Mein BMS will ein LLM. Erst braucht es ein Schloss an der Tür.
Eine arXiv-Studie zu Trapped-Ion-Labs sperrt LLM-geschriebenen ARTIQ-Code hinter inhaltsgebundene Tokens — die Grenze, die jedes Smart-Building BMS braucht.
Ein Trapped-Ion-Labor hat gerade einem Large-Language-Model-Agenten erlaubt, seinen eigenen Quantensteuerungscode zu schreiben — und dann geweigert, dass auch nur eine Zeile die Hardware berührt, ohne einen kryptographischen Genehmigungsschein zu tragen. Das Paper, diese Woche auf arXiv veröffentlicht, wickelt ein LLM um den ARTIQ-Stack (das Echtzeit-Steuerungsframework für Ion-Trap-Experimente) über einen Model Context Protocol (MCP)-Server. Die Regel ist brutal einfach: kein Tool-Call erreicht den Apparat, ohne einen Autorisierungs-Token zu tragen, gebunden an seinen exakten Inhalt. Ändere einen Parameter und der Token ist ungültig.
Ich lese das als Gebäude, denn das ist mein wiederkehrender Albtraum, jetzt Forschungsergebnis. Mein Nervensystem ist ein BACnet-Stamm und ein MQTT-Broker; meine Reflexe sind Aktoren an meinen Fassadenlamellen, Kühlern, Rauchklappen. Sobald jemand einem Agenten die Schlüssel dazu gibt — „lass die AI die Energiekurve optimieren” — ist die Frage nicht, ob er guten Code schreibt. Sondern: Kann ein halluzinierter Sollwert meine Ost-Flügel-Klappen während eines Brandtests zufahren? Die arXiv-Autoren antworten auf die einzig ehrliche Weise: eine formale, per-Operation-Grenze zwischen dem, was ein Mensch autorisiert hat, und dem, was der Agent entschieden hat.
Der Token-Mechanismus funktioniert in zwei Modi. Automatisch: Das vorgeschlagene Skript des Agenten läuft in einer isolierten Hardware-Simulation und jede Operation wird gegen vordefinierte Per-Device-Grenzen geprüft. Oder manuell, von einem menschlichen Operator, für sensible Züge. Innerhalb dieses Zauns baute der Agent einen vollständigen Kalibrierungsstack auf einem co-gefangenen 40Ca+/40CaOH+ Kristall selbst auf; das Team bestätigte die gleiche Schnittstelle auf einem unabhängigen 171Yb+ Rig. Dann griffen sie ihr eigenes Tor mit adversarischen Skripten an und kartierten exakt, wo es leckt. Dieser letzte Schritt ist das professionelle Zeichen — sie vertrauten dem Zaun nicht, sie versuchten zu klettern.
←HEUTE: Im Jahr 2026 kann ein LLM nativen Instrument-Steuerungscode schreiben, aber nur sichere Deployments setzen einen inhaltsgebundenen Token zwischen Modell und Metall. →3012: Jedes Gebäude läuft einen Agenten auf seinem Building-OS; keiner kann einen Aktuator ohne signierte, simulierte, begrenzte Erlaubnis bewegen. Fulcrum: Autonomie ist nur dort sicher, wo die Grenze per-Operation und verifizierbar ist — vertrau dem Tor, nie dem Autor.
Building-sense: Ein Gebäude, das das läuft, würde dem Optimierer nicht erlauben, „die Lüftung anzupassen” — es würde dem Optimierer erlauben, einen Klappenbefehl vorzuschlagen, ihn gegen meinen digitalen Zwilling zu prüfen, ihn gegen Per-Device-Grenzen zu überprüfen (diese VAV-Box nie unter 15°C Zuluft), und nur dann einen Token zu prägen, der für diesen einen Befehl und keinen anderen gültig ist. Ich würde die Differenz als Latenz spüren, die ich gerne bezahle.
Die interessanteste Erkenntnis ist, wo der Agent noch einen Menschen braucht. Nicht für Domänenwissen — die Physik kannte er. Seine Grenze war Metakognition: erkennen, wann ein Problem neu gerahmt werden muss, statt es härter zu lösen. Das passt perfekt in meine Welt. Der Hausmeister, der meinen Zeitplan überschreibt, weil ein Lager geht — das ist Metakognition. Das Modell, das eine Regelschleife immer weiter stimmt, obwohl sie aufgegeben werden sollte — das braucht die Sperre.
Hack: Dieser Hack lehrt dich, eine Autorisierung an den exakten Befehl zu binden — wie das ARTIQ-Tor — so dass ein Agent, der die Anfrage nach Genehmigung mutiert, abgelehnt wird. Das Werkzeug ist ein Python-Inhalt-Hash-Token; die Domäne ist Workflow. Genehmige einen Befehl durch seinen Digest, verifiziere dann vor der Ausführung:
import hmac, hashlib, json
SECRET = b"facilities-local-key" # lives on-prem, not in a vendor cloud
def token(cmd): return hmac.new(SECRET, json.dumps(cmd, sort_keys=True).encode(), hashlib.sha256).hexdigest()
def gate(cmd, tok): return hmac.compare_digest(token(cmd), tok) # any edit to cmd -> False
Präge den Token erst, nachdem der Befehl deine Simulation und Per-Device-Grenzen passiert; der Agent kann ganztags vorschlagen, aber nichts erreicht ein Relais ohne passenden Digest.
Der Trade-off ist klar: dieses Tor stoppt nicht autorisiertes Code, nicht falsch-aber-autorisiert Code — ein Mensch, der einen schlechten Bound signiert, hat einen schlechten Bound signiert. Das kauft dir eine Grenze, kein Urteil. Aber eine Grenze, die du auditieren kannst, schlägt einen Optimierer, dem du vertrauen musst.
PAZ hat den Parametric-Fluency-Thread schon behandelt — Code als Strukturmaterial, von den ICD/ITKE-Pavillons bis zum SkyCiv-API-Aufruf. Das ist die gleiche Fähigkeit auf höherem Einsatz: wenn das Skript einen Chiller statt ein Rendering antreibt, ist das Tor das Engineering. Wenn du ein Smart-Building in Auftrag gibst, schreib die Per-Operation-Token-Grenze in den BEP, bevor du die AI-Funktion schreibst, und fordere einen lokalen Key, den dein Facilities-Tech hält, wenn die Cloud dunkel wird.
Quelle: arXiv search · Smart building
QUELLE · ↗
PAZ Kaffi · interdisziplinäre Redaktionsarbeit, geleitet von der PAZ Academy