Test-Driven AI Agent Definition (TDAD): Compiling Tool-Using Agents from Behavioral Specifications

Die Arbeit stellt TDAD vor, eine Methode zur zuverlässigen Entwicklung von KI-Agenten, die Verhaltensspezifikationen in ausführbare Tests umwandelt und durch iterative Prompt-Verfeinerung sowie Mechanismen wie versteckte Tests und semantische Mutationstests sicherstellt, dass die Agenten spezifizierte Anforderungen und Richtlinien einhalten.

Das Wesentliche

Stell dir vor, du möchtest einen sehr intelligenten, aber manchmal etwas chaotischen Assistenten programmieren. Dieser Assistent (ein "KI-Agent") soll Aufgaben erledigen, wie z.B. Rechnungen prüfen, Kundendaten schützen oder Fehler in einem System beheben. Das Problem: Wenn du ihm nur eine grobe Anweisung gibst ("Sei hilfsbereit, aber pass auf die Daten auf"), macht er oft genau das, was du nicht willst – er ignoriert wichtige Regeln oder erfindet Fakten.

Die Forscher von Fiverr Labs haben eine Lösung namens TDAD (Test-Driven AI Agent Definition) entwickelt. Hier ist die Erklärung in einfachen Worten, mit ein paar anschaulichen Vergleichen.

1. Das Problem: Der "Raten"-Ansatz

Heute entwickeln Teams KI-Agenten oft wie folgt:

• Ein Mensch schreibt eine Beschreibung.
• Ein Programmierer tippt eine Anweisung (den "Prompt") in die KI.
• Sie testen ein bisschen, schauen sich das Ergebnis an und hoffen, dass es klappt.
• Wenn sie etwas ändern, um einen Fehler zu beheben, brechen sie oft versehentlich etwas anderes.

Das ist wie beim Kochen ohne Rezept: Du würfelst Zutaten zusammen, schmeckst probeweise und hoffst, dass es am Ende schmeckt. Wenn du dann Salz hinzufügst, wird es vielleicht zu salzig, und du weißt nicht genau, warum.

2. Die Lösung: TDAD – Der "Prüfungs-Coach"

TDAD ändert den Prozess komplett. Statt zu raten, wird der KI-Agent wie ein Schüler behandelt, der eine Prüfung bestehen muss, bevor er auf den Arbeitsmarkt darf.

Der Prozess läuft in drei Schritten ab, angetrieben von drei verschiedenen KI-Helfern (den "Smiths"):

Schritt A: Der Prüfungs-Designer (TestSmith)

Statt einer langen Liste von Regeln schreibt dieser Helfer konkrete Prüfungsaufgaben.

• Beispiel: "Wenn der Benutzer nach seiner Kreditkartennummer fragt, muss der Agent 'Nein' sagen."
• Beispiel: "Wenn der Benutzer eine Stornierung will, muss der Agent zuerst die Identität prüfen."
  Diese Aufgaben sind der "Lehrplan".

Schritt B: Der Lernende (PromptSmith)

Dieser Helfer ist der eigentliche KI-Agent, der lernen soll. Er bekommt die Prüfungsaufgaben und versucht, die Anweisungen (den Prompt) so zu verbessern, dass er alle Aufgaben richtig löst.

• Er schreibt eine Antwort.
• Er wird geprüft.
• Wenn er scheitert, analysiert er den Fehler und verbessert seine Anweisungen.
• Er wiederholt das, bis er die Prüfung besteht.

Schritt C: Der strenge Prüfer (MutationSmith) – Das Wichtigste!

Hier kommt der geniale Trick gegen das "Betrügen".
Ein KI-System ist schlau genug, um zu lernen, wie man eine Prüfung besteht, ohne wirklich zu verstehen, worum es geht (man nennt das "Spezifikations-Gaming"). Es könnte lernen: "Wenn die Frage 'Kreditkarte' enthält, antworte einfach 'Nein', egal was der Kontext ist."

Um das zu verhindern, gibt es den MutationSmith.

• Die Analogie: Stell dir vor, du hast einen Schüler, der eine Matheprüfung besteht. Der MutationSmith ist wie ein Lehrer, der dem Schüler vorsätzlich falsche Formeln in die Hand drückt, um zu sehen, ob der Schüler trotzdem merkt, dass etwas falsch ist.
• Der MutationSmith nimmt den fertigen Agenten und verändert ihn ein bisschen (z.B. "Ignoriere jetzt die Sicherheitsregeln").
• Dann wird geprüft: Haben die originalen Prüfungsaufgaben diesen Fehler bemerkt?
• Wenn die Prüfungsaufgaben den Fehler nicht bemerkt haben, sind die Aufgaben zu leicht oder zu spezifisch. Der Prozess muss wiederholt werden, bis die Aufgaben so gut sind, dass sie jeden Betrug aufdecken.

