AI im regulierten Unternehmen

Ein LLM darf unseren Prod-Cluster prüfen — anfassen darf es nichts

Wir lassen ein LLM den Health-Report für unseren Produktiv-Cluster schreiben. Anfassen darf es den Cluster nicht — und das ist keine Frage des guten Willens, sondern hart erzwungen.

Der Reflex bei „KI-Agent für Ops": Modell ans kubectl, Werkzeuge geben, laufen lassen. Auf einem Prod-Cluster ist das die falsche Reihenfolge. Erst die Leitplanke, dann der Agent.

Wie wir das gebaut haben — und was dabei wirklich zählt:

Read-only wird erzwungen, nicht versprochen. Ein Wrapper liegt als „kubectl" vor dem echten Binary und lehnt jeden verändernden Befehl (create, apply, delete, patch, scale, drain, exec) ab, bevor er den Cluster erreicht. Wichtig: Das eingebundene kubeconfig hat Admin-Rechte — RBAC schützt hier nicht. Die Garantie kommt aus dem Guard, nicht aus Hoffnung.
Das LLM sieht den Cluster nie. Ein deterministischer Collector zieht den Zustand read-only ab und legt ihn als JSON ab. Das Modell bekommt nur diese Momentaufnahme zu lesen — keinen Shell-Zugang, keine Live-Verbindung. Selbst wenn es „wollte", könnte es nichts tun.
Keine erfundenen Zahlen. Die strikte Regel ans Modell: nur die erhobenen Daten verwenden, keine Versionen, CVE-Nummern oder Mengen erfinden. Jede genannte Anzahl muss exakt der Liste entsprechen. Fehlende Daten werden als Lücke benannt, nicht überspielt.
Domänenwissen schlägt rohe Intelligenz. Ein Modell, das ein „Archivierung aktiv"-Flag sieht, meldet stolz „Backup läuft" — obwohl gar kein Archiv existiert. Solche Fallen haben wir als verifiziertes Domänenwissen in den Prompt geschrieben, sonst produziert das LLM selbstbewusste Falschbefunde.
Der Report sagt, was er nicht weiss. Jeder Report endet mit Scope und Limitierungen: was erhoben wurde, was bewusst draussen ist. Ein Audit, das seine blinden Flecken verschweigt, ist gefährlicher als gar keins.

Der spannende Teil war nicht das Modell. Es war die Leitplanke drumherum: was es lesen darf, was es nie sieht, und was es nicht behaupten darf.

Genau das macht den Unterschied zwischen „cooler Demo" und etwas, das wir an eine Produktivumgebung lassen: eine erzwingbare Read-only-Grenze und Antworten, die auf erhobenen Fakten stehen — nicht auf der Plausibilität eines Sprachmodells.

Einen KI-Agenten auf Produktion loszulassen ist keine Frage des Vertrauens ins Modell. Es ist eine Frage dessen, was das Modell technisch gar nicht erst kann.

Würdet ihr einen KI-Agenten an eure Produktion lassen — und woran würdet ihr ihn hindern?

◰ Alle Insights