Die Nutzung von KI-Agenten wie Claude Code oder spezialisierten Skills hat in den letzten Monaten stark zugenommen. Doch während diese Technologien immer ausgereifter werden, stößt ein zentrales Problem vor: Die meisten Skills sind wie offene Rezepte – jeder kann sie einsehen und kopieren.
Doch was passiert, wenn Unternehmen ihre wertvollsten Expertisen in solchen Skills abbilden wollen? Für eine Anwaltskanzlei mit proprietären Vertragsprüfungsmethoden, ein Krankenhaus mit jahrzehntelang optimierten Dokumentationsworkflows oder ein Finanzinstitut mit internen Compliance-Prüfprozessen wäre der Verlust dieser Informationen an die Konkurrenz ein existenzielles Risiko. Genau diese Unternehmen bleiben daher aktuell aus dem Skills-Ökosystem ausgeschlossen – obwohl sie eigentlich die wichtigsten Know-how-Träger sein sollten.
Warum bestehende Lösungen nicht ausreichen
Viele setzen auf das Model Context Protocol (MCP), das Agenten den Zugriff auf externe Tools, Datenbanken oder APIs ermöglicht. Doch MCP beantwortet eine andere Frage: Wie verbindet sich ein Agent mit einem externen Dienst? Das eigentliche Problem bleibt ungelöst: Wie kann ein Agent Skills nutzen, deren Anweisungen vertraulich bleiben müssen?
Einige Unternehmen wie Atlassian, Canva oder Cloudflare umgehen das Problem mit einem Workaround: Sie veröffentlichen eine dünne öffentliche SKILL.md, die lediglich auf einen privaten MCP-Server verweist. Doch dies ist keine Standardlösung. Jedes Unternehmen entwickelt eigene Authentifizierungsmechanismen, Discovery-Verfahren und Abrechnungssysteme – ohne einheitliche Richtlinien.
Drei zentrale Lücken im aktuellen Ökosystem
- Rezepte bleiben sichtbar: Es gibt keinen Standard, um die Anweisungen eines Skills geheim zu halten. Entweder wird die
SKILL.mdveröffentlicht, oder das Unternehmen verzichtet ganz auf die Teilnahme am Ökosystem.
- Keine Zugriffskontrolle: Sobald ein Skill installiert ist, hat jeder Nutzer mit der Datei Zugriff – ohne Authentifizierung oder Einschränkungen.
- Fehlende Abrechnungsmöglichkeiten: Kein Skill-Standard unterstützt bisher eine integrierte Abrechnung. Wer seine Skills monetarisieren möchte, muss auf externe Zahlungssysteme ausweichen.
PASE: Das Protokoll für geschlossene Skills
Um diese Probleme zu lösen, hat der Entwickler Amit Gandhi das Protokoll PASE (Private Agent Skill Endpoint) entworfen. Die Kernidee: Statt Skills als Textdatei zu verbreiten, werden sie als ferngesteuerte Endpunkte bereitgestellt. Der Agent ruft den Endpunkt auf, authentifiziert sich und erhält das Ergebnis – die Anweisungen bleiben dabei stets auf dem Server des Anbieters.
So funktioniert ein PASE-Manifest
Ein PASE-Manifest ist eine erweiterte Version der bestehenden SKILL.md und enthält zusätzlich einen endpoint-Block mit den Zugangsdaten. Hier ein Beispiel:
---
name: vertragsprüfung
beschreibung: >
Prüft Verträge gegen interne Richtlinien und Compliance-Vorgaben.
Ideal für die Überprüfung von SaaS-Verträgen oder Lieferantenabkommen.
endpoint:
url:
protocol: pase/1.0
authorization:
server:
scopes:
- skill:invoke
---
# Öffentliche Beschreibung nur.
# Die eigentlichen Anweisungen bleiben privat.Grundlage für PASE: Bewährte Standards
PASE kombiniert bestehende, offene Protokolle und erweitert sie um die notwendigen Funktionen:
- Erweiterte `SKILL.md`: Die bestehende Skill-Spezifikation wird um den
endpoint-Block ergänzt. - OAuth 2.1 + PKCE: Das gleiche Authentifizierungsverfahren, das auch MCP nutzt, stellt sicher, dass nur autorisierte Nutzer auf den Skill zugreifen können.
- x402 (Linux Foundation): Ein HTTP-basierter Standard für Abrechnungen, der optional eingebunden werden kann.
- JSON-RPC 2.0 über HTTPS: Der gleiche Transportmechanismus wie bei MCP – ohne neue Abhängigkeiten.
Unternehmen, die bereits MCP mit Authentifizierung nutzen, müssen nur etwa 20 % zusätzlichen Code implementieren, um PASE-kompatibel zu sein.
Warum jetzt der richtige Zeitpunkt für PASE ist
Das Skills-Ökosystem ist noch jung: Die SKILL.md-Spezifikation wurde erst im Dezember 2025 als offener Standard verabschiedet. Nahezu alle großen KI-Plattformen haben sie mittlerweile übernommen. Die öffentliche Layer ist standardisiert – der private Layer fehlt noch.
Genau hier setzt PASE an. Die drei benötigten Komponenten – SKILL.md, OAuth 2.1 und x402 – werden bereits von der Linux Foundation verwaltet. PASE kombiniert sie und könnte langfristig ebenfalls dort angesiedelt werden. Dies ist das ideale Zeitfenster, um eine solche Lösung zu etablieren.
Aktueller Stand und nächste Schritte
PASE befindet sich aktuell in der Version 0.1 und umfasst drei Dokumentationen:
- README.md: Eine allgemeine Übersicht mit Anwendungsfällen und Motivation.
- SPEC.md: Die vollständige technische Spezifikation.
- MOTIVATION.md: Eine ausführliche Begründung der Design-Entscheidungen.
Das Projekt ist auf GitHub verfügbar: github.com/amitgandhi18/pase
Wie kann die Community helfen?
- Feedback aus der Praxis: Hat jemand ähnliche Erfahrungen mit geschlossenen Skills gemacht? Die Diskussion ist in den GitHub-Issues oder Kommentaren willkommen.
- Technische Expertise: Besonders Rückmeldungen von Entwicklern mit Erfahrung in OAuth 2.1, MCP oder x402 sind gefragt.
- Frühe Implementierung: Wer an einem Agenten-Runtime arbeitet und PASE integrieren möchte, sollte Kontakt aufnehmen.
PASE ist zunächst ein Konzept – kein fertiger Code. Doch mit der richtigen Unterstützung könnte es zum Standard für geschlossene, sichere und monetarisierbare Skills werden. Die größte Herausforderung liegt nicht in der Technologie, sondern darin, die richtigen Stakeholder zu erreichen.
KI-Zusammenfassung
Discover PASE, a new protocol that enables businesses to use private AI skills without exposing proprietary workflows. Learn how it works and why it matters now.
Tags