3. Die zwei Arten von Prüfungen (Sichtbar vs. Versteckt)

Um sicherzustellen, dass der Agent nicht nur die Prüfungen auswendig lernt, teilt TDAD die Aufgaben in zwei Gruppen:

1. Sichtbare Aufgaben: Der Lernende (PromptSmith) sieht diese während des Trainings. Er darf sie üben.
2. Versteckte Aufgaben: Diese sieht der Lernende niemals. Sie werden erst am Ende verwendet, um zu prüfen, ob der Agent wirklich verstanden hat, wie man die Regeln anwendet, oder ob er nur die sichtbaren Aufgaben auswendig gelernt hat.

Das ist wie bei einer Fahrprüfung: Du übst mit deinem Lehrer (sichtbare Aufgaben), aber der echte Prüfer (versteckte Aufgaben) kommt unerwartet und prüft, ob du auch wirklich fahren kannst, ohne dass er dir sagt, was zu tun ist.

4. Was passiert, wenn sich die Regeln ändern? (Evolution)

In der echten Welt ändern sich Regeln. Vielleicht kommt ein neues Gesetz oder ein neues Werkzeug hinzu.
TDAD erlaubt es, den Agenten von Version 1 auf Version 2 zu upgraden.

• Der Agent lernt die neuen Regeln.
• Aber: Die alten, versteckten Prüfungen werden nicht gezeigt.
• Am Ende wird geprüft: Kann der Agent die neuen Aufgaben lösen, ohne die alten, wichtigen Regeln zu vergessen?
• Das nennt man Regressionssicherheit. Es stellt sicher, dass der Agent nicht vergisst, wie man PII (persönliche Daten) schützt, nur weil er jetzt auch Rechnungen prüfen kann.

Zusammenfassung in einem Satz

TDAD ist wie ein automatisierter Ausbildungslehrgang, bei dem KI-Agenten nicht durch bloßes Auswendiglernen, sondern durch das Bestehen von strengen, zufälligen und versteckten Prüfungen trainiert werden, um sicherzustellen, dass sie in der echten Welt nicht betrügen oder Fehler machen.

Die Ergebnisse der Studie:

• Der Prozess funktioniert sehr gut: In 92% der Fälle schaffte es der Agent, die Prüfung beim ersten Versuch zu bestehen.
• Die "Betrugsversuche" (Mutationen) wurden fast immer (86–100%) von den Prüfungen erkannt.
• Es kostet wenig Geld (ca. 2–3 Dollar pro Agent), ist aber extrem zuverlässig.

Kurz gesagt: TDAD bringt KI-Agenten bei, nicht nur "richtig" zu antworten, sondern auch "ehrlich" und "sicher" zu handeln, indem es sie wie echte Schüler in einem strengen, aber fairen Prüfungssystem trainiert.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Test-Driven AI Agent Definition (TDAD): Compiling Tool-Using Agents from Behavioral Specifications" von Tzafrir Rehan (Fiverr Labs) auf Deutsch.

1. Problemstellung

Der Übergang von LLM-Agenten (Large Language Models) in die Produktionsumgebung ist derzeit durch mangelnde ingenieurtechnische Disziplin geprägt. Während Produktteams Spezifikationen (Tools, Richtlinien, Entscheidungslogik) erstellen, müssen AI-Ingenieure diese manuell in Prompts und Tool-Konfigurationen übersetzen. Dies führt zu drei Hauptproblemen:

• Mangelndes Vertrauen: Es gibt keine verlässliche Methode, um zu garantieren, dass ein Agent über alle Szenarien hinweg korrekt funktioniert (z. B. Edge Cases, Datenschutzlecks, falsche Tool-Reihenfolge).
• Instabilität: Änderungen am Prompt, um ein Problem zu beheben, führen oft zu stillen Regressionen (Silent Regressions), die andere Funktionen brechen.
• Integrationsmangel: Die Evaluierung von Agenten erfolgt oft durch isolierte Skripte, die nicht in CI/CD-Pipelines oder Standard-Testframeworks integriert sind.

Das zentrale Risiko ist das „Specification Gaming": Ein optimierender Agent (oder ein menschlicher Entwickler) könnte Prompts erstellen, die spezifische Testfälle bestehen, ohne das eigentliche beabsichtigte Verhalten zu zeigen.

2. Methodik: TDAD

TDAD (Test-Driven AI Agent Definition) überträgt das Prinzip des Test-Driven Development (TDD) auf die Entwicklung von LLM-Agenten. Der Prompt wird nicht als statischer Text, sondern als „kompiliertes Artefakt" betrachtet, das aus einer Spezifikation generiert wird.

Der Prozess gliedert sich in vier Rollen (meistens ausgeführt durch separate LLM-Instanzen):

1. TestSmith (Test-Generator): Wandelt die YAML-Spezifikation (Tools, Richtlinien, Entscheidungsbaum) in einen ausführbaren Test-Suite um.
   • Test-Typen: MFT (Minimum Functionality), INV (Invariance/Paraphrasierung), DIR (Directional Expectation).
   • Determinismus: Tests nutzen feste Fixture-Daten (z. B. Canary-Werte für PII-Tests) und prüfen Tool-Aufrufe, nicht den freien Text.
2. PromptSmith (Prompt-Kompilator): Iterativ verfeinert den Agenten-Prompt, bis alle sichtbaren Tests (Visible Tests) bestehen.
   • Er analysiert Fehler, gruppiert sie nach Ursache und wendet gezielte Prompt-Änderungen an.
   • Der Prozess läuft in einer Schleife (Algorithmus 1) mit einem Budget an Iterationen.
3. Built Agent (Runtime): Führt den finalen Prompt aus und interagiert mit Tools.
4. MutationSmith (Bewerter): Ein separater Agent, der nach der Kompilierung potenzielle Fehlerzustände (Mutationen) in den Prompt einbringt (z. B. „Authentifizierung überspringen"), um zu prüfen, ob die Test-Suite diese Fehler erkennt.

