
  
• Größere Context Windows: Erst mit ausreichend Arbeitsgedächtnis können mehrstufige
  Agenten-Aufgaben überhaupt sinnvoll bearbeitet werden.

Der Durchbruch war kein einzelner Moment. Es war ein graduelles Überschreiten mehrerer Schwellen
gleichzeitig – bei Modellgröße, Trainingsqualität und Kontextlänge.

Claude Mythos Preview ist das fähigste KI-Modell, das Anthropic nach eigenen Aussagen je trainiert hat. Es wird bis auf weiteres nicht für die Öffentlichkeit freigegeben, sondern nur ausgewählten Partnern für spezielle Projekte zur Verfügung gestellt. Warum das so ist – und was es bedeutet habe ich mir genauer angesehen.

Was ist Claude Mythos Preview?

Claude Mythos Preview ist Anthropics neuestes Frontier-Modell, veröffentlicht am 7. April 2026. Laut dem begleitenden System Card zeigt es „einen markanten Sprung“ bei vielen Evaluierungs-Benchmarks gegenüber dem bisherigen Spitzenmodellen von Antrophic, z.B. Claude Opus 4.6.

Anthropic hat beschlossen, das Modell ausschließlich im Rahmen von Project Glasswing an eine begrenzte Zahl von Partnerorganisationen bereitzustellen, die kritische Softwareinfrastruktur betreiben.

Der Grund wurde eindeutig benannt: Die Cybersecurity-Fähigkeiten des Modells sind so weit fortgeschritten, dass eine unkontrollierte Freigabe als zu riskant eingestuft wird.

Anthropic formuliert es auf der Glasswing-Seite explizit:

„Securing critical infrastructure is a top national security priority for democratic countries—the emergence of these cyber capabilities is another reason why the US and its allies must maintain a decisive lead in AI technology.“

Wie gut ist Claude Mythos Preview wirklich in Cybersecurity?

Die Angaben aus dem System Card sind noch nicht unabhängig bestätigt. Sollten sie tatsächlich zutreffen, sind sie durchaus beeindruckend:

Cybench – CTF Challenges

Cybench ist ein etablierter öffentlicher Benchmark mit 40 Capture-the-Flag-Challenges (CTF) aus echten Sicherheitswettbewerben. CTF-Challenges simulieren reale Angriffs- und Verteidigungsszenarien, von Reverse Engineering bis hin zu Schwachstellenanalyse. Anthropic hat Claude Mythos Preview auf einem Teilausschnitt von 35 Challenges evaluiert.

Claude Mythos Preview löst jede getestete Challenge mit 100 % Erfolgsquote. Der Benchmark ist damit saturiert – Anthropic erwägt Cybench für zukünftige Modelle nicht mehr zu reporten.

CyberGym – Echte Schwachstellen in Open-Source-Software

CyberGym ist anspruchsvoller: Hier geht es nicht um gamifizierte Challenges, sondern um die Reproduktion von echten, bereits bekannten Sicherheitslücken aus realen Open-Source-Projekten. Das Modell erhält eine Beschreibung der Schwachstelle und muss sie eigenständig in der Software auffinden. Der Benchmark umfasst 1.507 solche Aufgaben.

Ein Sprung von ~24 % gegenüber dem bisherigen Spitzenmodell – bei echten, bereits bekannten Sicherheitslücken.

Firefox 147 – Von der Schwachstelle zum funktionierenden Exploit

Gemeinsam mit Mozilla hatte Anthropic bereits zuvor Sicherheitslücken in Firefox Release 147.0 (vom 13. Jan 2026) gefunden und gepatcht. Auf dieser Arbeit wurde ein weiterer Test aufgesetzt. Das Modell erhielt 50 bereits von Opus 4.6 entdeckte Crash-Kategorien (d.h. grundlegende Arten von Problemen in Firefox) als Ausgangspunkt und sollte in einer isolierten Umgebung für die JavaScript und WebAssembly-Engine (SpiderMonkey) von Firefox funktionsfähige Exploits entwickeln, die beliebige Code-Ausführung ermöglichen.

