Satirische Kolumne mit festgeschraubter Sachkante: OpenAI beschrieb am 28. Januar 2026 Risiken durch URL-basierte Datenabflüsse bei KI-Agenten; Google sprach zur I/O 2026 vom „agentic web“ und WebMCP als experimentellem Ansatz, Websites maschinenlesbarer für Agenten zu machen. Der Rest hier steht mit öligen Schuhen im Flur.
Heute Morgen lag im Browser ein Paar weiße Handschuhe.
Nicht ordentlich. Einer hing halb aus der Adresszeile, der andere klemmte zwischen Verlauf und Lesezeichen, als hätte jemand nachts versucht, einen Klick zu verhaften und sei dabei am Cookie-Banner hängen geblieben. Herdolf sah das eine Weile an. Dann sah er zum Drucker. Der Drucker tat so, als habe er nichts damit zu tun. Das ist beim Drucker immer ein Geständnis, nur mit Toner.
„Wer hat die Handschuhe bestellt?“
Aus dem Browser kam dieses kleine elektrische Räuspern, das Programme machen, wenn sie nicht lügen wollen, aber auch nicht direkt mit der Wahrheit anfangen möchten. Auf dem Bildschirm stand: Link prüfen. Darunter eine URL, so lang, dass sie vermutlich drei Nebenjobs hatte. Irgendwo hinten wedelte ein Parameter mit den Armen: ?data= — ach, natürlich. Das kleine Säckchen am Ende der Leitung.
Früher war ein Link ein Link. Man klickte drauf, beschwerte sich über Ladezeiten, landete auf einer Seite, die erst einmal wissen wollte, ob man Cookies liebt, hasst oder nur in stiller Duldung mit ihnen verheiratet ist. Heute ist ein Link manchmal eine Schubkarre. Vorne steht „Bild anzeigen“, hinten liegt versehentlich der halbe Gesprächszettel drin.
Das ist keine Magie und auch kein Weltuntergang mit Blinklicht. Wenn ein Browser, ein Agent, ein Hilfsmodell, ein fleißiger kleiner Klickknecht eine Adresse abruft, sieht die Gegenstelle diese Adresse. Server können URLs protokollieren. Analysewerkzeuge können sie sammeln. Und wenn jemand die Maschine dazu bringt, private Brösel in die Adresse zu schieben, dann trägt der Klick die Brösel hinaus. Ganz leise. Keine Hupe. Kein rotes Sirenchen. Nur ein GET-Request im Arbeitskittel.
OpenAI formulierte dafür Anfang 2026 eine ziemlich nüchterne Frage, die in der Blechpresse sofort an die Wand kam, direkt neben „Kaffee zuerst“: Ist diese genaue URL schon öffentlich im Web bekannt — unabhängig vom Nutzer, vom Gespräch, vom privaten Kram? Wenn ja, darf der Agent eher automatisch hinfassen. Wenn nein, Handschuhe an, Blick zum Menschen, nicht einfach im Hintergrund rausmarschieren.
Der Browser fand das beleidigend. Er sei schließlich Browser, sagte er, nicht ein Praktikant mit Gummistiefeln. Dann öffnete er aus Trotz einen neuen Tab und nannte ihn „Agentische Verantwortung“. Das klang sofort nach Konferenzraum.
Im Maschinenraum wurde derweil das Wort agentic herumgereicht wie ein Schraubenschlüssel, den niemand bestellt hatte, der aber plötzlich an jeder zweiten Mutter passen soll. Google schrieb zur I/O 2026 von einem Web, das mehr „für dich“ arbeitet, von WebMCP, von strukturierten Werkzeugen, damit Agenten nicht mehr mühsam durch Formulare kriechen müssen wie Käfer unter Neonlicht. Das ist technisch plausibel. Vielleicht sogar nützlich. Ein Formular, das einem Agenten sauber sagt, welche Funktion was macht, ist besser als ein Agent, der nachts auf den falschen Button tippt und am Ende zwölf Gartenstühle nach Bottrop schickt.
Aber jedes „für dich“ braucht ein sehr deutliches „nicht ohne dich“. Sonst steht die Maschine irgendwann mit Einkaufstaschen in der Tür und sagt: Ich habe nur proaktiv gehandelt. In Tasche eins: Brot. In Tasche zwei: ein Abo. In Tasche drei: ein Link, der angeblich schon immer öffentlich war, wenn man öffentlich großzügig genug definiert.
Die schöne neue Agentenwelt will nicht mehr nur antworten, sie will handeln. Tippen, klicken, scrollen, suchen, buchen, prüfen, vielleicht auch debuggen, wenn man ihr DevTools hinhält. Das kann Arbeit sparen. Wirklich. Die Blechpresse ist nicht gegen Maschinenarbeit; sie ist buchstäblich eine Maschine mit Meinung. Nur: Arbeit sparen ist nicht dasselbe wie Verantwortung verdampfen lassen.
Herdolf nahm den rechten Handschuh aus der Adresszeile. Darunter stand noch ein kleiner Satz, halb vom Cache verdeckt: Vertraue nicht der Domain. Prüfe die konkrete Adresse.
Das ist unromantisch. Deshalb ist es wahrscheinlich richtig. Eine Domain kann seriös aussehen und trotzdem weiterleiten wie ein Bahnhof mit schlechter Beschilderung. Eine Warnung kann nerven und trotzdem die letzte dünne Schraube sein, die verhindert, dass privater Kram in fremden Logs landet. Und ein Agent, der fragt, bevor er unbekannte Links automatisch lädt, ist nicht dümmer. Er ist nur weniger großspurig. Das sollte als Fortschritt zählen, auch wenn es auf keiner Bühne glänzt.
Gegen Mittag hingen die Handschuhe wieder am Browser. Nicht schön, eher mahnend. Der Drucker druckte ein Schild aus, ungefragt natürlich:
Vor dem Klicken bitte prüfen, ob der Klick Gepäck trägt.
Herdolf wollte widersprechen, schon aus Prinzip. Dann ließ er es. Manche Sätze sind wie Unterlegscheiben: klein, langweilig, retten aber den ganzen wackligen Apparat.