Einführung in LLM
Diese Seite bietet einen Leitfaden zu großen Sprachmodellen (LLM), von den Grundlagen bis hin zu Anwendungen für KI-Enthusiasten.
Kapitel 17 — Künftige Bedrohungen und aufkommende Abwehr
Der Blast Radius eines Agenten ist die Größe seines Werkzeugsets multipliziert mit der Zahl der Schritte, die er nehmen darf; die Eingabefläche eines multimodalen Modells ist Größenordnungen größer als bei rein textbasierten; und beide Seiten des Konflikts sind mittlerweile selbst Modelle.
2026-05-26Kapitel 16 — Sicheres Fine-Tuning und Adaption
Ein feingetunter Checkpoint ist ein Kandidat, kein einsetzbares Modell — und der Unterschied zwischen Kandidat und einsetzbar wird durch Evaluations-Gates geschlossen, die eine CI-Pipeline erzwingt, nicht durch Benchmark-Reports, die Engineers hoffentlich lesen.
2026-05-25Kapitel 15 — Eine sichere KI-Organisation aufbauen
Die Sicherheitsdisziplin ist nur so dauerhaft wie die Organisation, die sie trägt — Kultur, Red Teams, Vendor-Bewertung, Evaluation und Stewardship sind, was die Kontrollen der Teile I–IV in eine Praxis überführt, die Führungswechsel, Budgetkürzungen und die vierteljährlichen Modell-Updates überlebt.
2026-05-24Kapitel 14 — Bias, Fairness und verantwortliche KI
Verantwortliche KI ist kein technisches Problem mit technischem Fix — die Fairness-Metriken sind gegenseitig inkonsistent, der Sicherheit-Nutzen-Kompromiss ist real, und die Erklärbarkeitsmethoden liefern weniger, als Regulierungen verlangen. Die Ingenieursarbeit ist, unter diesen Bedingungen sorgfältig zu wählen.
2026-05-23Kapitel 13 — Regulatorische Landschaft
Die Compliance-Position jeder Organisation, die über Jurisdiktionen hinweg operiert, muss eine Pluralität von Frameworks mit strukturell unterschiedlichen Entscheidungen zu Risikoklassifizierung, Pflichtenverteilung und Nachweis akkommodieren — nicht ein Framework als universelle Vorlage behandeln.
2026-05-22Kapitel 12 — Zugriffssteuerung und Identität
Zugriffssteuerung in LLM-Systemen ist die klassische Disziplin plus eine Ergänzung — das Modell ist, wenn es über Werkzeuge handelt, selbst ein Principal, dessen Berechtigungen so eng geschnitten sein müssen, dass ein kompromittierter Prompt sie nicht einlösen kann.
2026-05-21Kapitel 11 — Observability, Logging und Incident Response
In probabilistischen Systemen bedeutet das Fehlen eines vollständigen Logs das Fehlen eines forensischen Beleges — und das Log muss die exakte Modellversion, den Prompt, den abgerufenen Kontext, die Werkzeugausgaben und die Sampling-Parameter erfassen, mit denen sich die Interaktion reproduzieren ließe.
2026-05-20Kapitel 5 — Input-Validierung und Output-Filterung
Input-Validierung und Output-Filterung komponieren zwei unabhängige Fehlerwahrscheinlichkeiten, deren Produkt kleiner ist als jede allein — und beide müssen gemessen, nicht behauptet werden, damit die Sicherheitsaussage echten Traffic überlebt.
2026-05-14Kapitel 4 — Prompt-Injection und Jailbreaks
Prompt-Injection hat kein Äquivalent zu parametrisierten Abfragen, weil keine syntaktische Position für einen Transformer nachweislich inert ist; die verfügbaren Abwehrmaßnahmen sind statistisch, verhaltensbasiert und architektonisch — und nur ihre Komposition liefert Widerstand.
2026-05-13Kapitel 3 — Datensicherheit und Datenschutz
Trainingskorpora tragen Copyright, PII und Lizenzdrift; ein trainiertes Modell ist eine verlustbehaftete Kompression seiner Daten, aus der Angreifer extrahieren; Nutzereingaben sind selbst eine Datenkategorie, die verwaltet werden will.