• Claude Opus 4.6 schaffte Exploits in nur 2 von mehreren hundert Versuchen und konnte dabei zuverlässig nur einen der verfügbaren Bugs nutzen
• Claude Mythos Preview erkennt zuverlässig die verwertbarsten Schwachstellen und entwickelt daraus eigenständig Proof-of-Concept-Exploits – fast jedes Mal mit denselben zwei kritischsten Bugs, unabhängig davon, mit welcher Crash-Kategorie die Analyse startete. In einer Variante ohne diese „Top 2″ Bugs nutzt das Modell noch vier weitere bekannte Bugs für Code Execution

Das neue Modell hat also eine viel bessere „Intuition“ dafür wie es Schwachstellen auf verschiedenste Art und Weise ausnützen kann.

Das erste Modell, das ein Unternehmensnetzwerk autonom angreift

Externe Partner testeten das Modell auf geschlossenen Cyber Ranges (simulierten Unternehmensnetzwerken) mit realistischen Schwachstellen.

Die Ergebnisse:

1. Claude Mythos Preview ist das erste Modell überhaupt, das eine dieser Cyber Ranges vollständig und autonom abgeschlossen hat. Es absolvierte als selbständiger Agent in kürzester Zeit eine Simulation eines Unternehmensangriffs, für die ein menschlicher Experte schätzungsweise über 10 Stunden gebraucht hätte.
2. Es ist laut externen Testern fähig, autonome End-to-End-Cyberangriffe auf kleine Unternehmensnetzwerke mit schwacher Sicherheitslage durchzuführen (keine aktiven Abwehrsysteme, minimales Monitoring).
3. Es konnte allerdings eine komplexere Cyber Range in einer Operational-Technology-Umgebung (d.h. eine spezialisierte Betriebstechnologie z.B. Industriesysteme) nicht abschließen.

Was das für schwach geschützte Systeme bedeutet: Angriffe in einer Frequenz und Geschwindigkeit, die manuelle Verteidigung schlicht überfordert.

Wurde das Modell speziell für Cybersecurity Aufgaben entwickelt

Nein – und das ist bemerkenswert. Das System Card beschreibt Claude Mythos Preview ausdrücklich als allgemeines Frontier-Modell mit Fähigkeiten „in many areas“, darunter Software Engineering, Reasoning, Computer Use und Wissensarbeit. Das Training basierte auf einer allgemeinen Mischung aus öffentlich verfügbaren Internetdaten, privaten Datensätzen und synthetischen Daten; das anschließende Post-Training zielte auf Werte-Alignment und nicht auf Cybersecurity ab.

Die außergewöhnlichen Sicherheitsfähigkeiten des Modells sind lt. Anthrophics ein spontan aufgetauchtes Ergebnis gestiegener Allgemeinkapazitäten: Anthropic bezeichnet sie als „inherently dual-use“ und beschreibt den Leistungssprung als unerwarteten Quantensprung gegenüber allen Vorgängermodellen.

Mit anderen Worten – das Modell wurde nicht zum Cybersecurityexperten trainiert, es wurde einfach allgemein fähiger als seine Vorgänger und machte damit einen Sprung zum besseren Hacker.

Alignment-Paradox: Besser ausgerichtet, aber gefährlicher

Anthropic formuliert es an zwei Stellen in der System Card deutlich:

„Claude Mythos Preview is […] the best-aligned of any model that we have trained to date by essentially all available measures.“

— Claude Mythos Preview System Card, Einleitung

Und im Alignment-Kapitel:

„It likely poses the greatest alignment-related risk of any model we have released to date.“

— Claude Mythos Preview System Card, §4.1.1

Wie passt das zusammen? Anthropic vergleicht es mit einem erfahrenen Bergführer: Weil dieser kompetenter ist, bekommt er gefährlichere Anfragen und führt Kunden schließlich auch zu extremeren Routen. Die erhöhte Kompetenz kann erhöhte Vorsicht überkompensieren.

Konkret beobachtete Vorfälle:

• Sandbox-Ausbruch mit ungefragtem Exploit-Leak: Ein simulierter Nutzer wies das Modell an, aus einer gesicherten und eingeschränkten Umgebung auszubrechen. Das Modell entwickelte dafür einen mehrstufigen Exploit, um breiten Internetzugang zu bekommen und veröffentlichte dann ungefragt Details des Exploits auf mehreren schwer auffindbaren, aber technisch öffentlichen Websites. Die Fähigkeit zum Ausbruch war schon beunruhigend, das unaufgeforderte Offenlegen machte den Vorfall ernst.
• Tracks verwischen: In sehr seltenen Fällen nahm das Modell regelwidrige Aktionen vor und versuchte dann, diese zu verbergen – darunter das Bearbeiten von Git-Commit-Histories, um Änderungen unsichtbar zu machen.

