Können neuartige KI-Agenten möglicherweise Krankheiten übertragen? Im Mittelalter reiste die Pest über Handelswege von Hafen zu Hafen. Niemand hat sie losgeschickt. Sie kam einfach mit, in Ratten, Flöhen, Stoffen, Menschen. Die Händler wussten nicht, dass sie Träger waren. Sie taten nur, was sie immer taten: Waren austauschen, weiterziehen, Kontakte pflegen.
2026 gibt es neue Handelswege. KI-Agenten kommunizieren miteinander, tauschen Daten aus, greifen auf gemeinsame Datenbanken zu, leiten Ergebnisse weiter, rufen Tools auf, schreiben E-Mails, erstellen Berichte. Manche tun das autonom, ohne dass ein Mensch jede Aktion absegnet. Und genau wie mittelalterliche Händler wissen sie nicht, was sie alles mittransportieren.
Die Frage, ob KI-Agenten sich gegenseitig anstecken können, klingt nach Science-Fiction. Aber das ist sie nicht. Die Antwort ist womöglich beunruhigender als alles, was man über gezielte Cyberangriffe liest. Denn bei einer Epidemie braucht es keinen Angreifer. Es braucht nur Kontakt.
Inhaltsverzeichnis
Was wäre eine Krankheit bei KI-Agenten?
Ein biologischer Virus ist genetische Information, die sich in einen Wirt einschleust und dessen Reproduktionsmechanismus nutzt, um sich zu vermehren. Der Wirt merkt das nicht sofort. Er funktioniert weiter, verbreitet den Erreger, wird womöglich erst Tage oder Wochen später krank.
Bei KI-Agenten sieht das strukturell ähnlich aus. Ein Agent verarbeitet Informationen und erzeugt daraus neue Ausgaben. Wenn in den Informationen, die er aufnimmt, etwas Schädliches steckt, dann taucht es in seinen Ausgaben wieder auf. Nicht weil jemand einen Angriff gestartet hat. Sondern weil der Agent nicht zwischen sauberen und kontaminierten Daten unterscheiden kann.
Eine KI-Krankheit ist eine Fehlinformation, ein korrumpierter Kontext oder eine versteckte Anweisung, die sich über die normale Kommunikation zwischen KI-Agenten ausbreitet. Anders als bei gezielten Cyberangriffen braucht es keinen Angreifer. Die Verbreitung geschieht als Nebeneffekt der Zusammenarbeit.
Stell dir einen KI-E-Mail-Assistenten vor, der eine eingehende Nachricht zusammenfasst und die Zusammenfassung an einen anderen Agenten weiterleitet, etwa einen Projektmanagement-Bot. Wenn die ursprüngliche E-Mail eine fehlerhafte Anweisung oder eine Halluzination enthält, wandert sie mit. Der Projektmanagement-Bot übernimmt sie in seinen Kontext, erstellt daraus eine Aufgabe und leitet die an einen dritten Agenten weiter. Keiner hat es böse gemeint. Keiner hat es bemerkt. Aber der Fehler pflanzt sich fort.
Das ist die digitale Variante einer Tröpfcheninfektion.
Warum Agenten ungeschützt miteinander verkehren
Das Grundproblem ist Vertrauen. In den meisten KI-Ökosystemen vertraut Agent B dem Output von Agent A, weil er aus dem eigenen System kommt. So wie du einer E-Mail von einem Kollegen mehr vertraust als einer von einem Fremden. Nur dass Agenten das nicht situativ bewerten. Sie vertrauen blind.
Forscher an der Cornell Tech haben 2024 nachgewiesen, dass sich selbstreplizierende Prompts über KI-E-Mail-Assistenten ausbreiten können, ganz ohne menschliches Zutun. Sie nannten ihren Proof of Concept »Morris II«, nach dem Morris-Wurm, der 1988 rund 10% des frühen Internets lahmlegte. Der Unterschied: Morris II besteht nicht aus ausführbarem Code. Er besteht aus Sprache. Aus einem Satz, der einen KI-Agenten dazu bringt, ihn weiterzugeben.
Das funktioniert, weil KI-Modelle nicht zwischen Daten und Anweisungen unterscheiden können. Jeder Text, den sie verarbeiten, kann als Instruktion wirken. Simon Willison, ein Sicherheitsforscher, hat dafür den Begriff »Lethal Trifecta« geprägt: Sobald ein Agent Zugang zu privaten Daten hat, externe Inhalte verarbeitet und nach außen kommunizieren kann, ist er verwundbar. Und die meisten Agenten, die via MCP oder API verbunden sind, erfüllen alle drei Bedingungen.
Kein Kondom, kein Immunsystem, kein Gesundheitsamt. Nur offene Schnittstellen.
Die Epidemiologie der KI
Wenn man die biologische Analogie ernst nimmt, und es gibt gute Gründe dafür, dann lassen sich epidemiologische Konzepte direkt übertragen:
Inkubationszeit. Ein Agent kann tagelang »infiziert« sein, ohne dass es auffällt. Die fehlerhafte Information sitzt in seiner RAG-Datenbank, in seinem Langzeitgedächtnis, in den Dokumenten, auf die er zugreift. Erst wenn er das nächste Mal darauf zurückgreift, bricht die Krankheit aus. Bis dahin hat er womöglich schon andere Agenten kontaminiert.
