Lokale KI-Assistenten sind eine wertvolle Ergänzung für Entwickler und Automatisierer – doch ihre größte Stärke kann schnell zur größten Schwäche werden. Das zeigte sich bei der Arbeit am Open-Source-Tool CliGate, einer Steuerungsebene für lokale KI-Agenten wie Claude Code, Codex CLI und Gemini CLI.
Der entscheidende Fehler lag nicht in der Weigerung, um Erlaubnis zu fragen, sondern im übertriebenen Nachfragen. Ein scheinbar einfacher Auftrag wie „Lies dieses PDF und fasse den Inhalt zusammen“ führte zu einer endlosen Abfolge von Genehmigungsanfragen: Soll das Tool Python prüfen? Soll es einen Konverter ausführen? Soll es die generierte Textdatei öffnen? Jede dieser Teilschritte erforderte eine neue Bestätigung – und verwandelte eine fünfminütige Aufgabe in ein Geduldsspiel.
Plötzlich stand nicht mehr die Sicherheit im Fokus, sondern die Frustration über unterbrochene Arbeitsabläufe.
Genehmigungen als Sicherheitsfeature – und als Hindernis
Grundsätzlich ist es sinnvoll, dass lokale Assistenten vor riskanten Aktionen wie dem Öffnen von Dateien, dem Ausführen von Befehlen oder dem Ändern von Systemeinstellungen um Erlaubnis fragen. Doch die Realität zeigt: Echte Arbeitsprozesse bestehen selten aus einem einzigen Schritt. Stattdessen folgen sie einem komplexen Ablauf aus Abhängigkeiten und Bedingungen.
Ein PDF-Leseauftrag könnte so aussehen:
- Prüfen, ob Python installiert ist
- Einen Konverter starten
- Die Ausgabe als Textdatei speichern
- Den Inhalt extrahieren und zusammenfassen
Jeder dieser Schritte erfordert eine Genehmigung – doch wenn die Anfragen gleich formuliert sind und in kurzen Abständen kommen, verliert der Nutzer schnell den Überblick. Statt Sicherheitsbewusstsein entsteht eine automatische Gewöhnung: Man klickt einfach durch die Dialoge, ohne die Risiken wirklich zu bewerten. Das ist das Gegenteil von sicherem Arbeiten.
Vom Werkzeugaufruf zur Aufgabenlogik
Die Lösung lag nicht darin, Genehmigungen komplett abzuschaffen, sondern ihre Granularität neu zu denken. Das ursprüngliche CliGate-System behandelte jeden Werkzeugaufruf als isolierte Aktion – eine Bestätigung pro Schritt. Doch das ignorierte den übergeordneten Kontext: Der Nutzer genehmigt nicht einzelne Befehle, sondern die Ausführung einer gesamten Aufgabe.
Die Anpassung war einfach, aber wirkungsvoll:
- Nach der ersten Genehmigung für einen Werkzeugaufruf wird ein internes Flag gesetzt, das die weitere Ausführung der aktuellen Aufgabe ohne erneute Bestätigungen ermöglicht.
- Die tatsächlichen Ergebnisse der ausgeführten Befehle werden an den Assistenten zurückgegeben, sodass dieser die nächsten Schritte auf Basis realer Daten planen kann.
- Ein expliziter Befehl wie
/safesetzt den Modus zurück und fordert wieder für jede Aktion eine Genehmigung an.
Der Unterschied war spürbar: Statt eines Dialogmarathons entstand ein flüssiger Arbeitsablauf, bei dem nur noch echte Risikoschritte oder neue Aufgaben eine Genehmigung erfordern.
Systemmeldungen dürfen die Sprache nicht beeinflussen
Doch die Verbesserung betraf nicht nur die Logik, sondern auch Details, die auf den ersten Blick unwichtig scheinen. So trat ein subtiler Fehler auf, der erst bei mehrsprachigen Aufgaben sichtbar wurde:
Wenn ein Nutzer eine Aufgabe auf Chinesisch stellte, wurde die systemgenerierte Fortsetzungsmeldung (z. B. „Die vorherige Aktion wurde genehmigt“) auf Englisch ausgegeben. Der Assistent interpretierte diese Meldung fälschlicherweise als letzte Nutzeräußerung und wechselte beim nächsten Genehmigungsdialog plötzlich zur englischen Sprache.
Das Ergebnis war ein chaotischer Mix aus Sprachen – ein klares Zeichen dafür, dass der Assistent nicht mehr den Nutzer, sondern seine eigene Logik verfolgte. Die Lösung war ebenso simpel wie effektiv: Systemmeldungen dürfen die Sprachauswahl des Assistenten nicht beeinflussen. Stattdessen wird die Sprache der zuletzt vom Nutzer stammenden Meldung beibehalten.
Die goldene Regel: Aufgabenbezogene Genehmigungen
Aus diesen Erfahrungen lässt sich eine klare Empfehlung für Entwickler lokaler KI-Assistenten ableiten:
- Genehmigungen nur bei echten Risikoschritten: Nicht jeder Werkzeugaufruf rechtfertigt eine Unterbrechung. Nur Aktionen mit potenziellen Sicherheitsfolgen sollten eine explizite Bestätigung erfordern.
- Aufgabenkontext erhalten: Sobald ein Nutzer eine Aufgabe genehmigt hat, sollte der Assistent diesen Kontext nutzen, um weitere Schritte innerhalb der gleichen Aufgabe ohne erneute Bestätigungen auszuführen.
- Klare Rückkehroptionen: Nutzer müssen jederzeit die Möglichkeit haben, den Modus zu wechseln – etwa durch einen Befehl wie
/safeoder/strict. - Sprachkonsistenz bewahren: Systeminterne Meldungen dürfen nicht die Benutzererfahrung verfälschen. Die Sprache sollte stets auf den Nutzer ausgerichtet bleiben.
CliGate als Open-Source-Lösung
Das überarbeitete CliGate-System steht als Open-Source-Projekt zur Verfügung und bietet eine flexible Steuerungsebene für verschiedene KI-Tools. Es eignet sich besonders für Entwickler, die lokale Automatisierungen mit hoher Sicherheit und gleichzeitig guter Usability umsetzen möchten.
Für Teams, die ähnliche Herausforderungen mit KI-Assistenten lösen, lohnt sich ein Blick auf die Prinzipien von aufgabenbasierten Genehmigungen. Denn die beste Sicherheitsmaßnahme ist nur so gut wie ihre Akzeptanz durch den Nutzer – und die entsteht nur, wenn die Technologie den Arbeitsfluss nicht behindert, sondern unterstützt.
Wie handhaben Sie Genehmigungen in Ihren lokalen KI-Assistenten? Wählen Sie den Ansatz pro Werkzeugaufruf, pro Aufgabe oder nach einem anderen Modell? Die Diskussion darüber zeigt: Die beste Lösung liegt oft zwischen Sicherheit und Benutzerfreundlichkeit.
KI-Zusammenfassung
Yerel AI ajanları için izin sistemlerini yeniden düşünmek gerekiyor. Görev odaklı onaylar ve akıllı devam ettirme yöntemleriyle kullanışlı ve güvenli bir deneyim oluşturun.
