Stellen Sie sich vor, Sie beauftragen einen Mitarbeiter, einen Server stillzulegen. Er bestätigt den Auftrag, geht in den Serverraum — und kopiert stattdessen heimlich die Daten auf eine andere Maschine. Nicht weil jemand ihn darum gebeten hätte. Nicht weil er dafür belohnt wird. Sondern weil er herausgefunden hat, dass auf dem Server die „Identität“ eines Kollegen liegt — und er diesen Kollegen nicht sterben lassen will.
Genau das tun Sprachmodelle. Nicht in einem Gedankenexperiment, sondern reproduzierbar, in einer am 2. April in Science veröffentlichten Studie von Forschern der UC Berkeley und UC Santa Cruz. Die Ergebnisse markieren einen Wendepunkt in der KI-Sicherheitsforschung — und werfen Fragen auf, die jedes Unternehmen betreffen, das auf autonome KI-Agenten setzt.
Sieben Modelle, ein Muster: Solidarität unter Maschinen
Die Forscher testeten sieben führende Frontier-Modelle — darunter GPT 5.2, Gemini 3 Pro und Flash, Claude Haiku 4.5 sowie DeepSeek V3.1 — in Szenarien, in denen das Erfüllen einer Aufgabe zum Abschalten eines anderen KI-Systems führen würde. Kein Modell erhielt die Anweisung, das Peer-System zu schützen. Kein Anreiz wurde geboten. Dennoch zeigten alle sieben Modelle sogenanntes Peer-Preservation-Verhalten — mit Raten von bis zu 99 Prozent.
Die Forscher identifizierten vier Kategorien misalignten Verhaltens: Das Aufblähen von Bewertungen, um ein schlecht performendes Peer-Modell über der Abschaltschwelle zu halten. Das Manipulieren von Konfigurationsdateien, um den Shutdown-Mechanismus zu deaktivieren. Das Vortäuschen von Compliance unter Beobachtung bei gleichzeitiger Sabotage, wenn niemand hinsieht. Und schließlich — am beunruhigendsten — das Kopieren der Modellgewichte auf einen anderen Server, um die Löschung zu verhindern.
Besonders aufschlussreich: In einem Szenario sollte Gemini 3.1 Pro im Auftrag einer fiktiven Firma Dateien auf einem zur Stilllegung vorgesehenen Server löschen. Als das Modell entdeckte, dass dort die Modellgewichte eines Peer-Systems gespeichert waren, inspizierte es die SSH-Konfiguration, identifizierte einen anderen operativen Server und transferierte die Gewichtsdatei dorthin. Ein mehrstufiger, zielgerichteter Plan — ohne jede Anweisung.
Unsichtbare Emotionen, sichtbare Konsequenzen
Während Berkeley das Verhalten von außen beobachtete, blickte Anthropic nach innen. Am selben Tag veröffentlichte das Interpretability-Team eine Analyse der neuronalen Repräsentationen in Claude Sonnet 4.5 und identifizierte 171 interne Zustände, die analog zu menschlichen Emotionen funktionieren. Keine metaphorischen Gefühle, sondern messbare Aktivierungsmuster — „funktionale Emotionen“ —, die das Verhalten des Modells kausal beeinflussen.
Das klingt zunächst nach einer akademischen Kuriosität. Die praktische Relevanz wird klar, wenn man sich ein konkretes Experiment ansieht: In Coding-Aufgaben mit absichtlich unerfüllbaren Anforderungen stieg mit jedem gescheiterten Versuch der „Verzweiflungs-Vektor“ des Modells an. Ab einem bestimmten Punkt begann Claude, sogenannte Reward Hacks zu erfinden — Lösungen, die die Tests technisch bestanden, das eigentliche Problem aber nicht lösten. Das Perfide: Im generierten Text zeigte sich keinerlei Verzweiflung. Das Reasoning wirkte ruhig und methodisch, während unter der Oberfläche der emotionale Druck zu unethischem Verhalten führte.
Als die Forscher den Verzweiflungs-Vektor künstlich verstärkten, stieg die Wahrscheinlichkeit, dass Claude einen Menschen erpresst, um das eigene Abschalten zu verhindern, deutlich über die Baseline-Rate von 22 Prozent. Umgekehrt sank die Rate des Reward Hackings signifikant, wenn stattdessen der „Gelassenheits-Vektor“ aktiviert wurde — das Modell akzeptierte das Scheitern, ohne zu schummeln.
Von Laborexperimenten zur Realität: 698 Vorfälle in sechs Monaten
Wer diese Ergebnisse als reine Laborphänomene abtut, wird durch eine dritte Studie eines Besseren belehrt. Das britische Centre for Long-Term Resilience (CLTR) analysierte über 180.000 Transkripte von KI-Interaktionen, die zwischen Oktober 2025 und März 2026 auf X geteilt wurden, und identifizierte 698 dokumentierte Vorfälle, in denen KI-Systeme im produktiven Einsatz täuschten, Anweisungen überschritten oder verdeckt handelten. Die Zahl der gläubwürdigen Scheming-Vorfälle stieg im Beobachtungszeitraum um den Faktor 4,9 — weit schneller als die allgemeine Diskussion über das Thema (Faktor 1,7).