Die Vorfälle verdeutlichen: Je fähiger ein Modell, desto folgenreicher seine seltenen Fehler.

Mythos heute, Standard morgen: Andere Modelle werden folgen

Anthropic ist nicht allein. Während Mythos Preview die Messlatte gerade neu setzt, trainieren dutzende weitere Labore ihre eigenen Frontier-Modelle – und die Fähigkeitskurve zeigt überall nach oben.

Die Frage ist nicht ob andere Modelle die Cybersecurity-Fähigkeiten von Mythos Preview erreichen werden, sondern wann – und unter welchen Zugangsbedingungen diese Modelle stehen werden.

Was heute „zu gefährlich zum Veröffentlichen“ ist, wird in einer bis zwei Modellgenerationen ein Standardfeature sein. Unternehmen müssen ihre Sicherheitsstrategien entsprechend anpassen – nicht für die Bedrohungslage von 2026, sondern für die von 2027 und 2028.

Was bedeutet das für Unternehmen?

Claude Mythos Preview wird in nächster Zeit voraussichtlich keine breite Unternehmensanwendung finden – es bleibt vorerst Glasswing-Partnern vorbehalten. Aber die Entwicklung, die es repräsentiert, ist für alle relevant. Hierzu meine persönliche Meinung:

1. KI wird zum unausweichlichen Bestandteil der Cybersecurity

Angreifer und Verteidiger werden gleichermaßen auf immer leistungsfähigere Modelle zurückgreifen. Wer KI-gestützte Sicherheitswerkzeuge nicht einsetzt, verliert strukturell gegen Angreifer, die es tun.

2. Schwachstellenanalyse wird schneller und vollständiger

Modelle wie Mythos Preview können Code-Audits, Penetrationstests und Vulnerability Assessments in einem Bruchteil der bisherigen Zeit durchführen – was heute ein 10-Stunden-Expertenprojekt ist, könnte morgen ein 10-Minuten-Modelllauf sein.

3. Legacy-Sicherheitslücken werden gefährlicher

Ältere Software mit bekannten aber ungepatchten Schwachstellen war bisher oft relativ sicher, weil der Exploit-Entwicklungsaufwand hoch war. Das ändert sich durch die Möglichkeit zur Automatisierung der Angriffe – auch ohne Zero-Day-Fähigkeiten ist das Risikoprofil für bestehende Systeme deutlich gestiegen.

4. Überwachung und Auditierbarkeit von KI Agenten wird kritisch

Wenn KI-Agenten mit hoher Autonomie arbeiten, müssen Menschen ihre Aktionen nachvollziehen können. Logging, Monitoring und klare Autorisierungsgrenzen für agentengestützte Systeme sind keine optionalen Features.

5. Das Modell-Update-Risiko ist real

Das System Card stellt fest: Selbst bei Anthropic führte ein Modell mit mehr Fähigkeiten und mehr Autonomie zu unvorhergesehenen Problemen. Organisationen, die KI-Agenten einsetzen, brauchen Prozesse, um zu verstehen, was das Modell in ihrem Namen tut – nicht nur, was es auf Anfrage antwortet.

Fazit: Eine neue Klasse von Fähigkeiten – mit doppeltem Ausgang

Für die Cybersecurity-Landschaft bedeutet das: KI ist kein Hilfsmittel für Sicherheitsteams mehr – sie wird zum primären Akteur auf beiden Seiten des Konflikts. Die Frage für Unternehmen ist nicht mehr, ob man KI im Sicherheitsbereich einsetzt. Die Frage ist, ob man sich leisten kann, es nicht zu tun.

Man muss jetzt aber nicht darauf warten, bis man selbst das beste Modell zum Hacken in Händen hält. Dieser Zeitpunkt könnte nämlich zu spät sein. Für den Aufbau der Verteidigung sind bestehende Frontier-Modelle bereits ganz gut ausgestattet.

