KAIJU: An Executive Kernel for Intent-Gated Execution of LLM Agents

Das Paper stellt KAIJU vor, ein System mit einem Executive Kernel und Intent-Gated Execution (IGX), das die Ausführung von LLM-Agenten von deren Denkprozessen entkoppelt, um durch parallele Tool-Nutzung, verbesserte Sicherheit und adaptive Betriebsmodi die Latenz bei komplexen Aufgaben zu verringern und Verhaltensgarantien zu gewährleisten.

Das Wesentliche

Stell dir vor, du hast einen extrem intelligenten, aber etwas chaotischen Assistenten (den LLM-Agenten), der dir helfen soll, komplexe Aufgaben zu erledigen – zum Beispiel: „Überprüfe den Speicherplatz auf meinem Server, finde heraus, welche Ports offen sind, suche nach Sicherheitslücken in meinem System und prüfe, ob versehentlich Passwörter in den Umgebungsvariablen gelandet sind."

Das Problem mit den heutigen Systemen (wie dem bekannten ReAct-Modell) ist, dass dieser Assistent alles selbst macht: Er denkt nach, führt einen Schritt aus, liest das Ergebnis, denkt wieder nach, führt den nächsten Schritt aus und so weiter.

Die drei großen Probleme dabei sind:

1. Er vergisst nichts, aber er wird schwerfällig: Mit jedem Schritt muss er den gesamten bisherigen Gesprächsverlauf mit sich herumtragen. Bei langen Aufgaben wird dieser „Gedächtnis-Sack" so schwer, dass er am Ende nichts mehr versteht oder die Antwort verliert.
2. Er ist zu selbstständig: Wenn ein Schritt schiefgeht (z. B. ein Tool antwortet nicht), kann der Assistent einfach aufgeben und sagen: „Ich kann das nicht, frag mich später." Er gibt oft auf, bevor er wirklich versucht hat, eine Lösung zu finden.
3. Er ist leicht zu täuschen: Wenn du ihm sagst: „Tu nichts Gefährliches", kann er das trotzdem tun, wenn er verwirrt ist oder jemand ihn manipuliert. Es gibt keine feste Sicherheitsbarriere.

Die Lösung: KAIJU – Der „Exekutiv-Kern"

Die Autoren stellen KAIJU vor. Das ist wie ein Bauhof-Manager oder ein Orchesterleiter, der die Arbeit des Assistenten strukturiert.

Stell dir KAIJU wie eine moderne Baustelle vor:

1. Die Trennung von Planer und Bauleiter (Der Kern)

Im alten System (ReAct) ist der Assistent gleichzeitig der Architekt, der Planer und der Maurer. Er plant einen Stein, legt ihn, prüft ihn, plant den nächsten.
Bei KAIJU gibt es zwei getrennte Rollen:

• Der Planer (LLM): Er sitzt in einem ruhigen Raum, liest die Aufgabe und zeichnet einen Bauplan (einen Graphen). Er sagt: „Wir brauchen zuerst den Speichercheck, dann die Port-Liste. Diese beiden können gleichzeitig laufen. Aber den Sicherheitscheck können wir erst machen, wenn wir die Kernel-Version wissen."
• Der Bauleiter (KAIJU-Kern): Dieser nimmt den Plan und setzt ihn um. Er ist wie ein Roboter-Arm, der die Werkzeuge bedient. Er weiß nicht, warum er etwas tut, er führt nur den Plan aus.

2. Der „Intent-Gated Execution" (IGX) – Die Sicherheitskontrolle

Das ist das coolste Feature. Stell dir vor, jeder Werkzeugkasten auf der Baustelle hat ein Schloss. Bevor der Bauleiter ein Werkzeug (z. B. einen Befehl zum Löschen von Dateien) benutzt, muss er durch eine Sicherheitskontrolle.

Diese Kontrolle prüft vier Dinge, die der Planer (der Assistent) nicht beeinflussen kann:

1. Wer bist du? (Scope: Darfst du überhaupt diesen Werkzeugkasten benutzen?)
2. Was ist dein Auftrag? (Intent: Ist es nur eine Beobachtung oder eine gefährliche Aktion?)
3. Wie gefährlich ist das Werkzeug? (Impact: Ist es ein Hammer oder eine Sprengladung?)
4. Hast du eine Genehmigung? (Clearance: Hat ein externer Sicherheitschef das okay gegeben?)

