CoreAgent statt Schwarm: ein Agent, der allein arbeitet

Fast jede Woche erscheint ein neuer Open-Source-Agent, der angeblich alles kann. PI Agent, Hermes, ganze Schwärme von „spezialisierten" Sub-Agenten, die sich gegenseitig Aufgaben zuwerfen. In einer Demo sieht das beeindruckend aus. Im Firmenalltag, mit echten Daten und echten Konsequenzen, sieht es anders aus.

Wir haben Vectoryon AI — unseren CoreAgent — bewusst anders gebaut. Dieser Beitrag erklärt, was ihn ausmacht, welche Bausteine 2026 wirklich zählen, und warum ein Multi-Agent-Setup für die meisten Firmen aktuell die falsche Wahl ist. Mit Quellen, damit ihr nichts glauben müsst.

Was unser CoreAgent ist

Vectoryon AI ist ein zentraler Agent mit einem durchgehenden Gedächtnis. Er liest, plant, handelt und schreibt in einer Schleife — nicht ein loser Verbund aus vielen gleichberechtigten Agenten, die sich gegenseitig steuern.

Sub-Agenten gibt es bei uns durchaus. Für eine grössere Recherche kann der Core einen Helfer abspalten, der einen Teil parallel abarbeitet und sein Ergebnis verdichtet zurückgibt. Der Unterschied ist die Architektur: ein Core, der die Kontrolle behält, statt vieler autonomer Agenten, die untereinander verhandeln. Das ist nicht nur sauberer — es ist auch der Grund, warum sich der Agent überhaupt wartbar betreiben lässt. Wer eine Fähigkeit verbessert, ändert einen Core, nicht hundert Agenten-Varianten, die jede für sich getestet, versioniert und nachgezogen werden müssten. Aus hundert Baustellen wird eine.

Drei Eigenschaften unterscheiden ihn von einem Standard-Open-Source-Agenten:

Code statt Klick-für-Klick. Statt für jeden Schritt einzeln ein Werkzeug aufzurufen, schreibt der Agent kleinen Code, der mehrere Werkzeuge auf einmal orchestriert. Die Forschung dazu ist eindeutig: In der ICML-2024-Arbeit CodeAct (Wang et al.) erreicht dieser Ansatz bis zu 20 % höhere Erfolgsraten und braucht rund 30 % weniger Schritte als das übliche Aufruf-für-Aufruf-Muster. Weniger Schritte heisst weniger Fehlerquellen und tiefere Kosten.

Berechtigungen statt blindem Vertrauen. Pro Anfrage sieht der Agent nur die Werkzeuge und Daten, für die der jeweilige Nutzer freigeschaltet ist — abgeleitet aus der Datenbank, nicht fest verdrahtet. Wer keinen Zugriff auf ein System hat, dessen Agent kennt es gar nicht. Mandantentrennung ist bei uns in jeden Aufruf eingebaut, keine Einstellung, die man vergessen kann.

Jeder Schritt ist nachvollziehbar. Bei einem System, das nicht jedes Mal gleich antwortet, ist die Spur das Produkt, nicht ein Nebenprodukt. Jede Entscheidung, jeder Werkzeug-Aufruf, jedes Zwischenergebnis landet in einem fortlaufenden Journal. Wenn der Agent etwas tut, lässt sich nachvollziehen, warum.

Warum das für eine Firma besser passt als PI Agent oder Hermes

PI Agent und Hermes sind ordentliche Open-Source-Projekte. Aber sie sind als Bausätze gedacht, nicht als betriebsfertige Lösung für ein Unternehmen. Drei Dinge muss man dort selbst nachrüsten — und genau die sind die schwierigen:

Mandanten-Kontext. Dass Mitarbeiter A keine Daten von Mitarbeiter B sieht, muss zuverlässig erzwungen werden — über jedes Werkzeug, jeden Datenzugriff. Genau hier entstehen die teuren Lecks. Bei uns ist diese Schicht der Kern, nicht ein nachträgliches Plugin.

Eine Sicherheitsgrenze für heikle Aktionen. Unser Agent darf nicht alles gleichzeitig: nicht-vertrauenswürdige Eingaben verarbeiten, sensible Systeme berühren und etwas extern verändern. Kommt zu viel davon zusammen, hält er an und fragt einen Menschen. Inhalt aus einer E-Mail oder einem Dokument bleibt dauerhaft als „nicht vertrauenswürdig" markiert und wird nie als Befehl ausgeführt — der wirksamste Schutz gegen Prompt-Injection.