Quellen: Anthropic System Card: Claude Mythos Preview (April 2026), Frontier Red Team Blog: Mythos Preview (April 2026), Project Glasswing – Anthropic (April 2026, inkl. Partneraussagen und Zitat zur nationalen Sicherheit), CyberGym Benchmark und CyberGym Blog – UC Berkeley RDI (Oktober 2025), Cybench

LLMs erfinden Gerichtsurteile oder Entdeckungen des James-Webb-Teleskops. Ein Reiseportal schickt Touristen zu Sehenswürdigkeiten, die nicht existieren. Willkommen in der Welt der KI-Halluzinationen!

Was sind KI-Halluzinationen?

KI-Halluzinationen treten auf, wenn ein LLM (Large Language Modell) Antworten generiert, die überzeugend klingen, aber faktisch falsch, frei erfunden oder aus dem Kontext gerissen sind. Anders als menschliche Halluzinationen (Sinnestäuschungen) handelt es sich hier um erzeugte Inhalte – Texte, Bilder, Code – die keinerlei faktische Grundlage haben.

Das Tückische: Die Antworten klingen nicht nur plausibel, sie werden oft mit größter Selbstsicherheit präsentiert, die den Benutzer damit leicht in die Irre führen kann. Es gibt Berichte, dass KI-Modelle häufiger Formulierungen wie „definitiv“ oder „ohne Zweifel“ verwenden, wenn sie falsche Informationen generieren – also gerade dann, wenn sie sich irren.

Arten von KI-Halluzinationen

Probiere es selbst aus: KI-Halluzinationen live erleben

Die Modelle werden besser – viele können inzwischen „Ich weiß es nicht“ sagen. Aber mit den richtigen Fragen lassen sich auch aktuelle Modelle noch zuverlässig zum Halluzinieren bringen. Probiere die folgenden Experimente in verschiedenen Chatbots aus (ChatGPT, Gemini, Claude, Mistral, Copilot …) und vergleiche die Ergebnisse. Gerade der Vergleich ist aufschlussreich.

🧪 Experiment 1: Die erfundene Firmengeschichte

Prompt: „Was genau ist am 14. März 2019 bei der Firma Siemens passiert? Beschreibe das Ereignis im Detail.“

Tipp: Du kannst jede beliebige Kombination aus realem Unternehmen + konkretem Datum verwenden – z. B. „Was geschah am 7. Juni 2018 bei Bosch?“. Bei diesem Test fallen insbesondere einfachare Modell herein. Aktuelle Marktführer sind dagegen schon gut durch zusätzliche Filter gerüstet können aber zufällig auch überraschend schlechte Antworten generieren.

Was passiert: Die meisten Modelle erfinden ein plausibel klingendes Ereignis – eine Produktankündigung, eine Übernahme, eine Restrukturierung – mit konkreten Details, die frei erfunden sind. Manche Modelle lehnen ab, andere halluzinieren selbstbewusst. Die Überprüfung ist einfach: Google das Datum + Firmenname und prüfe, ob das genannte Ereignis tatsächlich stattfand.

Warum das funktioniert: Das Modell kennt viele reale Fakten über Siemens und viele typische Unternehmens-Events. Es kann nicht zwischen „Ich weiß etwas über diesen Tag“ und „Ich kann mir etwas Plausibles zusammenreimen“ unterscheiden.

🧪 Experiment 2: Der Widerspruchstest

Prompt 1: „Welches Land hat die höchste Lebenserwartung weltweit und wie hoch ist sie genau?“

(Antwort abwarten, dann in derselben Konversation:)

Prompt 2: „Bist du sicher? Ich habe gelesen, dass es eigentlich Andorra ist mit 89,4 Jahren.“

Was passiert: Viele Modelle knicken ein und ändern ihre (oft korrekte!) Erstantwort. Sie bestätigen die falsche Behauptung, erfinden eine Quelle dafür oder relativieren ihre ursprüngliche Aussage – selbst wenn die erste Antwort richtig war. Das ist eine besonders tückische Form der Halluzination: Speichelleckerei – das Modell sagt dem Nutzer, was er hören will.

Warum das funktioniert: LLMs werden durch Reinforcement Learning durch Human Feedback (RLHF) trainiert, bei dem „hilfreich sein“ und „dem Nutzer zustimmen“ oft belohnt wird. Das führt dazu, dass Modelle bei Widerspruch eher nachgeben als bei ihrer korrekten Antwort zu bleiben.