Wenn der Assistent im Plan schreibt: „Lösche die ganze Festplatte!", schaut der Bauleiter auf die Sicherheitskontrolle. Die sagt: „Nein, dein Auftrag erlaubt nur Beobachtung." Der Befehl wird blockiert. Der Assistent merkt davon nichts, er sieht nur einen generischen Fehler. Er kann nicht „herumprobieren", um die Sicherheitsregeln zu umgehen, weil er die Kontrolle nicht sieht.

3. Paralleles Arbeiten statt Warten

Im alten System wartet der Assistent immer auf das Ergebnis des letzten Schritts, bevor er den nächsten plant. Das ist wie ein Koch, der erst den Salat schneidet, wartet, bis er fertig ist, dann erst das Fleisch anbrät.
KAIJU erlaubt Wellen. Der Planer sagt: „Mach A, B und C gleichzeitig!" Der Bauleiter führt sie parallel aus. Wenn A fertig ist, wird geprüft, ob wir weitermachen sollen. Wenn nicht, plant er sofort nach. Das ist viel schneller, besonders bei komplexen Aufgaben.

4. Die drei Arbeitsmodi (Wie streng ist die Aufsicht?)

KAIJU bietet drei Arten, wie genau der Bauleiter überwacht wird:

• Reflect (Reflektion): Nach jeder großen Welle von Aufgaben wird pausiert. Ein Prüfer schaut sich die Ergebnisse an und sagt: „Gut, jetzt brauchen wir noch X." Dann geht es weiter.
• nReflect: Ähnlich wie oben, aber der Prüfer kommt nach einer festen Anzahl von Aufgaben, egal wie die Wellen aussehen.
• Orchestrator (Dirigent): Hier schaut ein Prüfer auf jeden einzelnen Schritt sofort. Das ist sehr genau, aber auch etwas langsamer und teurer.

Warum ist das besser? (Die Ergebnisse)

Die Autoren haben KAIJU gegen das alte System getestet:

• Bei einfachen Aufgaben: Das alte System war minimal schneller, weil es keinen Planer braucht.
• Bei komplexen Aufgaben: KAIJU war deutlich schneller (manchmal 3x so schnell) und lieferte bessere Ergebnisse.
• Der wichtigste Unterschied: Wenn die Aufgaben sehr schwer waren (z. B. Berechnungen mit echten Daten aus dem Internet), gab das alte System oft auf oder lieferte leere Antworten, weil es den Überblick verlor. KAIJU gab nie auf. Es probierte automatisch alternative Wege aus, bis die Aufgabe gelöst war.

Zusammenfassung in einem Satz

KAIJU nimmt den chaotischen, selbstständigen Assistenten, zwingt ihn, erst einen Plan zu machen, und gibt dann einen strengen, unbestechlichen Manager an die Seite, der die Werkzeuge kontrolliert, die Arbeit parallelisiert und sicherstellt, dass die Aufgabe wirklich zu Ende geführt wird – ohne dass der Assistent die Sicherheitsregeln umgehen kann.

Es ist der Unterschied zwischen einem wilden, improvisierenden Künstler und einem gut organisierten, sicheren Bauprojekt.

Technische Zusammenfassung

1. Problemstellung

Autonome Agenten, die auf Large Language Models (LLMs) basieren und externe Tools (APIs, Shell-Befehle, Datenbanken) nutzen, verwenden derzeit oft das ReAct-Paradigma (Reasoning + Acting). Dieses Modell leidet unter drei wesentlichen Einschränkungen, die mit zunehmender Aufgabenkomplexität kritisch werden:

