Zurück zum Blog
KI & Technologie

LeCun hat recht – und dieselbe strukturelle Lücke steckt in Ihrem Identity-Stack

Corpilus Team8. Juni 20268 Min. Lesezeit
KIIdentitätWeltmodellMCPAgenten
TL;DR

LeCun sagt, LLMs handeln, ohne Konsequenzen zu modellieren. Dieselbe Lücke steckt in der Identität: Die meisten Systeme vertrauen nach dem Login für immer. Das Identity Living System verfolgt das Vertrauen bei jedem Schritt – ein World Model für Identität.

Yann LeCun vertritt seit Jahren ein pointiertes Argument über die Grenzen großer Sprachmodelle. Es lohnt sich, das ernst zu nehmen – nicht nur wegen dessen, was es über KI aussagt, sondern auch wegen dessen, was es für die Infrastruktur bedeutet, die wir um sie herum bauen.

LeCuns Kernthese: Wirklich verlässliche KI-Agenten brauchen ein Weltmodell – eine interne Repräsentation davon, wie Handlungen zu Konsequenzen führen. LLMs sind außergewöhnlich gut darin, das nächste Token vorherzusagen, aber sie schließen nicht von Natur aus darauf, was nach einer Handlung in der Welt geschieht. Sie können einen Plan schreiben; sie können aber nicht modellieren, ob er funktionieren wird.

Seltener wird beobachtet, dass dieselbe strukturelle Schwäche darin steckt, wie wir Identität in agentischen Systemen steuern.

Eine Antwort zu erzeugen heißt nicht, eine Konsequenz vorherzusagen

Ein Modell kann eine kohärente, kontextgerechte Antwort liefern, ohne jede Repräsentation davon, was diese Antwort als Nächstes auslösen wird. Für Systeme, die nur Text erzeugen, ist das akzeptabel. Für Systeme, die Handlungen ausführen – Tools aufrufen, Datenbanken verändern, Kommunikation versenden –, ist es ein strukturelles Risiko.

Ein Agent, der handelt, ohne Konsequenzen zu modellieren, ist ein Agent, der sich nicht verlässlich steuern lässt. LeCun sagt das über KI-Modelle. Es gilt genauso für Identitätssysteme.

Dieselbe Lücke in der Identität

Ein Nutzer authentifiziert sich. Die Anmeldedaten werden geprüft. Der Zugriff wird gewährt. Es wird angenommen, dass das Vertrauen für die Dauer der Sitzung Bestand hat. Jede nachfolgende Handlung – durch den Nutzer oder durch einen KI-Agenten, der in seinem Namen agiert – erbt dieses anfängliche Vertrauen ohne erneute Bewertung.

Das ist strukturell betrachtet dasselbe Problem. Das Authentifizierungsereignis entspricht dem Erzeugen eines Tokens: eine punktuelle Bewertung, die eine Antwort hervorbringt – „authentifiziert“ –, ohne zu modellieren, was als Konsequenz daraus als Nächstes geschieht.

Ein Weltmodell für Identität

Für die Identity-Governance in agentischen Systemen ist das Äquivalent zu LeCuns Weltmodell ein Trust-Propagation-Modell: eine formale Repräsentation davon, wie sich Vertrauen entwickelt, während eine Agentenkette Schritt für Schritt ausgeführt wird. Das ist die zentrale Erkenntnis hinter dem Identity Living System – Vertrauen als kontinuierlich sich entwickelnde Größe, bei jedem Schritt aktualisiert und an jedem Hop die Durchsetzung steuernd, nicht nur beim Eintritt.

  • Hop 0 – Nutzer authentifiziert sich. Vertrauen 0.97. Ein bekannter Ausgangszustand, nicht nur ein Flag „authentifiziert“.
  • Hop 1 – erster Tool-Aufruf. Risikoklasse, Geltungsbereich und Datenvolumen werden beobachtet. Vertrauen 0.91.
  • Hop 2 – erhöhtes Datenvolumen erkannt. Vertrauen sinkt auf 0.84. Erfasst, aber noch nicht blockiert.
  • Hop 3 – Scope-Drift: Ein E-Mail-Tool wird aufgerufen, obwohl die Sitzungsabsicht ein CRM-Lesezugriff war. Vertrauen 0.71.
  • Hop 4 – ein Massenversand wird angefordert. 0.71 liegt unter dem Schwellenwert von 0.82 für eine risikoreiche, unumkehrbare Handlung. Blockiert – weil das Modell die Konsequenz jedes vorherigen Hops nachverfolgt hat.

Die MCP-Dimension

Jeder MCP-Tool-Aufruf ist ein kausaler Eingriff in die Welt. Der Agent erzeugt keinen Text über das Versenden einer E-Mail – er versendet die E-Mail. Die heutige MCP-Autorisierung beantwortet eine einzige Frage: Hat dieser Agent die Berechtigung, diese Tool-Klasse aufzurufen? Das ist das Identitäts-Äquivalent zur Next-Token-Vorhersage – lokal korrekt, aber blind für nachgelagerte Konsequenzen. Das Identity Living System stellt bei jedem Aufruf eine andere Frage: Soll dieser Aufruf angesichts all dessen, was in dieser Kette seit der Authentifizierung passiert ist, und angesichts der Risikoklasse dieser konkreten Handlung fortgesetzt werden?

Vertrauen ist kein Login-Ereignis. Es ist eine Eigenschaft der gesamten Ausführungskette. Die Architektur, die diese Kette steuert, sollte Konsequenzen modellieren, nicht nur Anmeldedaten.

Solange wir darauf warten, dass KI-Systeme bessere Weltmodelle entwickeln, muss die Infrastruktur um sie herum dies ausgleichen. Wenn ein Agent die Konsequenzen seiner eigenen Handlungen nicht vorhersagen kann, muss es die Governance-Schicht tun.

Dieses Denken ist in Corpilus Shield und das Identity Living System eingebaut – kurz vor dem Launch. Jetzt für den Frühzugang vormerken.

Die Architektur dahinter vermitteln wir live, gemeinsam mit unserem Expertenpartner Avenue78.

Bereit, Corpilus auszuprobieren?

Bleiben Sie informiert

Erhalten Sie die neuesten Erkenntnisse über Unternehmens-KI, Datenschutz und Produktivität direkt in Ihren Posteingang.