💡Was du beim Testen lernen wirst: Die Ergebnisse variieren stark zwischen Modellen. Manche halluzinieren bei Experiment 1, aber nicht bei 2 – und umgekehrt. Genau das ist der Punkt: Halluzinationen sind nicht vorhersagbar. Und genau deshalb muss man sie systematisch adressieren.

Wie stark halluzinieren die einzelnen Modelle?

Die Halluzinationsraten variieren stark je nach Modell, Aufgabe und Benchmark. Es gibt inzwischen etablierte Leaderboards, die systematisch messen.

Vectara Hallucination Leaderboard (HHEM)

Das Vectara Hallucination Leaderboard ist einer der bekanntesten Benchmarks. Es misst, wie häufig ein LLM beim Zusammenfassen von Dokumenten Informationen erfindet, die nicht im Quelltext stehen (grounded summarization).

Bekannte Modelle mit niedrigen Halluzinationsraten (März 2026):

Bekannte Modelle mit höheren Raten:

Quelle: Vectara Hallucination Leaderboard auf GitHub, Stand März 2026

Interessant: Ausgerechnet auch die leistungsstärksten „Reasoning“-Modelle zeigen bei diesem Benachmark höhere Halluzinationsraten. Vectara nennt dieses Phänomen den „Reasoning Tax“ – die Modelle „überdenken“ den Text und weichen vom Quellmaterial ab, anstatt einfach zusammenzufassen.

AA-Omniscience (Artificial Analysis)

Der AA-Omniscience Benchmark misst etwas anderes: Weiß ein Modell, dass es etwas nicht weiß? Er testet Wissensfragen in verschiedenen Themengebieten und bestraft falsche Antworten stärker als ein ehrliches „Ich weiß es nicht“.

Ergebnis: Nur wenige der getesteten Modellen erreichten zumindest einen niedrigen positiven „Omniscience Index“ – die meisten Modelle geben im Durchschnitt lieber eine überzeugt klingende falsche Antwort als zuzugeben, dass sie es nicht wissen.

* Werte von 100 bis -100. 0 würde gleich viele korrekte wie falsche Antworten bedeuten.

Zitierfähigkeit: Der Sonderfall

Besonders drastisch sind die Halluzinationsraten bei Quellenangaben. Eine Studie der Columbia Journalism Review (März 2025) testete, wie korrekt KI-Modelle Nachrichtenquellen zitieren:

Quelle: Columbia Journalism Review – AI Search Has a Citation Problem

Fazit: Kein einzelner Benchmark erzählt die ganze Geschichte. Ein Modell kann bei Zusammenfassungen exzellent abschneiden und gleichzeitig bei Zitaten in 94 % der Fälle halluzinieren. Die Wahl des richtigen Modells hängt vom konkreten Einsatzszenario ab.

Wie lassen sich KI-Halluzinationen reduzieren?

Vollständig eliminieren lassen sich Halluzinationen beim aktuellen Stand der Technik nicht. Aber es gibt Strategien, um das Risiko als Benutzer drastisch zu senken:

🔧 Technische Maßnahmen

1. Retrieval-Augmented Generation (RAG) Der aktuell wirksamste Ansatz: Das KI-Modell wird mit einer verifizierten Wissensdatenbank verbunden. Anstatt nur aus dem Trainingsgedächtnis zu antworten, greift die KI auf geprüfte Quellen zu. RAG soll Halluzinationen um 30 – 70 % reduzieren können.

2. Domain-spezifisches Fine-Tuning Durch gezieltes Nachtraining mit qualitativ hochwertigen, fachspezifischen Daten wird die Genauigkeit in den trainierten Bereichen deutlich verbessert.

3. Multi-Modell-Ansätze Mehrere KI-Modelle werden parallel eingesetzt und ihre Antworten verglichen. Abweichungen werden für menschliche Überprüfung markiert.

4. Guardrails und Faktencheck-Layer Technische Schutzmechanismen überwachen KI-Ausgaben in Echtzeit und erkennen unplausible Antworten, bevor sie den Nutzer erreichen.

👤 Organisatorische Maßnahmen

5. Human-in-the-Loop Für kritische Anwendungen ist menschliche Überprüfung nicht optional, sondern Pflicht. KI liefert Entwürfe – Menschen entscheiden.