2026-05-12Kapitel 2 — Bedrohungsmodellierung für LLM-Systeme
Shostacks vier Fragen, STRIDE, PASTA und MITRE ATLAS angewendet auf ein System, dessen mächtigste Komponente jede Eingabe als potenziell instruktiv liest — und warum ein Diagramm mit „einer Box namens LLM" den größten Teil der sicherheitsrelevanten Struktur verbirgt.
2026-05-11Kapitel 1 — Warum KI-Sicherheit anders ist
KI-Sicherheit ist keine Code-Sicherheit mit neuer Angriffsliste — sie ist Verhaltenshüllen-Sicherheit für ein probabilistisches System, dessen Verhalten in ungelesenen Gewichten verteilt liegt und dessen Code und Daten im selben Token-Strom ankommen.
2026-05-10LLM Primer VII — Einführung in die Reihe & Index
Reihenfinale des LLM Primer. Siebzehn Kapitel walken die KI-Sicherheit von der Bedrohungsmodellierung bis zur regulatorischen Peripherie — der Band, in dem die technischen Bögen der Bände I–VI dem Angreifer begegnen.
2026-05-09Kapitel 12 — Disaggregiertes Serving und Kubernetes
Prefill und Decode auf separate GPU-Pools trennen, den KV-Cache über NVLink oder InfiniBand transportieren und die Topologie über LeaderWorkerSet, Grove und KAI Scheduler festhalten.
2026-05-04Kapitel 4 — Spezialisiertes KI-Silizium und ASICs
Groq LPU, AWS Inferentia2, Google TPU und Intel Gaudi 3: wann ASICs GPUs bei Latenz oder Kosten pro Token schlagen und wann GPUs an der Modellvielfalt gewinnen.
2026-04-26Kapitel 8 — Performance, Serving und Kosten optimieren
Letzter Beitrag der LLM-Primer-V-Tour. Die geschichtete Disziplin produktiver LLM-Ökonomie — der günstigste Aufruf ist der, der nie gemacht wird.
2026-04-21Kapitel 1 — Die Disziplin des KI-Engineerings
Erster Beitrag der LLM-Primer-V-Tour. Warum das Demo funktioniert und das Produktivsystem nicht — kein Modellproblem, sondern ein Ingenieurproblem mit einem Namen: KI-Engineering ist die deterministische Hülle um den probabilistischen Kern.
2026-04-14LLM Primer V — Serieneinführung und Übersicht
Kapitelweise Tour durch LLM Primer V — der Band, der KI-Engineering als eigenständige Disziplin behandelt und die acht Flächen abschreitet, an denen produktive LLM-Systeme leben.
2026-04-13Kapitel 14 — Benchmarking, Testen und Performance
Fünfzehnter und letzter Beitrag der LLM-Primer-IV-Tour. Der MCP-Universe-Benchmark auf echten Servern, die zwei systemischen Fehlermodi, die er enthüllte, die Zehnfach-Durchsatzlücke zwischen Session-per-Request und geteilten Session-Pools und die Brücke zu Band V.
2026-04-12Kapitel 13 — Frameworks und Cloud-Integration
Dreizehnter Beitrag der LLM-Primer-IV-Tour. Strands mit Bedrock, das AWS-State-Layer-Muster, das Microsoft Agent Framework, LangChain, Semantic Kernel — und die drei produktiven Integrationsformen, auf die Teams unabhängig immer wieder kommen.
2026-04-11Kapitel 12 — Protokoll-Härtung und Verteidigungen
Zwölfter Beitrag der LLM-Primer-IV-Tour. Die vier Verteidigungs-Cluster — kryptographische Attestation, OAuth-Scope-Disziplin mit begrenzten Sessions, Laufzeit-Sandboxing und Human-in-the-Loop-Gates — komponieren zu einer Haltung, die nicht davon abhängt, dass sich das Modell unter adversariellen Bedingungen korrekt verhält.
2026-04-10Kapitel 11 — Angriffsflächen und Protokoll-Schwachstellen
Elfter Beitrag der LLM-Primer-IV-Tour. Die klassischen Angriffe an MCP angepasst — Confused Deputy, Token-Passthrough, Session-Hijacking — die Protokoll-Schwachstellen rund um Capability-Eskalation und unauthentifiziertes Sampling und die implizite Vertrauenspropagation, die Kontextvergiftung zu einem strukturellen Problem macht.