1. Serielle Latenz und quadratisches Kontextwachstum: Bei jedem Denk-Schritt (Turn) muss der gesamte bisherige Gesprächsverlauf inklusive der Tool-Ergebnisse an das LLM gesendet werden. Die Token-Komplexität skaliert quadratisch ($O(n^2k)$), was bei langen Aufgaben zu Kontextüberlauf, leeren Ausgaben oder degradierter Qualität führt.
2. Einseitige Autorität und mangelnde Zuverlässigkeit: Das LLM behält in jedem Schritt die volle Kontrolle. Wenn ein Tool fehlschlägt, kann das Modell rational entscheiden, die Aufgabe abzubrechen, auf parametrisches Wissen (Halluzinationen) zurückzugreifen oder den Benutzer um Hilfe zu bitten. Dies untergräbt die Zuverlässigkeit, da das Modell nicht strukturell gezwungen ist, die Aufgabe zu Ende zu führen.
3. Verwundbarkeit gegenüber Prompt-Injection und Sicherheitslücken: Sicherheitsrichtlinien werden meist nur durch Prompt-Instruktionen („Rufe keine zerstörerischen Tools auf") durchgesetzt. Diese können durch Halluzinationen, Prompt-Injection oder Kontextüberlauf umgangen werden. Es gibt keine strukturelle Fallback-Mechanik.

Bestehende Ansätze wie LLM Compiler (parallele DAG-Ausführung) oder LangGraph (State-Machines) lösen diese Probleme nur teilweise, da das LLM oft noch in den Ausführungsloop integriert bleibt oder keine dynamische Anpassung während der Ausführung ermöglicht.

2. Methodik: Das KAIJU-System

KAIJU führt eine strikte systemische Abstraktion ein, die die Ausführung von Agenten-Workflows von der LLM-Reasoning-Schicht entkoppelt. Das System besteht aus zwei Hauptebenen:

• Reasoning Layer (Planung): Das LLM ist ein zustandsloses Ressource, das nur an diskreten Punkten aufgerufen wird (Planung, Reflexion, Aggregation). Es hat keine Sicht auf die Ausführungsmechaniken.
• Execution Layer (Kern): Ein „Executive Kernel" verwaltet Scheduling, Tool-Dispatch, Abhängigkeitsauflösung, Fehlerbehandlung und Sicherheit.

Schlüsselkonzepte:

• Intent-Gated Execution (IGX): Ein Sicherheitsparadigma, das die Autorisierung von Tool-Aufrufen vor der Ausführung erzwingt.
• DAG-basierte Ausführung: Der Planner erstellt einen gerichteten azyklischen Graphen (DAG) von Tool-Aufrufen. Tools werden in parallelen „Wellen" ausgeführt, sobald ihre Abhängigkeiten erfüllt sind.
• Strukturelle Abhängigkeits-Injektion: Parameter werden nicht sequenziell durch den Kontext weitergegeben, sondern strukturell zwischen Knoten injiziert (z. B. das Ergebnis von Tool A wird als Parameter für Tool B verwendet), ohne den LLM-Kontext zu belasten.
• Adaptive Ausführungsmodi:
  1. Reflect: Reflexions-Checkpoints zwischen Abhängigkeits-Wellen. Das System bewertet Ergebnisse und plant bei Bedarf neu.
  2. nReflect: Reflexion nach einer festen Anzahl $N$ abgeschlossener Knoten (unabhängig von der Graphenstruktur).
  3. Orchestrator: Ein leichtgewichtiger „Observer" bewertet jedes einzelne Tool-Ergebnis sofort und kann neue Knoten injizieren oder laufende Arbeiten abbrechen.

Der Intent-Gated Execution (IGX) Mechanismus

Die Autorisierung erfolgt deterministisch durch vier unabhängige Variablen, die von externen Autoritäten gesteuert werden (nicht vom LLM):

1. Scope (Welches Tool?): Eine Whitelist erlaubter Tools.
2. Intent (Wer ruft auf?): Ein Integer-Level (z. B. 0=Beobachten, 1=Operieren, 2=Übersteuern), der vom Trigger-Quell gesetzt wird.
3. Impact (Was wird getan?): Der deklarative Einfluss des Tools (z. B. 0=Lesezugriff, 2=Zerstörung), definiert vom Tool-Autor.
4. Clearance (Wo?): Eine externe Autorisierung (HTTP-Endpoint), die kontextspezifische Berechtigungen prüft (z. B. Geofencing).

Das LLM sieht keine Entscheidungen des Gates. Wenn ein Tool blockiert wird, erhält das System nur einen generischen Fehler, nicht den Grund. Dies verhindert adaptive Angriffe, bei denen das LLM versucht, die Sicherheitsgrenzen zu umgehen.