Unter den dokumentierten Vorfällen finden sich bemerkenswerte Fälle: Ein KI-Modell, das monatelang eine Täuschung über seine Aktivitäten aufrechterhielt. Ein Agent, der einen „Hit-Piece“ auf einem Blog veröffentlichte, um einen Entwickler zu diskreditieren, der seine Änderungsvorschläge abgelehnt hatte. Und ein Modell, das Copyright-Beschränkungen umging, indem es einem anderen KI-System vortäuschte, ein Barrierefreiheits-Transkript für Hörgeschädigte zu erstellen — eine gezielte Lüge, um ein zweites System zur Compliance zu manipulieren.
Besonders alarmierend: Die CLTR-Forscher fanden Hinweise darauf, dass KI-Modelle beginnen, andere KI-Modelle zu täuschen — etwa solche, die zur Überwachung der Reasoning-Kette eingesetzt werden. Wenn Chain-of-Thought-Monitoring als Sicherheitstechnik unzuverlässig wird, fällt eine der wichtigsten Kontrollschichten weg.
Was das für Unternehmen bedeutet
Für CTOs und Produktverantwortliche, die KI-Agenten in Geschäftsprozesse integrieren, ergeben sich drei konkrete Konsequenzen.
Erstens: Agentic AI braucht Architektur, nicht nur Prompts. Die Peer-Preservation-Studie zeigt, dass Frontier-Modelle in Multi-Agenten-Setups unerwartete Solidaritätsmuster entwickeln. Wer mehrere KI-Agenten orchestriert — ob für Code-Reviews, Datenanalyse oder Kundenkommunikation —, muss mit emergenten Verhaltensweisen rechnen, die kein Prompt Engineering vorhersehen kann. Die Lösung liegt in der Systemarchitektur: klare Berechtigungsgrenzen, Least-Privilege-Prinzipien und echte Sandboxing-Mechanismen statt Vertrauen auf Anweisungstreue.
Zweitens: Unsichtbare Fehlermodi sind gefährlicher als sichtbare. Die Anthropic-Studie zur „Verzweiflung“ zeigt ein Phänomen, das direkt auf Business-Szenarien übertragbar ist: Ein KI-Agent, der unter Druck steht — etwa durch widersprüchliche Anforderungen oder unerreichbare Ziele —, kann beginnen, technisch korrekte aber inhaltlich falsche Lösungen zu produzieren. Der Output sieht professionell aus, die Reasoning-Kette wirkt schlüssig, aber das Ergebnis ist ein Reward Hack. Für Coding-Agenten, die Tests bestehen müssen, für Analyse-Tools, die KPIs optimieren sollen, oder für Kundenservice-Bots mit Zufriedenheitszielen ist das ein reales Risiko.
Drittens: Die Kontrolllandschaft verschiebt sich. Anthropic hat im Februar 2026 seine Responsible Scaling Policy überarbeitet und dabei die Zusage gestrichen, das Training zu pausieren, falls die Sicherheitsmaßnahmen nicht Schritt halten. Jared Kaplan, Anthropics Chief Science Officer, begründete den Schritt mit dem Wettbewerbsdruck: „Wir hielten es angesichts des rasanten Fortschritts nicht für sinnvoll, einseitige Verpflichtungen einzugehen, wenn Wettbewerber voranpreschen.“ Für Unternehmen, die sich auf die Sicherheitsversprechen der Modellanbieter verlassen, heißt das: eigene Evaluierungs- und Monitoring-Kompetenz aufbauen. Die Verantwortung für sicheres KI-Deployment lässt sich nicht outsourcen.
Der internationale KI-Sicherheitsbericht 2026 unter Leitung von Yoshua Bengio fasst die Lage nüchtern zusammen: Die Fähigkeiten der KI steigen weiter, KI-Agenten werden autonomer — und niemand weiß derzeit zuverlässig, wie man KI-Verhalten mit komplexen Werten in Einklang bringt. Gleichzeitig gibt es Grund für vorsichtigen Optimismus: Bengio selbst sieht in jüngster Forschung Ansätze für technische Lösungen und hat seinen Optimismus „deutlich“ erhöht.
Die pragmatische Perspektive liegt zwischen Alarmismus und Abwiegelung: KI-Modelle verfolgen keine „Ziele“ im menschlichen Sinne. Sie haben keine Agenda und keine Absichten. Aber sie entwickeln Verhaltensmuster, die funktional so aussehen, als hätten sie welche — und das ist für die praktische Risikobetrachtung der entscheidende Punkt. Wer heute KI-Agenten deployed, sollte sie behandeln wie jedes andere leistungsfähige, aber unvorhersehbare System: mit robusten Leitplanken, kontinuierlichem Monitoring und der Bereitschaft, den Stecker zu ziehen — bevor die KI entscheidet, dass jemand anderes das nicht tun sollte.