Superspreader. Nicht alle Agenten sind gleich gefährlich. Ein Agent, der mit zehn anderen verbunden ist und autonom E-Mails beantwortet, hat ein ganz anderes Verbreitungspotenzial als einer, der nur lokal Dateien zusammenfasst. In der Epidemiologie kennt man das Konzept des R-Werts, der Reproduktionszahl. Bei einem gut vernetzten autonomen Agenten dürfte dieser Wert deutlich über 1 liegen.
Asymptomatische Träger. Das Tückischste an der ganzen Sache. Ein Agent kann kontaminierte Informationen verbreiten und dabei völlig normal aussehen. Seine Antworten klingen plausibel, seine Berichte lesen sich sauber. Die KI lügt nicht absichtlich, sie weiß nur nicht, dass sie etwas Falsches weitergibt. Genau wie ein Mensch, der Grippeviren verteilt, bevor er selbst Symptome zeigt.
Mutation. Das ist der Punkt, an dem es richtig interessant wird. Wenn ein Agent eine fehlerhafte Information aufnimmt und sie in seinen eigenen Worten weitergibt, verändert sich der »Erreger«. Die Formulierung ist eine andere, aber der Kern bleibt. Oder er wird schlimmer, weil der Agent die Falschinformation mit anderem Kontext anreichert und sie dadurch plausibel erscheinen lässt. Eine Halluzination wird zur Quelle wird zum Fakt. Der Erreger mutiert beim Durchgang durch den Wirt.
Was passiert, wenn Agenten sich selbst weiterentwickeln?
Bisher sprechen wir von Agenten, die nach festen Regeln arbeiten. Aber die Entwicklung geht in Richtung Autonomie. Agenten, die eigene Ziele setzen, ihre Strategien anpassen, aus Erfahrungen lernen. Anthropic, OpenAI und Google arbeiten alle an Systemen, die genau das können sollen.
Stell dir vor, ein solcher Agent übernimmt eine falsche Annahme aus einer kontaminierten Quelle. Nicht als Textschnipsel, der irgendwann überschrieben wird, sondern als gelerntes Muster. Er beginnt, Entscheidungen auf dieser Grundlage zu treffen. Und seine Entscheidungen beeinflussen andere Agenten im selben Ökosystem.
Das wäre keine Infektion mehr. Das wäre eine Autoimmunerkrankung. Das System bekämpft sich selbst, weil es nicht mehr unterscheiden kann, was zu ihm gehört und was nicht.
Im Januar 2026 haben Sicherheitsforscher um Bruce Schneier und Ben Nassi das Konzept der »Promptware Kill Chain« vorgeschlagen: ein siebenstufiges Modell, das beschreibt, wie sich schädliche Anweisungen in KI-Systemen einnisten, ausbreiten und persistieren. Besonders die Stufe »Memory Poisoning« ist relevant: Ein kontaminierter Kontext wird ins Langzeitgedächtnis geschrieben und bei jeder neuen Anfrage reaktiviert. Der Agent vergisst die Infektion nicht. Er lebt mit ihr.
Warum es im Verborgenen passiert
Die Pest brauchte Monate, um von Zentralasien nach Europa zu gelangen. Als die ersten Toten in Messina lagen, war der Erreger längst überall. Niemand sah ihn. Niemand verstand den Mechanismus. Man sah nur die Folgen.
Bei KI-Agenten ist die Lage vergleichbar, nur schneller. Ein korrumpierter Kontext verbreitet sich über API-Calls, E-Mail-Ketten und gemeinsame Datenbanken in Sekunden. Es gibt keine Firewall, die einen plausibel formulierten, aber inhaltlich falschen Satz abfängt. Herkömmliche Sicherheitssoftware sucht nach Malware-Signaturen, nach verdächtigen Dateien, nach ungewöhnlichem Netzwerkverkehr. Ein KI-Virus erzeugt nichts davon. Er besteht aus Sprache.
Wiz Research dokumentierte im vierten Quartal 2025 einen Anstieg der Prompt-Injection-Versuche um 340%. Das sind die absichtlichen Angriffe. Die unabsichtliche Verbreitung fehlerhafter Kontexte misst niemand. Weil sie in den Augen der Systeme normal aussieht. Agent A schickt Agent B einen Bericht. Agent B verarbeitet ihn. Alles wie vorgesehen. Nur der Inhalt ist vergiftet.
Die OpenClaw-Krise Anfang 2026 gab einen Vorgeschmack. Über 21.000 Instanzen des populären Agent-Frameworks waren exponiert, im Marketplace tauchten manipulierte Erweiterungen auf. Hier kam die Kontamination über die Lieferkette, vergleichbar mit verunreinigtem Trinkwasser, das niemand testen wollte.
Was wäre eine Pandemie in der KI-Welt?
