Skip to main content

Tool Calling, API, und Enterprise Integration

Diagramm: Tool Calling, API, und Enterprise Integration

Stell der vor, dini Finance-Abteilig fingt grad a, AI z'bruuche für de monatlech Büecher-Abschluss. De Copilot, wo jetzt scho da isch, cha scho ganz guet erkläre, warum e Rechnig zruggghalte wird. Aber wenn s Team fragt: "Cha die AI das nid grad sälber korrigiere?", gits no kei Antwort. D'Rechnigsdate sind verteilt im ERP, i Spreadsheets vo Lieferante und i Bestätigungs-Mail. D'PO mues gprüeft werde, de Wareiigang mues vergliche werde, und wenns Problem git, mues e Fall im Workflow-System ufgmacht werde. All die Schritt sind immer no manuell.

D'Frag, wo denn ufchunnt, isch nid, wie guet s Sprachmodell isch, sondern: Wie cha d'AI würkli hälfe, die Prozess durezfüehre, und nid nume erkläre?

Das isch s Problem, wo hüt vili Firme händ. Si händ scho spannendi AI-Pilotprojekt, aber de Gschäftswert isch no nid spürbar, wil d'AI bim Empfähle stoppt. De Agent cha no nid a di eigentliche Systeme ahlange. Aber ohni d'Fähigkeit, Date us em ERP z'hole, de Status im CRM z'prüefe oder es Ticket im ITSM z'aktualisiere, isch d'AI nüt anders als e Antwortmaschine, wo nie öppis usfüehrt.

Vom Erkläre zum Handle

De Underschied zwüschem normale Copilot und eme Agent, wo würkli für de Gschäftsbetrieb nützlich isch, lit in eim Punkt: de Fähigkeit z'handle. E Copilot cha erkläre, warum e Rechnig zruggghalte wird. Aber en Agent, wo de Finance-Abschluss-Prozess unterstützt, mues d'Rechnigsdate us em ERP zieh, de PO-Status prüefe, mit em Wareiigang vergliche, e Fall im Workflow-System ufmache, e Klarigsforderig a de Lieferant oder de Chäufer schicke und denn de Fallstatus aktualisiere, wenn d'Bedingige erfüllt sind.

Die Fähigkeit heisst Tool Calling. S Modell produziert nid nume Text, sondern wählt us und rüeft externi Fähigkeiten a, zum d'Arbet erledige. Es Tool cha e API zum ERP oder CRM si, e Datebank-Abfrog, e Funktion zum Ticket-Erstelle, e Mail-Connector, e Workflow-Aktion im BPM oder en interne Service wie en Policy Checker oder e Pricing Engine.

Ohni Tool Calling wird de Agent nume zumne gschwätzigä Analyst. Mit Tool Calling wird de Agent zumne Executor, wo d'Arbet cha erledige.

Nid alli Tool sind gliich riskant

Da mache vili Organisatione de Fehler. Si behandlet alli Tool, als wäred si gliich, debii gits operativ en grosse Underschied zwüschem Tool, wo nume Date list, und eme Tool, wo de Gschäftszuestand veränderet.

Read-only-Tool, wie zum Bischbil de Status vo ere Rechnig prüefe, d'Kundehistorie hole, d'Procurement-Policy läse oder en Knowledge-Article sueche, händ es relativ tüfers Risiko. Au wenn mer Zugriffssteuerig und Logging bruucht, isch de Schade vo eme Fehler uf falschi Informatione beschränkt, nid uf Dateänderige, wo schädlech sind.

Umkehrt händ Action-Tool, wie zum Bischbil en neue Lieferant aaglege, d'Adräss vomne Kunde ändere, e PO usstelle, es Ticket schliesse, e Rückzahlig uslöse oder e Konfigurationsänderig durefüehre, es vil höchers Risiko. Die Handlige händ en direkte Iifluss uf de Betrieb, d'Kontrolle und d'Verantwortlechkeit vo de Firma.

Die Trennig isch kei technischs Detail. Das isch d'Basis vo de Governance. Vili Firme gänd em Agent z'früe en Action-Zuegriff, debii bruucht de Use Case nume Read-only. D'Folge: s Risiko stigt schneller als de Wert, wo generiert wird.