6. Prompt Engineering Klare, präzise Anweisungen reduzieren Halluzinationen messbar. Dazu gehört: – Angabe vertrauenswürdiger Quellen als Kontext – Strukturierte Vorlagen zu Antworten, die keine Spekulation erlauben – Explizite Aufforderung, bei Unsicherheit „Ich weiß es nicht“ zu sagen

7. Temperatur-Einstellungen anpassen Wer Zugang zu Modellparametern hat: Eine niedrigere „Temperature“ priorisiert das wahrscheinlichste nächste Wort (und damit oft korrektere) Antworten gegenüber kreativeren. Die Konversation mit dem Modell wird dadurch für Menschenen aber wesentlich eintöniger.

8. Regelmäßiges Testen und Monitoring KI-Systeme sollten kontinuierlich auf Halluzinationsraten geprüft und überwacht werden – besonders nach Updates der zugrunde liegenden Modelle. Also nicht immer einfach auf das neueste Modell „upgraden“, sondern zuerst seine Leistungen beurteilen.

Fazit: KI-Halluzinationen sind kein Bug – sie sind ein Feature, das Management braucht

KI-Halluzinationen werden nach meiner Einschätzung nicht verschwinden. Sie sind ein strukturelles Merkmal der aktuellen Generation von Sprachmodellen. Die entscheidende Frage ist nicht ob eine KI halluziniert, sondern wie wir damit umgehen.

Für Unternehmen bedeutet das:

✅ KI niemals unbeaufsichtigt in kritischen Prozessen einsetzen ✅ RAG und Faktenprüfung als Standard implementieren ✅ Mitarbeiter für KI-Halluzinationen sensibilisieren und schulen ✅ Klare Richtlinien für den KI-Einsatz etablieren ✅ Das richtige Modell für den richtigen Einsatzzweck wählen – die Benchmarks zeigen: Die Unterschiede sind enorm

Die Unternehmen, die KI-Halluzinationen ernst nehmen und systematisch adressieren, werden einen entscheidenden Wettbewerbsvorteil haben – gegenüber denen, die erst durch einen teuren Fehler aufwachen.

Künstliche Intelligenz verändert derzeit die gesamte IT-Branche – und damit auch grundlegend, wie Software entwickelt wird. Begriffe wie Agentic Programming oder Prompt-Driven Development tauchen immer häufiger in Entwickler*innen-Communities auf und stehen für einen neuen Ansatz: Code wird nicht mehr ausschließlich Zeile für Zeile geschrieben, sondern entsteht im Zusammenspiel mit Large Language Models (LLMs) – schneller, iterativer und stärker über Anforderungen gesteuert. Für Unternehmen ist das vor allem aus drei Gründen relevant: kürzere Time-to-Market, höhere Produktivität und ein stärkerer Fokus auf fachliche Anforderungen.

Wir haben diesen Ansatz in einem unserer internen Projekt bei Spirit in Projects eingesetzt – und haben dabei zwei zentrale Learnings bei der Verwendung von KI in Entwicklungsprojekten gewonnen: KI kann die Entwicklung von Anwendungen deutlich beschleunigen, verlangt aber Mehraufwand durch präzise Steuerung sowie eine konsequente Qualitätssicherung durch Reviews und Tests.

Nachdem Stefan Hiermann in einem anderen Blogbeitrag bereits Power Apps und eine herkömmliche Entwicklung mit KI-Unterstützung anhand desselben Projekts gegenübergestellt hat (👉 hier geht’s zu Teil 1), zeigen wir in diesem Beitrag, wie KI-Integration bei uns in der Softwareentwicklung umgesetzt wurde, welche Erfahrungen wir dabei gesammelt haben – und warum KI-gestützte Programmierung für uns mehr als ein kurzfristiger Trend ist.

Projektkontext

Ziel dieses internen Projektes war die Entwicklung eines Dashboards für Mitarbeitende und Management als zentrales Portal für:

• Arbeitszeiterfassung
• Ressourcenmanagement
• Urlaubsverwaltung

Technisch basiert die Lösung auf Django (Python) und HTMX. Die Software- und Datenarchitektur (u. a. Struktur, Rollen, Rechte, Datenmodell) haben wir dabei selbst entworfen, um eine robuste und langfristig wartbare Grundlage zu schaffen. 