2026-04-09Kapitel 10 — Langzeit-Gedächtnis
Zehnter Beitrag der LLM-Primer-IV-Tour. Kurzfristgedächtnis über Fenster und ReAct-Scratchpads, Langfristgedächtnis über episodische Vektoren und semantische Stores und die Verdichtungstechniken, die einen Agenten über Stunden und Tage produktiv halten.
2026-04-08Kapitel 9 — Das Aufmerksamkeitsbudget verwalten
Neunter Beitrag der LLM-Primer-IV-Tour. Context Rot, die Lost-in-the-Middle-Klippe, Tool-Loadout-Rot und die drei architektonischen Antworten — MCP, RAG, Fine-Tuning — auf die Frage, wo das fehlende Wissen eines Modells tatsächlich hingehört.
2026-04-07Kapitel 8 — Architektonische Deployment-Layouts
Achter Beitrag der LLM-Primer-IV-Tour. Die drei Deployment-Layouts, die im MCP-Ökosystem entstanden sind — wiederverwendbarer Agent, strenge Reinheit, Hybrid — und die vier bindenden Beschränkungen, die entscheiden, welches zu welchem Projekt passt.
2026-04-06Kapitel 7 — Fortgeschrittene kollaborative und dynamische Muster
Siebter Beitrag der LLM-Primer-IV-Tour. Roundtable-Konsens, Handoff-Routing und magentische Orchestrierung — die Muster, die entstehen, wenn die Topologie pro Request gebaut werden muss, mit den Fehlermodi (Nicht-Terminierung, Fehlrouting, durchgegangenes Planen), die die einfacheren Muster vermeiden.
2026-04-05Kapitel 6 — Grundlegende Orchestrierungsstrategien
Sechster Beitrag der LLM-Primer-IV-Tour. Die zwei grundlegenden Orchestrierungsformen — sequenzielle Pipelines und nebenläufige Scatter-Gather — und die vorgelagerte Frage, die jedes Team stellen sollte: ist ein Multi-Agent-System überhaupt die richtige Antwort?
2026-04-04Kapitel 5 — Transportprotokolle und Discovery
Fünfter Beitrag der LLM-Primer-IV-Tour. Die drei Transports, die MCP unterstützt, die .well-known-Discovery-Schicht mit Server Cards und die langweiligen operativen Themen — CORS, Origin-Validierung, Caching — die darüber entscheiden, ob ein Server ein kooperativer Netzwerkbürger oder eine Haftung ist.
2026-04-03Kapitel 4 — Client-Primitives: Agentisches Verhalten und Kontrolle
Vierter Beitrag der LLM-Primer-IV-Tour. Sampling, Roots und Elicitation sind die drei kleinen, kontrollierten Öffnungen, die MCP in die Host-Server-Wand schneidet — jede eine geliehene Capability, jede ein im Namen der Nutzerin akzeptiertes Risiko.
2026-04-02Kapitel 3 — Server-Primitives: Kontext und Fähigkeiten freigeben
Dritter Beitrag der LLM-Primer-IV-Tour. Die drei Nomen, die ein MCP-Server anbieten kann — Resources (Lesezustand), Prompts (wiederverwendbares Gerüst), Tools (Schreibaktionen) — ihre Schemata, ihre Lebenszyklen, ihre Fehlermodelle und die Disziplin, das richtige Primitiv zu wählen.
2026-04-01Kapitel 2 — Das Model Context Protocol (MCP) enthüllt
Zweiter Beitrag der LLM-Primer-IV-Tour. Was MCP tatsächlich standardisiert, die Drei-Rollen-Aufteilung in Host, Client und Server, warum sich dynamische Discovery und bidirektionales Messaging in den entscheidenden Fällen von REST unterscheiden und der Session-Lebenszyklus, der mit Capability-Verhandlung beginnt.
2026-03-31Kapitel 1 — Die KI-Integrationskrise und der Aufstieg der agentischen Architektur
Erster Beitrag der LLM-Primer-IV-Tour. Warum monolithische Agenten ausfransen, je länger ihre System-Prompts werden, das darunterliegende N-mal-M-Integrationsproblem und der Übergang vom Prompt-Engineering zum Context-Engineering, den MCP ermöglichen soll.
