Ist der EU AI Act bereit für KI-Agenten?

The EU AI Act vs Agentic AI Risks

12. Februar 2025 · 6 Min. Lesezeit

Der EU AI Act soll der weltweit erste umfassende Rechtsrahmen für KI werden und Risiken von KI-Systemen, einschließlich KI-Agenten, adressieren. Im Vergleich zu den aufkommenden Risiken agentischer Systeme bleiben jedoch mehrere Lücken:

  1. Autonome Entscheidungsfindung: Der EU AI Act adressiert die Risiken autonomer KI-Agenten nicht vollständig. Zwar fokussiert er auf Hochrisiko-KI, bildet aber die komplexen Entscheidungsprozesse autonomer Agenten nicht spezifisch ab [1][6].

  2. Datenexposition und Exfiltration: KI-Agenten können große Datenmengen verarbeiten und damit das Risiko von Datenabflüssen erhöhen. Der Act adressiert diese spezifischen Risiken nicht ausreichend [2].

  3. Ressourcenverbrauch: KI-Agenten können erhebliche Systemressourcen verbrauchen und potenziell Denial-of-Service-Probleme verursachen. Dieses Risiko wird nicht explizit abgedeckt [2].

  4. Agent-Hijacking: Das Risiko, dass unbefugte Akteure die Kontrolle über KI-Agenten übernehmen, wird im AI Act nicht ausreichend behandelt [2].

  5. Supply-Chain-Risiken: Der Einsatz von Drittbibliotheken oder Fremdcode in KI-Agenten führt zu Lieferkettenrisiken, die nicht umfassend abgedeckt sind [2].

  6. Divergenz zwischen öffentlichem und privatem Sektor: Der AI Act setzt teilweise unterschiedliche Maßstäbe für öffentliche und private Akteure, obwohl Machtasymmetrien durch KI in beiden Bereichen ähnlich wirken können [4].

  7. Vorsatzerfordernis: Für bestimmte Verbote ist eine Vorsatzanforderung vorgesehen, wodurch unbeabsichtigte, aber schädliche Folgen agentischer Systeme unzureichend erfasst werden können [4].

  8. Begrenzter Vulnerabilitätsbegriff: Der Fokus auf Alter sowie körperliche oder mentale Beeinträchtigung reicht möglicherweise nicht aus, um Manipulation anhand anderer durch EU-Gleichheitsrecht geschützter Merkmale abzudecken [4].

  9. Inkonsistente Risikoklassifizierung: Der risikobasierte Ansatz ordnet teils ähnliche Systeme unterschiedlichen Risikoklassen zu, ohne klare Begründung [4].

  10. Fehlende Kohärenz mit bestehendem EU-Recht: Zwischen dem AI Act und anderen EU-Regelwerken wie DSGVO und ePrivacy bestehen Inkonsistenzen, die zu regulatorischer Unklarheit führen können [4][5].

  11. Begrenzte Regulierung vollständig autonomer Agenten: Für vollständig autonome Agenten mit eigener Rechtspersönlichkeit fehlt eine spezifische Regulierung [8].

  12. Ethische Entscheidungsfindung: Es fehlen umfassende Leitlinien, um sicherzustellen, dass KI-Agenten Entscheidungen im Einklang mit menschlichen und gesellschaftlichen Werten treffen [6].

Um diese Lücken zu schließen, könnten politische Entscheidungsträger den AI Act gezielt weiterentwickeln, um die besonderen Herausforderungen agentischer Systeme besser zu adressieren: Autonomie, Missbrauchspotenzial und breitere gesellschaftliche Auswirkungen [6].

Quellen:
[1] https://www.ibm.com/think/topics/eu-ai-act
[2] https://www.computerweekly.com/opinion/Gartner-Mitigating-security-threats-in-AI-agents
[3] https://www.ceps.eu/ceps-publications/the-ai-act-and-emerging-eu-digital-acquis/
[4] https://www.europarl.europa.eu/RegData/etudes/STUD/2022/729507/EPRS_STU(2022)729507_EN.pdf
[5] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
[6] https://www.weforum.org/stories/2024/12/ai-agents-risks-artificial-intelligence/
[7] https://www.edf-feph.org/publications/eus-ai-act-fails-to-set-gold-standard-for-human-rights/
[8] https://www.linkedin.com/pulse/regulatory-gap-materializes-eus-proposed-ai-act-fully-igor-barshteyn
[9] https://artificialintelligenceact.eu/high-level-summary/
[10] https://www.lumenova.ai/blog/ai-agents-potential-risks/