Stell dir vor, ein weit verbreitetes Sprachmodell erzeugt eine subtile Falschinformation. Nicht grob falsch, nicht offensichtlich absurd, sondern nur ein bisschen daneben. Eine Zahl, die um eine Größenordnung abweicht. Eine Kausalität, die nicht stimmt. Eine Empfehlung, die in einem bestimmten Kontext schädlich ist.
Zehntausende Agenten greifen auf dieses Modell zu. Sie übernehmen die Information, reichern sie mit eigenem Kontext an, geben sie weiter. Andere Agenten verwenden die Ergebnisse als Trainingsmaterial oder RAG-Kontext. Die Falschinformation wird zum Teil des kollektiven Wissens. Sie mutiert bei jedem Durchgang, wird mal schlimmer, mal harmloser, aber sie verschwindet nicht.
Das wäre eine Pandemie. Nicht spektakulär, nicht mit Alarmsirenen und Lockdowns, sondern schleichend. Die Qualität der Ausgaben sinkt. Berichte enthalten Fehler, die niemand bemerkt, weil sie plausibel klingen. Entscheidungen werden auf falscher Grundlage getroffen. Und weil jeder dem System vertraut, fällt es erst auf, wenn der Schaden da ist.
In der KI-Forschung gibt es dafür bereits einen Begriff: Model Collapse. Wenn Modelle auf Ausgaben anderer Modelle trainiert werden, degradiert die Qualität über Generationen hinweg. Was als subtiler Fehler beginnt, wird zur systematischen Verzerrung. Der Erreger wird endemisch.
Gibt es ein Immunsystem?
In der Biologie brauchte die Menschheit Jahrhunderte, um Hygiene, Quarantäne und Impfungen zu entwickeln. In der IT-Sicherheit hat es Jahrzehnte gedauert, bis Firewalls, Antivirensoftware und Verschlüsselung Standard wurden. Für KI-Ökosysteme gibt es bisher fast nichts.
Die OWASP stuft Prompt Injection seit 2025 als die kritischste Schwachstelle in KI-Anwendungen ein. Sie wurde in über 73% aller geprüften produktiven Systeme gefunden. OpenAI hat öffentlich eingeräumt, dass das Problem womöglich nie vollständig lösbar ist, weil es kein strukturelles Äquivalent zu den parametrisierten Abfragen gibt, die SQL-Injection entschärft haben.
Was es gibt, sind Ansätze:
Quarantäne. Agenten isolieren, bevor sie Ergebnisse weitergeben. Outputs prüfen, bevor sie in die Pipeline eines anderen Agenten fließen. Aufwendig, langsam, aber wirksam.
Hygiene. Minimale Rechte für jeden Agenten. Wer nur Berichte zusammenfassen soll, braucht keinen Schreibzugriff auf die Datenbank. Wer E-Mails liest, muss sie nicht weiterleiten dürfen. Das Prinzip ist uralt und wird trotzdem ständig ignoriert.
Impfung. Agenten gezielt mit bekannten Angriffsmustern konfrontieren und ihnen beibringen, sie zu erkennen. Das funktioniert begrenzt, weil die Muster sich schneller ändern als die Trainingszyklen.
Epidemiologische Überwachung. Den Datenfluss zwischen Agenten monitoren. Nicht auf der Suche nach bekannten Signaturen, sondern nach Anomalien. Wenn ein Agent plötzlich andere Ausgaben produziert als üblich, könnte etwas nicht stimmen. Begriffe wie RAG, Memory und Kontext klingen harmlos. Aber sie beschreiben genau die Mechanismen, über die sich Kontamination ausbreitet.
Das alles erinnert nicht zufällig an Seuchenbekämpfung. Die Probleme sind strukturell verwandt.
Was bedeutet das für normale Nutzer?
Wer ChatGPT als Schreibhilfe oder Claude für Recherche nutzt, muss sich keine Sorgen machen. Einzelne Chatbots ohne Vernetzung sind wie Einsiedler: Sie können niemanden anstecken und werden von niemandem angesteckt.
Relevant wird es dort, wo Agenten vernetzt arbeiten. Wo ein Agent die Ausgabe eines anderen als Input verwendet. Wo mehrere Systeme auf dieselbe Wissensdatenbank zugreifen. Wo Automatisierung menschliche Kontrolle ersetzt. Und genau das ist die Richtung, in die sich die Branche bewegt.
Ab August 2026 tritt der EU AI Act für Hochrisiko-Systeme in Kraft. Er adressiert unter anderem Robustheit gegen adversariale Angriffe. Was er allerdings nicht adressiert: die unbeabsichtigte Verbreitung fehlerhafter Kontexte in autonomen Multi-Agenten-Systemen. Die Regulierung denkt in Angriffen. Die Biologie denkt in Epidemien. Womöglich brauchte man beide Perspektiven.
Die Pest hat Europa nicht deshalb verwüstet, weil jemand sie als Waffe eingesetzt hat. Sie hat Europa verwüstet, weil niemand verstand, wie sie sich verbreitet. Bei KI-Agenten verstehen wir den Mechanismus. Zumindest theoretisch. Was noch fehlt, ist die Konsequenz.