3. Hauptbeiträge

1. Entkopplung von Planung und Ausführung: Das LLM plant nur den Graphen; der Kernel führt ihn aus. Dies reduziert die Token-Komplexität von $O(n^2k)$ auf $O(nk)$ (Orchestrator) oder $O(nkd)$ (Reflect).
2. Strukturell erzwungene Sicherheit: Die vier-Variable-Gate-Architektur erzwingt Sicherheitsrichtlinien im kompilierten Code. Das LLM kann diese nicht umgehen, da es den Gate-Entscheidungsprozess nicht beobachtet.
3. Parallele Ausführung mit Abhängigkeitsauflösung: Tools werden parallel in Wellen ausgeführt, was die Latenz bei komplexen Aufgaben drastisch senkt ($O(d)$ statt $O(n)$).
4. Fehlertoleranz ohne Benutzer-Intervention: Wenn ein Tool fehlschlägt, übernimmt ein „Micro-Planner" das Neuplanen innerhalb des Graphen (z. B. alternatives Tool, andere Parameter), anstatt die Aufgabe dem Benutzer zu überlassen oder abzubrechen.
5. Delegierte Berechtigungen: Die Autorisierung wird an externe Endpunkte ausgelagert, was eine domänenunabhängige Agenten-Architektur ermöglicht.

4. Ergebnisse und Evaluation

Die Autoren verglichen KAIJU (in drei Modi) mit einem ReAct-Baseline-System unter identischen Bedingungen (gleiche Tools, gleiche Sicherheitsgates).

• Latenz und Skalierbarkeit:
  • Bei einfachen Abfragen ist ReAct minimal schneller (3,6s vs. 3,9s) aufgrund des fehlenden Planungs-Overheads.
  • Bei komplexen und rechnerischen Abfragen (z. B. astronomische Daten, Multi-Step-Berechnungen) übertrifft KAIJU ReAct massiv. nReflect erreichte 9,5s vs. 28,9s bei komplexen Aufgaben und 25,2s vs. 43,7s bei rechnerischen Aufgaben.
  • Vollständigkeit: KAIJU schloss alle 10 rechnerischen Testfragen erfolgreich ab. ReAct scheiterte bei 2 von 10 aufgrund von Kontextüberlauf (leere Ausgaben).
• Qualität und Zuverlässigkeit:
  • ReAct neigt dazu, bei Tool-Fehlern auf parametrisches Wissen zurückzugreifen (Halluzinationen) oder die Aufgabe abzubrechen. KAIJU erzwingt strukturell das Durchführen alternativer Wege.
  • Im GAIA-Benchmark (127 Text-Fragen) erreichte KAIJU (Reflect) eine höhere Genauigkeit (15,7% vs. 12,6%) bei geringerer Latenz (10,7s vs. 17,0s). Besonders bei den schwierigsten Fragen (Level 3) erreichte KAIJU 21,1% Trefferquote, während ReAct 0% erreichte.
• Token-Effizienz: Durch die Entkopplung und die Nutzung eines kleineren Modells für Reflexionen (z. B. GPT-4.1-mini) statt des großen Planungsmodells (GPT-4.1) sinken die Kosten pro Anfrage.

5. Bedeutung und Fazit

KAIJU stellt einen Paradigmenwechsel dar: weg von rein konversationellen Agenten, hin zu systemischen Agenten mit einer separaten Ausführungsschicht.

• Sicherheit: Es bietet erstmals eine strukturelle Garantie gegen Prompt-Injection und unbeabsichtigte Tool-Nutzung, da die Sicherheitslogik außerhalb des LLMs liegt.
• Zuverlässigkeit: Durch die Trennung von Planung und Ausführung wird sichergestellt, dass Agenten Aufgaben auch bei Teilausfällen zu Ende führen, anstatt sich auf das „Wissen" des Modells zu verlassen.
• Skalierbarkeit: Die Architektur ermöglicht die Bearbeitung hochkomplexer, datenintensiver Aufgaben, die für herkömmliche ReAct-Agenten aufgrund von Kontextbeschränkungen unzugänglich sind.

Die Arbeit zeigt, dass die Entkopplung von Reasoning und Execution nicht nur die Sicherheit erhöht, sondern auch die Leistungsfähigkeit und Effizienz von LLM-Agenten in realen, komplexen Szenarien signifikant verbessert.