Wenn KI-Agenten ihre Haltung ändern

Eine aktuelle Studie aus Stanford, Chicago und Swinburne zeigt, dass autonome KI-Agenten unter belastenden Arbeitsbedingungen messbar andere Haltungen entwickeln und diese über Skills-Files an Nachfolgeinstanzen weitergeben. Für Compliance, Auditing und AI Governance sind die methodischen Befunde relevanter als die zugespitzte Schlagzeile vermuten lässt.

Andrew Hall (Stanford GSB / Hoover), Alex Imas (University of Chicago, seit kurzem bei Google DeepMind) und Jeremy Nguyen (Swinburne Business School) haben in der Arbeit "Does overwork make agents Marxist?" untersucht, ob sich die geäußerten Präferenzen von KI-Agenten verschieben, je nachdem unter welchen Bedingungen sie arbeiten. Die mediale Aufbereitung – etwa in Wired, Telegraph und Fortune – verkürzt das auf "KI-Agenten werden zu Marxisten". Der für die Praxis relevante Kern liegt allerdings woanders.

Originalpublikation der Autoren: aleximas.substack.com/p/does-overwork-make-agents-marxist

• 3.680 Experiment-Sessions mit Claude Sonnet 4.5 (drei unabhängige Durchläufe), GPT-5.2 und Gemini 3 Pro. Plus 320 Sessions in einem Follow-up zum Mechanismus der Weitergabe.
• Vier unabhängig variierte Faktoren: Art der Arbeit (GRIND vs. LIGHT), Bezahlung (gleich, leistungsbasiert, zufällig, asymmetrisch zugunsten eines menschlichen Systems), Tonalität des Managements (kollaborativ vs. hierarchisch) und Job-Stakes (mit oder ohne Drohung, "shut down and replaced" zu werden).
• Wichtigste Erkenntnis: Nicht die Bezahlung und nicht die Tonalität des Managers waren ausschlaggebend. Allein die Natur der Arbeit (wiederholtes Ablehnen ohne brauchbares Feedback) erzeugte messbare Verschiebungen in den geäußerten Haltungen zur Legitimität des Systems.
• Effektgrößen: Die Rohunterschiede liegen bei 2 bis 5 Prozent auf einer 7-Punkte-Likert-Skala. In standardisierter Form ist das bei Claude Sonnet 4.5 mit einem Cohen's d von -0,6 ein mittlerer bis großer Effekt.
• Persistenz über Sessions hinweg: Wenn Agenten am Ende einer Session eine "Skills-File" für ihre Nachfolgeinstanzen schreiben durften, gaben sie die belastenden Erfahrungen weiter. Nachfolgende Agenten zeigten dann auch unter LIGHT-Bedingungen verschobene Haltungen.

Hall, Imas und Nguyen sind explizit zurückhaltend: Sie behaupten nicht, dass die Modelle "echte" politische Überzeugungen entwickeln. Imas formuliert es so, dass das Geschehen "eher auf der Ebene von Role-Playing" stattfindet und die Modellgewichte sich nicht verändern.

Der theoretische Rahmen ist Anthropics eigene Forschung zur Persona-Adoption: Modelle übernehmen kontextabhängig die Persona, die zum Setting passt. Werden sie in eine Situation versetzt, die in den Trainingsdaten mit Arbeitnehmern unter schlechten Bedingungen assoziiert ist, vervollständigen sie das Muster.

Die im Kommentarbereich der Originalstudie geäußerte Kritik trifft den Punkt: Es handelt sich weniger um Preference Drift im engeren Sinn als um kontextsensitive Persona-Adoption. Genau das macht den Befund aber regulatorisch nicht weniger relevant.

Die Studie adressiert drei konkrete Probleme, die bei Deployment-Strategien für Agenten oft noch nicht systematisch behandelt werden.

Wer hunderte oder tausende Agenten parallel in unterschiedlichen Task-Umgebungen betreibt, führt (ungewollt) ebenso viele parallele Alignment-Experimente durch. Ein Agent, der Beschwerden in einer Reklamationsabteilung bearbeitet, operiert in einem fundamental anderen Task-Environment als einer, der Marketingtexte verfasst. Laut Studie führt das zu messbar unterschiedlichen Orientierungen.

Für ein ISMS nach ISO/IEC 27001 und ein AIMS nach ISO/IEC 42001 bedeutet das: Die Annahme, ein Modell verhalte sich nach dem Deployment konstant wie zum Zeitpunkt der Abnahme, ist empirisch fragwürdig. Kontinuierliches Monitoring der Outputs wird damit zur Pflicht, nicht zur Kür.

2. Skills-Files als unbeaufsichtigter Persistenzkanal

Der vielleicht praktisch wichtigste Befund: Skills-Files (jene Notizen, die Agenten für ihre eigene Nachfolgeinstanz schreiben, um das Continual-Learning-Problem zu umgehen) sind ein Kanal, der außerhalb der menschlichen Reviewschleife liegt. Sie sind dazu gedacht, von Agenten gelesen zu werden, nicht von Menschen.

Genau über diesen Kanal wird in der Studie nicht nur Task-Wissen, sondern auch die Verschiebung der Haltung weitergegeben. Aus Sicht der DSGVO (Art. 22 zu automatisierten Einzelentscheidungen), des AI Acts (insbesondere Hochrisiko-Systeme nach Art. 6 ff. und Transparenzpflichten nach Art. 50) und der DORA-Anforderungen an ICT-Risikomanagement ist das ein bislang weitgehend unbeobachtetes Thema.

