§ DOCUMENTATION

Drift Signal

Verhaltensbasierte Drift-Erkennung, die einen laufenden Agenten auf unerwartete Werkzeugnutzung, Verschiebungen in der Ablehnungsrate und neue Datenklass-Zugriffe überwacht — und bei einem Signal hohen Schweregrads automatisch seine Autonomie herabstuft.

§ 01

Was Verhaltens-Drift ist & warum Autonomie herabgestuft wird

Einem Agenten wird beim Onboarding eine Autonomie-Stufe zugewiesen — autonomous, act_with_approval, supervised — basierend auf einer Bewertung seines Verhaltens. Diese Bewertung veraltet. Agenten driften: Neue Code-Pfade werden hinzugefügt, vorgelagerte Werkzeuge erweitern ihre Oberfläche, oder ein Modell-Update ändert, was der Agent aufzurufen wählt. Wenn das Laufzeitverhalten eines Agenten von seiner etablierten Baseline abweicht, ist die ursprüngliche Autonomievergabe nicht mehr gerechtfertigt.

Drift Signal begegnet dem, indem es einen laufenden Agenten kontinuierlich überwacht und sein Live-Verhalten mit seiner Baseline vergleicht. Wenn eine signifikante Abweichung erkannt wird, wird die Autonomie automatisch herabgestuft, sodass nachfolgende Aktionen einer strengeren Durchsetzung unterliegen, bis ein Mensch das Signal prüft. Dies unterscheidet sich von der Berechtigungs-Drift-Erkennung, die vergebene Berechtigungen mit einer Baseline vergleicht — Drift Signal ist verhaltensbasiert und wirkt direkt auf die Autonomie-Stufe.

§ 02

Die drei Auslöser-Typen

Drift Signal erkennt drei signal_type-Werte. Jeder bildet eine eigene Verhaltensdimension ab:

signal_type	Was erkannt wird
new_tool_usage	Der Agent ruft ein Werkzeug auf, das er zuvor nie genutzt hat — d. h. ein Werkzeug, das in seiner historischen Baseline fehlt.
denial_rate_shift	Die Rate, mit der Anfragen des Agenten durch Richtlinien abgelehnt werden, steigt gegenüber der Baseline signifikant an — ein Zeichen dafür, dass er Aktionen versucht, die er bisher nicht versucht hat.
new_data_class	Der Agent beginnt, auf eine Datenklasse zuzugreifen — beispielsweise PII oder PHI — die er zuvor nicht berührt hatte. Erkannt aus Trace-Kontext und Datenklass-Annotationen.

§ 03

Schweregrad → Aktion

Jedes erkannte Signal trägt einen Schweregrad. Der Schweregrad bestimmt das Feld action_taken im Signaldatensatz und was Execlave in Echtzeit mit dem Agenten tut:

Schweregrad	Autonomie-Stufe bei Erkennung	action_taken
low	beliebig	none (Signal nur erfasst)
medium	beliebig	approval_required
high	autonomous oder act_with_approval	autonomy_downgraded
high	supervised oder niedriger	approval_required

Eine Herabstufung ist reversibel. Nach Prüfung des Signals kann ein Administrator die vorherige Autonomiestufe des Agenten über das Dashboard oder die Agenten-API wiederherstellen. Sowohl der Signaldatensatz als auch die Autonomieänderung werden im Audit-Log aufbewahrt.

