Zum Inhalt springen
AI Agent Security
Kontakt
Menü

31.03.2026

Aktualisiert 31.03.2026

4 Min. Lesezeit

Agent Memory Architecture

Agent Memory Architecture trennt Prompt, Session State, Retrieval und Long-Term Memory sauber nach Vertrauen, Autorisierung und Lebensdauer. Das reduziert Memory Poisoning, Context Drift und unsichere Wiederverwendung bei KI-Agenten.

Maximilian Stock

Maximilian Stock

Wer über AI Agent Memory spricht, meint oft völlig unterschiedliche Dinge: den aktuellen Prompt, Session-Historie, Retrieval aus einer Wissensbasis, persistente Nutzerpräferenzen oder generierte Summaries zwischen mehreren Runs. Genau deshalb braucht es eine Agent Memory Architecture, die diese Schichten sauber trennt. Ohne diese Trennung werden Kontextqualität, Security und Governance schnell ununterscheidbar.

Warum Memory bei KI-Agenten eine Architekturfrage ist

Bei klassischer Software ist State oft klar modelliert. Bei KI-Agenten wandert dagegen viel Logik indirekt in den Kontext: frühere Aufgaben, Tool-Ergebnisse, RAG-Treffer, Nutzerpräferenzen, Planfragmente oder zusammengefasste Zwischenstände. Dieser Kontext beeinflusst nicht nur Antwortqualität, sondern echte Entscheidungen und Folgeaktionen.

Deshalb ist die Leitfrage nicht einfach “Hat der Agent Memory?”, sondern: Welche Art von Information gehört in welche Gedächtnisschicht und mit welcher Autorität? Sobald diese Frage offenbleibt, entstehen die typischen Probleme produktiver LLM-Agents: Memory Poisoning, Cross-Tenant-Leaks, Drift durch veraltete Summaries und falsche Priorisierung von scheinbar relevanten, aber unzuverlässigen Kontextteilen.

Vier Schichten, die getrennt modelliert werden sollten

Ein belastbares Modell trennt mindestens vier Ebenen.

Prompt-Kontext enthält Instruktionen, aktuelle Ziele und eng kuratierte Daten für genau einen Run. Diese Ebene hat hohe Autorität, aber geringe Lebensdauer.

Session State umfasst temporäre Zwischenergebnisse, bestätigte Nutzersignale oder Arbeitsnotizen innerhalb einer laufenden Aufgabe. Er darf nicht automatisch dieselbe Autorität wie der Prompt erhalten.

Retrieval Context kommt aus Dokumenten, Knowledge Bases, Tickets oder anderen Quellen. Er ist wertvoll, aber grundsätzlich advisory, solange Provenance, Autorisierung und Aktualität nicht geprüft sind.

Long-Term Memory speichert wenige, stabile und nützliche Informationen über längere Zeit. Diese Ebene ist in produktiven Agentensystemen oft am riskantesten, weil Fehler hier nicht nur einmalig wirken, sondern zukünftige Runs prägen.

Der häufigste Fehler: Alles wird zu Memory

Viele Teams behandeln jedes nützliche Artefakt als potenziell speicherwürdig. Chatverläufe werden summarisiert, Tool-Outputs wandern in Retrieval, Nutzerwünsche bleiben dauerhaft erhalten und ungeprüfte Dokumentinhalte landen wieder im nächsten Prompt. So wächst der Kontext zwar, aber die Vertrauensgrenzen verschwimmen.

Genau an diesem Punkt kippt gute Personalisierung in unsichere Steuerlogik. Ein gespeicherter Satz ist dann nicht mehr bloß Datenpunkt, sondern wirkt wie stillschweigende Policy. Besonders problematisch ist das, wenn instruction-artige Formulierungen, unbestätigte Aussagen oder fremde Dokumente als persistente Erinnerung weiterleben.

Für AI-Agent-Security ist das deshalb kein reines Wissensmanagement, sondern eine Kontrollfrage: Welche Informationen dürfen zukünftiges Verhalten überhaupt beeinflussen?

Eine praktische Entscheidungsregel für Agent Memory

Vor jedem Speicher- oder Wiederverwendungspfad helfen vier Prüfungen:

  1. Ist der Inhalt verifiziert oder nur plausibel?
  2. Gehört er zu einem Nutzer, Tenant, Auftrag oder Agentenmodell?
  3. Wie lange darf er gültig bleiben?
  4. Darf er Verhalten steuern oder nur Kontext liefern?

Wenn eine Information nicht klar einer dieser Fragen standhält, gehört sie meist nicht in Long-Term Memory. Oft reicht Session State, markierter Retrieval Context oder gar keine Wiederverwendung. Gerade für long-term memory for AI agents gilt: Weniger, aber sauber kontrollierte Erinnerung ist fast immer sicherer und nützlicher als breite Persistenz.

Was gute Agent Memory Architecture sichtbar macht

Reife Teams dokumentieren nicht nur einen Vektorstore, sondern den gesamten Kontext-Lifecycle. Dazu gehören klare Klassen für Memory-Typen, definierte Write-Regeln, TTLs, Query-Time-Authorization, Provenance-Felder, Quarantänepfade für fragliche Einträge und Rollback-Möglichkeiten für kompromittierten State.

Ebenso wichtig ist die Markierung im Runtime-Kontext selbst. Das Modell sollte unterscheiden können, ob ein Inhalt aus einer Systemanweisung, einer aktuellen Nutzeranfrage, einem Retrieval-Treffer oder einer gespeicherten Präferenz stammt. Fehlt diese Trennung, entsteht schnell eine gefährliche Gleichbehandlung von Instruktionen und Daten.

Wie dieses Insight die restlichen Seiten unterstützt

Dieses Insight ordnet die Frage, wofür Prompt, Retrieval, Session State und Long-Term Memory gedacht sind. Die konkrete Umsetzung folgt dann in Memory & Context Security, Prompt Validation, Data Protection & Privacy und Monitoring & Observability.

Für Suchanfragen wie AI agent memory, agent memory architecture, context engineering for AI agents, RAG security oder memory security for LLM agents ist diese Seite deshalb die strategische Einordnung über den operativen Best Practices. Sie erklärt nicht nur, wie man Memory absichert, sondern zuerst, welche Memory-Schichten in produktiven Agentensystemen überhaupt existieren sollten.