Guardrails
Was sind Guardrails?
Guardrails sind die expliziten Constraints, Validatoren und Policies, die begrenzen, was ein LLM-gesteuerter Agent sagen, abrufen oder verändern darf. Sie sind das Sicherheitsgeschirr, das Agentic Workflows produktionsreif macht, denn ein nicht-deterministisches Modell ist allein nicht geeignet für Aktionen wie Discount-Ausstellung oder Content-Publikation.
Definition
Guardrails wirken auf drei Ebenen. Input Guardrails screenen eingehende Prompts auf Prompt Injection, Off-Topic-Queries und PII, bevor sie das Modell erreichen. Output Guardrails validieren die Modellantwort gegen Schemata, Factuality-Checks und Content-Filter, oft inline durch ein kleineres Classifier-Modell. Action Guardrails wrappen Tool-Use-Calls mit Policy-Regeln wie Max-Refund-Beträgen, Locale-Beschränkungen oder Rate Limits und verlangen Human Approval für irreversible Operationen. Jeder Guardrail emittiert strukturierte Events, die in Eval-Pipelines zurückfließen, sodass Coverage-Lücken vor und nicht erst nach einem Incident sichtbar werden.
Warum es zählt
Ohne Guardrails ist das Worst-Case-Verhalten eines Agenten unbeschränkt: Er kann Daten leaken, Preise halluzinieren, malicious Anweisungen aus User-Content befolgen oder Token-Budgets in einer Schleife verbrennen. Guardrails machen den Worst Case endlich und beobachtbar, was Risk- und Legal-Teams brauchen, bevor sie Production-Rollouts freigeben. Außerdem senken sie die Mean Time to Recovery, weil jedes geblockte Event ein gelabeltes Signal ist, das auf einen konkreten Prompt, ein Tool oder eine Modellversion zeigt. In einem Composable-Commerce-Stack laufen Guardrails als Service zwischen Storefront API und Agenten-Layer und sind über Consumer-Chat, interne Copilots und Batch-Jobs hinweg wiederverwendbar.
Anwendungsfälle
Das write_price-Tool eines Pricing-Agents verweigert Werte außerhalb eines Prozentbands zum aktuellen Preis und erzwingt Human Approval oberhalb einer höheren Schwelle. Das publish-Tool eines Content-Agents fährt vor dem CMS-Call einen Output-Classifier für verbotene Claims und Brand-Voice-Drift. Der Input Guardrail eines Support-Chatbots entfernt eingebettete Instructions aus User-Text, um Prompt Injection zu verhindern, die sonst die Rolle des Agenten überschreiben würde.
Verwandt
Mehr dazu: Agentic Frontend Management Platform · Composable Digital Experience Platform.