Je nöcher a de Handlig, desto strenger d'Kontrolle

Sobald en Agent i System schriibe cha, mues d'Firma jede Tool-Call wie e formelli operativi Handlig behandle. Mindeschtens mues klar si, weli Agent de Call macht, in wäm sim Name, weli Date bruucht werde, weles Tool grüeft wird, weli Parameter gschickt werde, weles Resultat acho isch, und obs e Approval oder en Policy-Check vor de Uusfüehrig git.

Im Finance-Abschluss zum Bischbil isch en Agent, wo nume en Journal-Entwurf vorbereitet, fundamental anders als en Agent, wo de Journal würkli im ERP buecht. De erscht bruucht vilicht nume en Human-in-the-Loop. De zweit bruucht fascht sicher vil strengeri Kontrolle, vilicht isch er i de Aafangsphase gar nid empfähle.

Im Procurement isch en Agent, wo Verträg list und en Chauf-Wäg vorschlaat, eis Ding. En Agent, wo en neue Lieferant aktiviert oder e PO usstellt, isch öppis ganz anders.

S Prinzip isch eifach: Je grösser de Gschäftsiifluss vomne Tool-Call, desto höcher isch de Bedarf a Validierig, Policy Enforcement und Auditability.

API als sichere Wäg

Wenn Tool Calling de Mechanismus für Handlige isch, denn isch d'API de gsündist Wäg, zum de Agent a d'Enterprise-Systeme aazschliesse. D'API git e strukturierti, dokumentierti und kontrollierbari Schnittstell. De Agent mues nid "uf em Bildschirm spiele" wie en Mensch. Er rüeft eifach en Endpoint a, wo genau defür da isch, zum Date z'läse oder z'schriibe, nach de Regle vom System.

Vili Organisatione lönd sich verleite, zum en Aasatz wie RPA oder Browser Automation z'bruuche: de Agent söll d'UI bediene wie en Mitarbeiter. Die Aasatz isch ab und zue als provisorische Brugg nützlich, vor allem wenn s alte System no kei gueti API het. Aber als Hauptmuster isch er schwach.

D'UI isch kei stabile Integrationsvertrag. D'Bildschirmasicht ändered sich, Fälder wandered, Label wächsled, und de Klick-Ablauf cha sich vo Version zu Version ändere. En Agent, wo vo de UI abhängig isch, wird brüchig. D'Kontrolle isch au schwiriger durezsetze, wil uf de UI-Ebeni schwirig isch, de Agent uf bestimmti Handlige z'beschränke, ohni ihm z'witen Zuegriff z'gäh. De Audit Trail isch schlächter, wil API-Calls meischtens explizit protokolliert werde, während d'Spure vo de UI Automation verschwumme sind. D'Schema-Validierig isch au schwächer, wil d'API en formelli validierte Input-Output erlaubt.

Drum: Wenn e Firma ernsthaft es agentic operating model ufbaue will, mues d'API de Hauptwäg si. UI Automation wird nume beschränkt igsetzt, mit klare kompensierende Kontrolle, solang d'Modernisierig vo de Integratione no nid abgschlosse isch.

Jede Endpoint als Kontrollpunkt

Nid alli APIs, wo für normali Applikatione sicher sind, sind automatisch au für Agent sicher. Agent schaffed mit eme andere Muster: schneller, hüfiger und ab und zue autonomer. Drum mues jede Endpoint, wo en Agent cha aarüefe, als Kontrollpunkt behandlet werde.

Es git mindeschtens vier grundlegendi Diszipline. Erschtens, Permission: De Agent mues nume die minimale Zuegriffsrächt ha, won er bruucht. Benutz kei generische Service Account mit witumfassendem Zuegriff, nume zum en Pilot schneller mache. Zweitens, Rate Limit: En Agent cha e grossi Aazahl vo Ufrüef generiere, vor allem wenns en Loop oder es schlechts Retry git. Drittens, Schema Validation: De Input vom Agent mues streng validiert werde. Wenn es Tool en customer_id, en refund_reason und en amount erwartet, denn mues de Payload em Schema entspreche, nid freiem Text, wo mehndütig isch. Viertens, Audit Logging: Jede Ufruef mues protokolliert werde, nid nume für d'Sicherheit, sondern au für de Betrieb, d'Untersuechig vo Vorfäll und für d'kontinuierlichi Verbesserig.