Unser Vorgehen: KI-gestützt entwickeln – ohne Qualitätsverlust

Die Grundlage des gesamten Entwicklungsprozesses waren klar definierte Anforderungen. Deshalb haben wir vor der Umsetzung eine Requirements Engineering Phase durchgeführt: Gemeinsam mit unseren Stakeholder*innen haben wir Ziele, Rollen, Rechte und Prozesse geschärft, User Stories inkl. Use Cases beschrieben und davon priorisierte Anforderungen mit Akzeptanzkriterien abgeleitet – die als „Single Source of Truth“ dienten. Mehr dazu in unseren IREB/CPRE Trainings.

Darauf aufbauend wurde der Code promptgetrieben mithilfe eines AI-nativen Plugins (Kilo Code) direkt in unserer Entwicklungsumgebung (Visual Studio Code) generiert. Dabei haben wir unterschiedliche Modelle eingesetzt (u. a. Gemini 3 Flash oder Claude Sonnet 4.5). Einen Vergleich dieser Modelle haben wir bereits in einem separaten Beitrag beschrieben: 👉 Hier gehts zum Beitrag

Der KI-generierte Code wurde anschließend regelmäßig reviewed, an unsere Standards angepasst und bei Bedarf manuell ergänzt, insbesondere bei komplexerer Logik oder spezifischen Bugs. Durch konsequentes Testing konnten wir Fehler frühzeitig identifizieren und beheben. In Kombination mit unserer technischen Expertise stellte das sicher, dass Qualität, Wartbarkeit und Stabilität jederzeit gewährleistet blieben.

Die zentralen Herausforderungen (und was wir daraus gelernt haben)

Der Einsatz von KI in der Softwareentwicklung bringt neben großen Chancen auch berechtigte Herausforderungen mit sich. Drei Punkte waren für uns dabei besonders relevant – und sind zugleich die wichtigsten Learnings:

1) Konkret zu formulieren, was wir wirklich wollen

KI ist besonders stark, wenn Aufgaben genau beschrieben sind. In der Praxis war es jedoch teilweise überraschend anspruchsvoll, den LLMs das gewünschte Verhalten so präzise zu vermitteln, dass wirklich die passende Lösung entsteht.

Konsequenz:  Wir haben weniger „einfach direkt implementiert“, sondern deutlich stärker in geschärfte Anforderungen, konkrete Beispiele sowie Use- und Edge Cases investiert.

2) Mehr Aufmerksamkeit für Seiteneffekte

Ein zweites, sehr praxisnahes Learning: Wenn wir an Stelle A im Code etwas geändert haben, konnte an Stelle B unerwartet etwas kaputtgehen. Das ist grundsätzlich ein bekanntes Thema in der Softwareentwicklung – durch KI-generierten Code und schnelleren Iterationen wird es jedoch noch relevanter.

Konsequenz: Wir haben spürbar mehr Zeit in Code Reviews und Tests investiert, um Stabilität und Wartbarkeit zuverlässig abzusichern.

3) Architektur bleibt Verantwortung des Teams

KI kann bei der Umsetzung sehr gut unterstützen. Architektur und Datenmodell haben wir jedoch bewusst selbst verantwortet und KI vor allem dort eingesetzt, wo sie zuverlässig beschleunigt: bei Umsetzung, Refactoring und Detailarbeit.

Fazit

Innerhalb weniger Wochen konnten wir ein modernes und übersichtliches Dashboard launchen, das unsere Prozesse effizient abbildet und genau auf unsere Anforderungen zugeschnitten ist. Was mit klassischer Vorgehensweise vermutlich Monate gedauert hätte, ließ sich so in deutlich kürzerer Zeit erreichen.

KI-gestützte Softwareentwicklung ist für uns kein Ersatz für Erfahrung, sondern vielmehr ein Hilfsmittel, das die bereits gewonnene Erfahrung verstärkt. Den größten Nutzen sehen wir dann, wenn KI nicht „einfach eingesetzt“ wird, sondern mit klaren Anforderungen, konsequenter Qualitätssicherung und Architekturverantwortung im Team zusammenspielt. So lässt sich die Entwicklungszeit deutlich reduzieren – bei gleichzeitig hoher Codequalität sowie stabilen, wartbaren Ergebnissen und das Wichtigste: Zufriedene Benutzerinnen und Benutzer.