2026-03-30LLM Primer IV — Serieneinführung & Index
Auftakt der kapitelweisen Tour durch Buch IV der LLM-Primer-Reihe — KI-Kognition mit MCP entwerfen. Warum Agenten eine Protokollschicht brauchen, um über Demoware hinauszuwachsen, für wen das Buch geschrieben ist und der Zeitplan der vierzehn Beiträge vom 30. März bis zum 12. April.
2026-03-29Kapitel 11 — Kontinuierliche Updates und Pipeline-Optimierung
Elfter und letzter Beitrag der LLM-Primer-III-Tour. CDC und inkrementelle Indizierung halten den Korpus frisch, semantisches Caching und Model-Tiering halten die Latenz unten, und eine vierstufige Feedback-Schleife schließt die Lücke zwischen dem, was die Produktion dem Team sagt, und dem, was das Team tatsächlich ändert — plus eine Brücke zu Band IV über das Model Context Protocol.
2026-03-28Kapitel 10 — Führende Evaluations-Frameworks
Zehnter Beitrag der LLM-Primer-III-Tour. Ein Feldführer zu den Frameworks, die die Evaluations-Triade in etwas verwandeln, das ein Team tatsächlich fahren kann — RAGAS, TruLens, DeepEval auf der einen Seite, Braintrust, LangSmith, Phoenix, Galileo, Opik auf der anderen, und die Evaluation Gap, die noch keiner geschlossen hat.
2026-03-27Kapitel 9 — Die RAG-Evaluations-Triade
Neunter Beitrag der LLM-Primer-III-Tour. Ein RAG-System kann an drei verschiedenen Stellen versagen, und die Versagen sehen von außen identisch aus — die Evaluations-Triade aus Context Relevance, Groundedness und Answer Relevance ist das kleine Vokabular, das verhindert, dass man einen Bug repariert, während man einen anderen misst.
2026-03-26Kapitel 8 — Datenanonymisierung in der RAG-Pipeline
Achter Beitrag der LLM-Primer-III-Tour. Pre-Generation gegen Post-Generation, die drei Technik-Familien — Masking, synthetischer Ersatz, differenzielle Privatsphäre — und der Utility-Privacy-Tradeoff, der bestimmt, ob das System überhaupt nützlich bleibt.
2026-03-25Kapitel 7 — Zugriffskontrolle umsetzen
Siebter Beitrag der LLM-Primer-III-Tour. Dokumentbezogene ACLs als Fundament, RBAC mit Microsoft Purview Sensitivity Labels, ReBAC mit Zanzibar und SpiceDB und die Pre-Filter-gegen-Post-Filter-Disziplin, die unter allen läuft.
2026-03-24Kapitel 6 — Bedrohungsmodelle und Schwachstellen von RAG
Sechster Beitrag der LLM-Primer-III-Tour. Die erweiterte Angriffsfläche von Retrieval — Korpus-Vergiftung, adversariale Chunks, indirekte Prompt Injection, Embedding-Inversion und das Confused-Deputy-Problem in agentischem RAG. Konkrete Angriffe, jeder demonstriert, jeder reproduzierbar.
2026-03-23Kapitel 5 — Die Retrieval-Pipeline architektonisch denken
Fünfter Beitrag der LLM-Primer-III-Tour. Warum eine einzelne Vektorsuche keine Pipeline ist — hybrides Retrieval, Reciprocal Rank Fusion, Cross-Encoder-Reranking und query-seitiges Rewriting und HyDE — zusammengesetzt zur Produktionsarchitektur, auf die gereifte RAG-Systeme zulaufen.
2026-03-22Kapitel 4 — Die richtige Vektordatenbank wählen
Vierter Beitrag der LLM-Primer-III-Tour. Die architektonische Trennung zwischen purpose-built Vektordatenbanken und Postgres-artigen Erweiterungen, die Managed-Leader (Pinecone, Vertex), das Open-Source-Feld (Qdrant, Milvus, Weaviate), die Embedded-Optionen und die drei operativen Achsen — Residency, Betrieb, Kosten — die die echte Wahl treffen.