§ 04

Drift-Signale prüfen

Alle Signale eines Agenten stehen unter GET /api/v1/agents/:id/drift-signals zur Verfügung. Jeder Datensatz enthält signalType, severity, actionTaken, detectedAt und ein detail-Objekt mit signalspezifischem Kontext (z. B. den Werkzeugnamen bei einem new_tool_usage-Signal). Signale werden in agent_drift_signals gespeichert und per RLS auf die anfragende Organisation beschränkt.

curl https://api.execlave.com/api/v1/agents/agt_01j.../drift-signals \  -H "Authorization: Bearer $EXECLAVE_API_KEY" # Antwort{  "data": [    {      "id": "ds_01j...",      "agentId": "agt_01j...",      "signalType": "new_tool_usage",      "severity": "high",      "actionTaken": "autonomy_downgraded",      "detectedAt": "2026-06-02T11:30:00Z",      "detail": {        "tool": "delete_database"      }    }  ]}

§ 05

Drift Signal aktivieren (FF_DRIFT_SIGNAL)

Drift Signal wird über das Feature-Flag FF_DRIFT_SIGNAL gesteuert, das standardmäßig deaktiviert ist. Wenn das Flag deaktiviert ist, werden keine Signale ausgewertet, der Endpunkt GET /api/v1/agents/:id/drift-signals gibt ein leeres Daten-Array zurück, und die Autonomie wird nie automatisch herabgestuft. Das bisherige Verhalten bleibt vollständig erhalten.

Um Drift Signal zu aktivieren, setzen Sie FF_DRIFT_SIGNAL=true in Ihrer Backend-Umgebung und starten Sie den Worker-Prozess neu. Der Hintergrundworker beginnt bei seinem nächsten geplanten Durchlauf mit der Drift-Auswertung. Das Deaktivieren des Flags während des Betriebs stoppt zukünftige Auswertungen sofort; vorhandene Signaldatensätze bleiben in der Datenbank erhalten.

§ 06

Häufig gestellte Fragen

Ersetzt Drift Signal die Berechtigungs-Drift-Erkennung?

Nein — beide Funktionen ergänzen sich. Drift Signal ist verhaltensbasiert: Es überwacht, welche Werkzeuge ein Agent aufruft, wie oft seine Anfragen abgelehnt werden und auf welche Datenklassen er zugreift, und greift dann in die Autonomie ein, wenn eine Verschiebung hohen Schweregrads erkannt wird. Die Berechtigungs-Drift-Erkennung (dokumentiert unter /docs/governance) ist ein separater Abgleich der vom Agenten gehaltenen Berechtigungen gegen eine Baseline. Beide können gleichzeitig aktiv sein.

Was passiert genau mit dem Agenten, wenn die Autonomie herabgestuft wird?

Die Autonomie-Stufe des Agenten wird um eine Stufe reduziert — zum Beispiel von autonomous zu act_with_approval oder von act_with_approval zu supervised. Die Herabstufung wird im Agentendatensatz erfasst und ist im Dashboard sichtbar. Nachfolgende Aktionen unterliegen dann dem strengeren Durchsetzungsmodus der neuen Stufe. Die Herabstufung ist reversibel: Ein Administrator kann die vorherige Autonomiestufe nach Untersuchung des Signals manuell wiederherstellen.

Kann ich einstellen, welche Signaltypen oder Schweregrade eine Autonomie-Herabstufung auslösen?

Im aktuellen Release ist die Herabstufungslogik fest: Ein Signal mit Schweregrad HIGH bei einem Agenten auf autonomous oder act_with_approval löst autonomy_downgraded aus. Signale niedrigeren Schweregrads erzeugen approval_required oder werden ohne Aktion erfasst. Konfigurierbare Schweregrad-Schwellwerte stehen auf der Roadmap. Aktuell ermöglicht das Feature-Flag FF_DRIFT_SIGNAL, die Funktion global zu aktivieren oder zu deaktivieren.

Wie oft wertet der Hintergrundworker Drift-Signale aus?

Die Signalauswertung läuft in einem geplanten Intervall im Hintergrundworker. Der genaue Rhythmus hängt von Ihrer Deployment-Konfiguration ab. Wenn FF_DRIFT_SIGNAL deaktiviert ist, überspringt der Worker die Auswertung vollständig — es werden keine Signale geschrieben und die Autonomie wird nie automatisch herabgestuft, sodass das bisherige Verhalten exakt erhalten bleibt.