I de Enterprise-Praxis werde Komponente wie API Gateway und Policy Engine zimli wichtig. Es API Gateway hilft bi de Authentifizierig, em Throttling, de Observability und em Routing. D'Policy Engine stellt sicher, dass au wenn de Agent öppis "wott" mache, die Handlig immer no d'Gschäftsregle und d'Risikokontrolle mues bestah.

Stell der vor, en Customer-Service-Agent wott e Rückzahlig bearbeite. E gsunds Design isch nid, em Agent direkte Zuegriff uf di volli Rückzahl-Funktion z'gäh. Es sicherers Design isch: De Agent rüeft en Endpoint für d'Eligibility-Check a, d'Policy Engine prüeft de Threshold und d'Kundehistorie, wenn d'Bedingige für en beschränkte Autonomie (bounded autonomy) erfüllt sind, cha e chlini Rückzahlig verarbeitet werde, wenn en bestimmte Wert überschritte wird, fordert s System automatisch d'Zuestimmig vomne Supervisor a, und alli Schritt werde protokolliert. Mit dem Muster wird d'API nid nume zumne technische Connector. Si wird zumne sichere Wäg, wo d'Operationsdisziplin erzwingt.

Capability-Katalog, nid e Connector-Liste

Sobald d'Aazahl vo Tool stigt, bruucht d'Firma meh als nume Integrationsdokumentation. Si bruucht es Tool Registry: en zentralne Katalog, wo zeigt, welli Tool verfüegbar sind, welli Gschäftsfunktion si händ, wer se dörf bruuche, s Input-Output-Schema, s Zilsystem, s Risikoniveau, de Zuegriffsmodus (Read oder Write), Abhängigkeite und die geltende Guardrails.

Ohni Registry wird de Orchestrator-Agent tendenziell uf Integratione aagwise, wo einzele hardcoded sind. Das isch für ein oder zwei Use Cases vilicht no akzeptabel. Aber wenn d'Firma afoht, vili Agent über verschiedeni Funktionen z'ha, wird die Aasatz schnell unkontrollierbar.

Es Tool Registry bringt drei grossi Vorteil. Erschtens, es trennt d'Capability vo de Implementierig. De Orchestrator mues nid die technische Details vo jeder Integration kenne. Er mues nume wüsse, dass es es Tool mit em Name "PO-Status prüefe" oder "Incident-Ticket erstelle" git, komplett mit sim Input-Output-Vertrag. Zweitens, es wird d'Basis für d'Uswahl vom richtige Tool. I reale Workflow chönd mehreri Tool ähnlich usgseh, aber en andere Umfang ha. Es Registry hilft, d'Capability uszwähle, wo zum Kontext, de Berechtigunge und em Risiko passt. Drittens, es wird zum Kontrollpunkt bi Vorfäll. Wenn es Problem mit eme bestimmte Tool git, mues d'Firma das Tool schnell deaktiviere oder iischränke chönne, ohni die ganzi Agent-Plattform lahmzlege.

Für d'Enterprise isch es Registry, wo nützlich isch, meischtens mit Name und Beschrieb vom Tool, em Business Owner und Technical Owner, em Zilsystem, de Risikokategorie, em Input-Output-Schema, em Permission-Modell, de Approval-Aaforderige, em Rate Limit und SLA, de Tool-Version, em operative Status und de Audit- und Observability-Hooks.

Es git e organisatorischi Implikation, wo oft überse wird. Sobald es Tool Registry existiert, cha d'Firma ihri digitale Fähigkeiten expliziter gseh. De Process Owner verstoht, welli Handlige für de Agent würkli verfüegbar sind. De Risk Owner setzt d'Autonomie-Grenze pro Tool. S Platform Team verwaltet de Lifecycle. S Operationsteam trainiet d'Mitarbeiter, zum mit em Agent z'schaffe. Es Registry hilft, d'Architektur in es Operating Model z'übersetze. Es macht d'Diskussion über Agent nüm abstrakt, sondern konkret: weles Tool dörf vo wäm und under welne Bedingige bruucht werde.