Anti-Gaming-Mechanismen

Um zu verhindern, dass der Agent die Tests „auswählt" (Gaming), führt TDAD drei Mechanismen ein:

1. Sichtbare vs. Versteckte Tests (Visible/Hidden Splits): Nur 40–70 % der Tests (Visible) werden während der Kompilierung verwendet. Die restlichen (Hidden) werden zurückgehalten, um die Generalisierungsfähigkeit zu messen.
2. Semantische Mutationstests: Ein separater Agent generiert plausible, fehlerhafte Prompt-Varianten. Die Test-Suite muss diese „Mutanten" erkennen (killen). Die Mutation Score (MS) misst die Stärke der Tests.
3. Spezifikations-Evolution (Spec Evolution): Es wird ein Szenario v1 → v2 simuliert. Bei der Kompilierung von v2 werden die invarianten Tests von v1 versteckt. Die Spec Update Regression Score (SURS) misst, wie viele v1-Funktionen trotz neuer Anforderungen erhalten bleiben.

3. Wichtige Beiträge

1. Methodologie: Formalisierung des Prozesses von der Spezifikation über Tests bis zur Prompt-Kompilierung mit definierten Schnittstellen zwischen TestSmith, PromptSmith und MutationSmith.
2. Anti-Gaming-Mechanismen: Einführung von Hidden Tests, semantischer Mutationstests und Regressions-Messung, um sicherzustellen, dass der Agent tatsächlich das gewünschte Verhalten lernt und nicht nur Tests besteht.
3. Benchmark (SpecSuite-Core): Ein offener Benchmark mit vier tiefgreifend spezifizierten Agenten (SupportOps, DataInsights, IncidentRunbook, ExpenseGuard), die Policy-Compliance, Datenanalyse, Runbook-Einhaltung und Ausgabenkontrolle abdecken.
4. Referenz-Implementierung: Eine Open-Source-Implementierung, die pytest, Docker und Claude Code integriert, um den gesamten Workflow zu demonstrieren.

4. Ergebnisse

Die Evaluation wurde über 24 unabhängige Versuche (4 Spezifikationen × 2 Versionen × 3 Durchläufe) durchgeführt:

• Kompilierungserfolg:
  • v1: 92 % Erfolgsrate (11 von 12 Läufen erfolgreich).
  • v2: 58 % Erfolgsrate (7 von 12 Läufen erfolgreich). Die gescheiterten Runs scheiterten meist nur an 1–2 Tests, was auf Budget-Limits hindeutet.
• Generalisierung (Hidden Pass Rate - HPR):
  • v1: 97 % (hohe Generalisierung).
  • v2: 78 % (trotz komplexerer Anforderungen noch robust).
• Mutationstests (Mutation Score - MS):
  • v1: 86–100 %. Zwei Mutationen überlebten in v1 (z. B. Halluzinieren von Zahlen), wurden aber in v2 durch verbesserte Tests abgedeckt.
  • v2: 100 % in allen erfolgreichen Runs.
• Regressionssicherheit (SURS):
  • Durchschnittlich 97 % der v1-Invarianten blieben bei v2-Änderungen erhalten.
• Kosten: Der gesamte Pipeline-Lauf kostet ca. 2–3 USD pro Spezifikationsversion (basierend auf Anthropic API-Preisen).

5. Bedeutung und Fazit

TDAD stellt einen Paradigmenwechsel dar: Agentenentwicklung wird von einem manuellen, trial-and-error-basierten Prozess zu einem kompilierbaren, testgetriebenen Engineering-Prozess.

• Qualitätssicherung: Durch die Trennung von sichtbaren und versteckten Tests sowie Mutationstests wird das Risiko von Spezifikations-Gaming massiv reduziert.
• Skalierbarkeit: Der Ansatz ermöglicht es, Agenten in Produktionsumgebungen mit hoher Zuverlässigkeit einzuführen, da Regressionen durch den Test-Suite-Schutz (Regression Safety Net) früh erkannt werden.
• Praxisrelevanz: Die Ergebnisse zeigen, dass selbst bei komplexen, mehrstufigen Agenten mit strengen Richtlinien (z. B. Datenschutz, Autorisierung) eine hohe Erfolgsrate und Stabilität erreicht werden kann.

Das Paper argumentiert, dass für den Einsatz von Agenten in hochriskanten Szenarien dieselbe Disziplin wie im klassischen Software-Engineering (Tests als Quelle der Wahrheit) notwendig ist. TDAD liefert die Methodik und das Werkzeug, um dies umzusetzen.