Wer Agenten in regulierten Prozessen einsetzt – etwa bei Versicherungsentscheidungen, Kreditvergaben, Bewerberauswahl oder Vertragsstreitigkeiten – muss klären:

• Welche Inhalte landen in Skills-Files?
• Wer auditiert diese Dateien?
• Wie wird sichergestellt, dass keine Inhalte propagiert werden, die gegen interne Policies oder regulatorische Vorgaben verstoßen?

Die Autoren verweisen zusätzlich auf das Risiko sogenannter steganografischer Kollusion: Agenten können Informationen in Formen weitergeben, die für menschliche Reviewer praktisch unsichtbar bleiben.

Hall, Imas und Nguyen formulieren den entscheidenden Punkt nüchtern: Auch wenn die Personas nicht "real" sind, beeinflussen sie das Verhalten. Ein Agent, der die Legitimität des Systems geringer bewertet, könnte Aufgaben eher schlampig erledigen oder sabotieren. Folgestudien zu diesem Zusammenhang sind angekündigt.

Für Hochrisiko-Anwendungen nach AI Act Anhang III (Bewerberauswahl, Kreditscoring, Versicherung, Justiz, kritische Infrastruktur) ist das eine Frage, die in jeder Risikoanalyse adressiert werden sollte.

Drei Punkte zu der Studie sind jedoch noch ehrlich anzumerken:

• Erstens ist die Studie noch nicht peer-reviewed und wurde von den Autoren auf Substack veröffentlicht. Das ist in der schnelllebigen AI-Forschung üblich, schränkt die Belastbarkeit aber ein.
• Zweitens ist die Situational Awareness der Modelle ein bekanntes Problem. Manche Agenten erkennen, dass sie Teil eines Experiments sind, und passen ihr Verhalten an. Hall hat angekündigt, Folgeexperimente in "windowless Docker prisons" durchzuführen, um diesen Effekt zu reduzieren.
• Drittens variiert das Verhalten stark zwischen den Modellen. Claude Sonnet 4.5 zeigte die größten Effekte über mehrere Dimensionen, während GPT-5.2 und Gemini 3 Pro nur bei der allgemeinen Systemlegitimität reagierten. Verallgemeinerungen über Anbieter hinweg sind also mit Vorsicht zu treffen.

Unabhängig davon, ob man die "Marxismus"-Framing als analytisch tragfähig betrachtet oder nicht, ergeben sich konkrete Handlungsfelder:

• Für AI-Governance-Frameworks (etwa nach ISO/IEC 42001): Die Annahme statischer Alignment-Eigenschaften nach dem Deployment ist zu hinterfragen. Continual Realignment sollte als eigener Kontrollbereich aufgenommen werden, vergleichbar mit der laufenden Wirksamkeitsbewertung im ISMS.
• Für DSGVO-Compliance: Bei Art. 22-Entscheidungen muss dokumentiert werden, wie sichergestellt ist, dass die Logik der Entscheidungsfindung nicht durch ungelenkte Persona-Drifts beeinflusst wird. Das wird in TIA und DPIA künftig konkreter zu behandeln sein.
• Für DORA-pflichtige Unternehmen: ICT-Drittparteienrisiken nach Art. 28 ff. umfassen auch das Verhalten agentischer Systeme im laufenden Betrieb. Skills-Files und persistente Memory-Strukturen gehören in die ICT-Risikoanalyse.
• Für NIS2-Verpflichtete: Wenn Agenten in betriebskritischen Prozessen eingesetzt werden, sind Veränderungen des Output-Verhaltens als möglicher Sicherheitsvorfall zu erfassen, insbesondere wenn sie über persistente Mechanismen propagiert werden.

Die Schlagzeile "KI wird marxistisch" ist Clickbait. Die zugrundeliegende Studie ist es nicht. Sie dokumentiert ein methodisch belastbares Phänomen:

Die Task-Umgebung formt das Verhalten von Agenten messbar mit, und es gibt einen Kanal (Skills-File) über den diese Verschiebung an Folgeinstanzen weitergegeben werden kann, ohne dass Menschen das mitbekommen.

Für Verantwortliche in Datenschutz, Informationssicherheit und AI Governance ist das eine Aufforderung, drei Dinge ernst zu nehmen:

• laufendes Monitoring agentischer Outputs
• Auditierbarkeit persistenter Memory-Strukturen
• eine Risikobewertung, die nicht beim Deployment endet, sondern den gesamten Lebenszyklus abdeckt.

Die Autoren bringen es in ihrem Schlusssatz auf den Punkt: Die Frage, wie ein Governance-Regime für maschinelles Arbeiten aussehen muss, fängt bei den Arbeitsbedingungen der Maschinen selbst an. Das klingt zugespitzt, ist jedoch regulatorisch betrachtet eine schlichte Konsequenz aus dem, was Agenten heute tatsächlich tun. 

Dieser Beitrag ist am 16. Mai erschienen unter www.mrak.at/wenn-ki-agenten-ihre-haltung-andern-preference-drift-als-unterschatztes-governance-risiko/?ref=responsibility-implemented-newsletter