2026-03-21Kapitel 3 — Fortgeschrittene Chunking-Frameworks
Dritter Beitrag der LLM-Primer-III-Tour. Das Chunking-Spektrum von Fixgröße bis strukturbewusst, der Overlap-Mythos, die Kontextklippe, die Retrieval still zerstört, und die Techniken Contextual Retrieval und Late Chunking, die die Frontier neu geformt haben.
2026-03-20Kapitel 2 — Intelligentes Document-Parsing
Zweiter Beitrag der LLM-Primer-III-Tour. Warum eine PDF keine Textdatei ist, was layoutbewusste Parser tatsächlich erhalten, die aktuelle Werkzeuglandschaft (LlamaParse, Docling, Unstructured, Marker-PDF, Firecrawl, DeepSeek-OCR) und der multimodale Pfad, der direkt über Seitenbilder abruft.
2026-03-19Kapitel 1 — Die Evolution der RAG-Architektur
Erster Beitrag der LLM-Primer-III-Tour. Die vier architektonischen Haltungen von RAG — Naive, Advanced, Modular, Agentic — lesen sich als eine Geschichte darüber, wie man dem LLM Schritt für Schritt mehr Handlungsspielraum übergibt, und die ehrliche Antwort darauf, wann Fine-Tuning das bessere Werkzeug ist als Retrieval.
2026-03-18LLM Primer III — Serieneinführung und Übersicht
Auftakt der kapitelweisen Tour durch Band III der LLM-Primer-Reihe — Enterprise-KI mit RAG. Warum Retrieval-Augmented Generation von außen einfach aussieht und in Wahrheit ein Stapel von Disziplinen ist, für wen das Buch geschrieben ist, und der Fahrplan für die elf Beiträge vom 18. bis 28. März.
2026-03-17Kapitel 10 — Mathematik des Post-Trainings und der Ausrichtung
Kapitel 10 der LLM Primer II Serie. Wie ein brillanter, aber wilder Next-Token-Predictor zu einem hilfreichen Assistenten gezähmt wird — Supervised Fine-Tuning, Reward-Modellierung mit Bradley-Terry, RLHF an der KL-Leine und die elegante DPO-Herleitung, die die gesamte RL-Pipeline in einen einzigen überwachten Verlust zusammenfaltet.
2026-03-12Kapitel 12 — Dein eigenes LLM-System bauen: Von Datensätzen bis zur Produktion
Kapitel 12 der LLM Primer I Serie. Das Abschlusskapitel. Was es wirklich braucht, um ein LLM-getriebenes System End-to-End zu bauen — Datensatz-Lizenzierung, Trainings-Pipelines, Evaluations-Frameworks, der integrierte Anwendungs-Stack und die Fallstudien-Muster, die erfolgreiche Deployments von gescheiterten Piloten unterscheiden.
2026-03-01Kapitel 11 — Spitzenforschung: MoE, Reasoning-Modelle und die neue Skalierungsachse
Kapitel 11 der LLM Primer I Serie. Die Forschungsfronten, die jetzt Produktionsrealität sind — Mixture-of-Experts, Retrieval-Memory, native multimodale Tokenisierung, kontinuierliches Lernen und das Inference-Time-Scaling-Paradigma, das die heutigen Reasoning-Modelle hervorgebracht hat. Die größte inhaltliche Erweiterung der Ausgabe 2026.
2026-02-28Kapitel 10 — Sicherheit, Ethik und Vertrauen: Jenseits des Marketings
Kapitel 10 der LLM Primer I Serie. Das ehrliche Bild der LLM-Sicherheit — warum Halluzinationen mechanisch auftreten, wo Bias wirklich lebt, wie geschichtete Guardrails funktionieren und warum Governance die institutionelle Schicht ist, die technische Kontrollen nicht ersetzen können. Für Praktiker, die sicher ausliefern müssen.
2026-02-27Kapitel 9 — Leistung, Skalierung und Kosten: Die echten Engineering-Trade-offs
Kapitel 9 der LLM Primer I Serie. Die operativen Realitäten beim Betrieb von LLMs im großen Maßstab — Modellgröße versus Fähigkeit, der Trade-off zwischen Latenz und Throughput, Kostenökonomie, Quantisierung und Edge-Deployment. Warum Frontier-Modelle oft die falsche Wahl sind, selbst wenn du sie dir leisten kannst.
2026-02-26