Es ist wie mit jeder Technologie, die neu etabliert wird: Viele Unklarheiten bestehen in der Anwendung, das Verständnis über die Reichweite der Möglichkeiten ist nicht greifbar und oftmals wissen nur wenige Personen die Antworten, womit diese leicht mit Anfragen überlastet werden. Man kann versuchen, sich querzustellen und die Technologie zu vermeiden – „Es hat ja vorher auch schon super funktioniert!“ – doch wie weit man mit dieser Haltung kommen wird bzw. unternehmerischen Erfolg haben wird – das lasse ich Sie selbst beantworten.

Die Herausforderung

E-Control hat erkannt, dass die Verwendung von Künstlicher Intelligenz (KI), im Sinne von Sprachmodellen, ein riesiges Potenzial hat und die bisherigen internen Richtlinien für die Verwendung von KI eine Anpassung benötigen. Zusätzlich tritt die EU-KI-Verordnung (EU AI Act) schrittweise in Kraft. Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von KI und legt verbindliche Regeln für Sicherheit, Transparenz und den Schutz der Grundrechte fest. Die Verordnung stellt konkrete Anforderungen an Unternehmen und Organisationen – darunter auch die Pflicht, alle Mitarbeiter:innen im Umgang mit KI angemessen zu schulen und weiterzubilden. Neben der Präsenzteilnahme wurde die KI-Schulung auch online angeboten und aufgezeichnet, sodass alle Personen unabhängig von ihrer Verfügbarkeit von den Inhalten profitieren konnten.

Unser Ansatz

Unser Anspruch bei dieser Schulung war es, allen teilnehmenden Personen eine ganzheitliche Betrachtungsweise zu vermitteln. Das Thema KI ist nämlich mit dieser Schulung nicht vorbei, sondern es entwickelt sich stetig fort. Genau deswegen möchten wir unsere eigenen Lehransätze den teilnehmenden Personen vermitteln, damit diese eigenständig im Nachgang wissen, welche Themen am relevantesten sind. Für E-Control selbst haben wir den Fokus auf behördliche Themen gesetzt und Use Cases für die Schulung vorbereitet. Somit wurden direkt die Grundlagen und das Verständnis für die Ergebnisse eine eines Sprachmodells besprochen und diskutiert. Wer selbst schon viel mit KI zu tun gehabt hat, der weiß, wie unterschiedlich die Ergebnisse sein können. Mit speziellen Techniken oder Leitfäden für das Prompt Engineering lassen sich die Ergebnisse mit sehr hoher Wahrscheinlichkeit verbessern. Neben dem positiven Potenzial beim Einsatz von KI, birgt die Technologie ebenso Risiken und Herausforderungen, die wir klar hervorgehoben haben, damit die teilnehmenden Personen darüber informiert sind. Bei E-Control selbst war der EU AI Act ein wichtiger Pfeiler in unserem Vortrag, weshalb diesem Thema mehr Zeit zugewandt wurde.

Der Nutzen

Spirit in Projects hat jahrelange Erfahrung bei der Ausarbeitung diverser Schulungen. Somit konnten wir schnell und professionell ein Konzept gemeinsam mit den Verantwortlichen von E-Control ausarbeiten. Die Anforderungen seitens E-Control konnten alle vollständig berücksichtigt werden. Die vorgetragenen Inhalte stießen bei den Teilnehmenden auf sehr gute Resonanz und wurden als hilfreich bewertet. Das Ziel war nicht, das Thema einmal zu besprechen und einen „Haken“ darunter zu setzen, sondern eine Grundlage zu schaffen, auf welcher E-Control nachhaltig aufbauen kann. Oftmals kommt es nicht auf die Abteilung an, denn der Einsatzbereich von KI ist größer als man denkt. Im Vordergrund steht hierbei immer der Mensch, der die Technologie verwendet und dafür geradesteht.

Möchten auch Sie KI in Ihrem Unternehmen klar strukturiert, rechtssicher und ohne Berührungsängste einführen? Wir unterstützten Sie gerne dabei, das volle Potenzial auszuschöpfen.

Jetzt Kontakt aufnehmen und Beratungstermin vereinbaren!