Die hüfigste Fehler

Vili Agentic-Programm schitere nid, wil s Modell schwach isch, sondern wil s Integrationsmuster vo Aafang a falsch isch. Es git es paar sehr hüfigi Anti-Pattern.

Em Agent Zuegriff uf d'UI wie en Mensch z'gäh, isch vilicht s hüfigste. Wil me schnelli Resultat wott, git me em Agent Zuegriff uf d'Applikation über de Browser oder d'Desktop Automation. Churzfristig gseht d'Demo guet us. I de Produktion chömed d'Problem: de Ablauf wird brüchig, d'Zuegriffsrächt sind z'wit, UI-Änderige brechet d'Automation, d'Prüefig isch schwirig, und s Debugging isch tüür.

Nid zwüschem Read-only- und Action-Tool z'unterscheide, isch au es Problem. Wenn alli Tool gliich behandlet werde, wird d'Governance es Chaos. Read-only-Tool chönd schneller mit emne beschränkte Autonomie (bounded autonomy) verse werde. Action-Tool müend über e Risikoklassifizierig, e Approval-Logik und en strengeri Observability laufe.

Integratione in jedem Agent hardcoded z'ha, isch au hüfig. Jedes Team baut sine eigene Connector zum ERP, CRM oder Ticketing-System. D'Folge sind Duplikatione, inkonsistenti Schema, uneinheitlichi Zuegriffssteuerig und höchi Wartigschoste. Das isch de schnäll Wäg zumne Agent Sprawl.

D'Policy Enforcement zur Laufzit z'ignoriere, isch au verbreitet. Vili Organisatione entwerfed Policy i Dokument, aber pflanzed si nid i de Uusfüehrigsweg ii. D'Folge: De Agent cha technisch gseh Handlige usfüehre, wo us Policy-Sicht eigentli verbote sind.

Kei Fallback vorbereite, wenn es Tool versagt, isch au gföhrlich. Tool-Calls werde versage. APIs chönd timeout. Schema chönd sich ändere. S Zilsystem cha abgstürzt si. Wenn de Agent kei klare Fallback het, cha er mitten im Prozess stahblibe oder immer wider probiere, ohni Kontrolle.

Es eifachs Prinzip

Wenn mer das ganze Thema uf es Prinzip reduziere mues, denn isch es das: En Agent dörf nume über e Schnittstell handle, wo auditierbar isch. Nid über en wilde Zuegriff uf d'UI, nid über en z'witene Service Account, nid über es Tool ohni klares Schema, nid über e Integration, wo nid protokolliert isch.

En auditierbari Schnittstell bedütet: es git e Identität, es git Berechtigunge, es git en Input-Output-Vertrag, es git Policy Enforcement, es git Logging, es git Observability, und es git en Mechanismus zum d'Sach abzstelle, wenn en Vorfall passiert.

Das Prinzip isch wichtig, wil s bi de Agentic AI am Änd nid drum gaht, wie gschiid d'AI isch, sondern drum, dass mer ihre cha vertraue, dass si mitmacht bim Führe vo de Firma.

Für de CIO bedütet das, dass d'Integrations- und API-Modernisierigs-Agenda vil strategischer wird als vorher. Für de COO bedütet das, dass me d'Prozess neu mues denke und überlegge, welli Action-Pünkt für de Agent ufgmacht werde sölled. Für de CHRO und de Transformation Leader bedütet das, dass d'Rolleveränderig vo de Mensche starch devo abhängt, welli Tool verfüegbar sind, wie sicher de Agent handelt, und wo de Mensch de Kontrollpunkt blibt.

D'Frag zum mitneh: Isch d'API- und Integration-Layer vo dinere Firma parat, zum en digitale Uusfüehrigsweg z'werde, oder isch si immer no nume für traditionelli Applikatione usgleit? Welli operative Handlige sind würkli würdig, für de Agent ufgmacht z'werde, und welli sötted under de Kontrolle vom Mensch blibe? Wenn de Agent afoht, mit Tool und API die routinemässige Handlige z'überneh, wo wird denn d'Rolle vo de Frontline und de Supervisor verschobe? Baue mer en Agent, wo mer uf Enterprise-Ebeni chönne skaliere, oder nume e Demo, wo funktioniert, wil d'Kontrolle immer no manuell isch?