Nachvollziehbarkeit. Ohne lückenlose Spur ist ein Agent eine Blackbox. Bei einem Werkzeug, das echte Mails verschickt oder Buchungen anlegt, ist das im Geschäftsalltag keine Option.

Die wichtigsten Bausteine für gute Agenten 2026

Unabhängig vom Anbieter — wer 2026 einen Agenten baut, dem auch eine Firma vertrauen kann, braucht im Kern diese Bausteine:

1. Code-Mode. Werkzeuge per Code orchestrieren statt einzeln aufrufen. Weniger Schritte, höhere Trefferquote (CodeAct, ICML 2024).

2. Berechtigungen pro Anfrage. Was der Agent darf, wird zur Laufzeit aus der Identität des Nutzers abgeleitet — nicht global, nicht statisch.

3. Lückenlose Spur. Ein fortlaufendes Journal als Wahrheit über den Lauf, nicht nachträgliches Logging. Daraus lässt sich jeder Lauf rekonstruieren.

4. Robuste Wiederaufnahme. Der Fortschritt lebt im Journal. Stürzt etwas ab, wird ab dem letzten sauberen Schritt fortgesetzt — ohne eine Aktion doppelt auszuführen.

5. Mensch im Spiel. Bei heiklen Aktionen pausiert der Agent und holt eine Freigabe, statt zu raten.

6. Kontext-Disziplin. Kontext ist begrenzt und teuer. Selbst Anthropic hält fest: grössere Kontextfenster lösen das Problem nicht, man muss aktiv verdichten und zusammenfassen (Effective context engineering for AI agents, 2025). Ein guter Agent flutet sein Fenster nicht mit Müll.

Warum für eine Firma aktuell selten ein Multi-Agent-Setup taugt

Die verlockende Idee: ein „Recherche-Agent", ein „Schreib-Agent", ein „Prüf-Agent", alle autonom, alle gleichberechtigt. Bevor man das baut, lohnt ein Blick auf das, was die Teams sagen, die es selbst versucht haben.

Cognition — eine Firma, deren Produkt selbst ein Agent ist — riet im Juni 2025 öffentlich davon ab („Don't Build Multi-Agents", cognition.com/blog). Ihr Befund: Sobald mehrere Agenten parallel eigene Entscheidungen treffen, treffen sie diese auf Basis unausgesprochener, teils widersprüchlicher Annahmen. Das Ergebnis sind fragile Systeme. Ihre Empfehlung ist ein einzelner Strang mit einem separaten Modell fürs Verdichten des Kontexts — also genau die Architektur, die wir fahren.

Selbst Anthropic, das Multi-Agenten aktiv einsetzt, zieht eine klare Grenze. In „How we built our multi-agent research system" (Juni 2025) berichten sie: Multi-Agent gewinnt nur bei Aufgaben, die sich sauber in unabhängige Stränge zerlegen lassen — und kostet dabei rund das 15-Fache an Tokens gegenüber einem normalen Chat. Für eng verzahnte Arbeit, in der ein Schritt auf dem anderen aufbaut — der Normalfall im Firmenalltag — sei der Ansatz schlechter geeignet.

Und die Benchmarks zeigen dasselbe Bild. In seriösen Werkzeug-Tests (M3ToolEval, ICML 2024) liefern Single-Agent-Systeme die besten Resultate, nicht Schwärme.

Kurz: Multi-Agent ist ein Spezialwerkzeug für parallele Recherche mit hohem Budget — nicht das Fundament für die alltäglichen, verzahnten und kostensensiblen Abläufe einer Firma. Mehr Agenten klingen nach mehr Leistung. In der Praxis bedeuten sie hier mehr Reibung, höhere Kosten und weniger Kontrolle.

Unser Fazit

Ein Agent für eine Firma wird nicht daran gemessen, wie clever er in einer Demo wirkt, sondern ob man ihm im Alltag echte Aufgaben mit echten Daten anvertrauen kann. Das verlangt einen klaren Aufbau: ein Core mit Kontrolle, Berechtigungen in jedem Aufruf, eine Sicherheitsgrenze für heikle Aktionen und eine lückenlose Spur. Genau so haben wir Vectoryon AI gebaut.

Quellen: Wang et al., „Executable Code Actions Elicit Better LLM Agents" (CodeAct), ICML 2024, arXiv:2402.01030 · Cognition, „Don't Build Multi-Agents", Juni 2025 · Anthropic, „How we built our multi-agent research system", Juni 2025 · Anthropic, „Effective context engineering for AI agents", 2025.