spec v0.1
DE

Architektur-Pattern · Spezifikation v0.1

Software zuerst für Agents bauen. Interfaces kommen danach.

Die nächste Generation von Software wird nicht mehr primär über Buttons, Formulare und Tabellen bedient. Sie wird über sichere, beschriebene und automatisierbare Fähigkeiten gesteuert.

Manifest lesen Architektur ansehen Sicherheitsmodell →

A screen is just one interface. A capability is the product.

Die Verschiebung

Die Webapp ist nicht mehr der Kern. Sie ist ein Client.

Klassisch

  1. Webapp
  2. Mobile App
  3. Admin UI
  4. API
  5. Automation
  6. AI-Integration

MCP-first

  1. Domain Model
  2. Action Layer
  3. Permission Layer
  4. MCP Tools
  5. MCP Resources
  6. MCP Workflows
  7. Audit Layer
  8. Webapp · Mobile · Admin · API · Automation

Warum UI-first bricht

Ein Agent sollte sich nicht durch Oberflächen klicken müssen.

Für Menschen sind Seiten, Modals und Tabellen sinnvoll. Für Agents, Automationen und externe Systeme sind sie ein schlechtes Abstraktionsmodell.

Ein Agent sollte nicht wissen müssen

  • auf welcher Seite ein Button liegt
  • welches Modal geöffnet werden muss
  • welche Tabelle vorher gefiltert wird
  • welche Klick-Reihenfolge nötig ist

Ein Agent braucht

  • welche Aktionen es gibt
  • welche Inputs und Outputs sie haben
  • welche Rechte nötig sind
  • welche Aktion gefährlich oder final ist

Was MCP-first bedeutet

Jede Fähigkeit wird zu einem strukturierten Baustein.

MCP-first ist ein Architekturprinzip, bei dem Software zuerst über ihre Fähigkeiten beschrieben wird, maschinenlesbar, typisiert, berechtigungsgeprüft.

01 Resources Daten und Kontexte, die gelesen werden können. 02 Tools Aktionen, die das System ausführen kann. 03 Workflows Vorgefertigte Abläufe durch komplexe Prozesse. 04 Policies Regeln, Rechte, Schutzstufen, Freigaben. 05 Audit Events Nachvollziehbarkeit jeder Aktion. 06 Confirmation Gates Punkte, an denen die KI nachfragen muss. 07 Risk Metadata Ungefährlich, sensibel, kritisch oder irreversibel.

Wenn deine Software es kann, muss MCP es beschreiben können. Wenn MCP es ausführen kann, muss Policy es kontrollieren können.

Sicherheit zuerst

Agentenfähig heißt nicht unkontrolliert.

Jede Capability bekommt eine Risikostufe. Die KI darf nicht alles automatisch tun, aber das System muss alles, was es kann, strukturiert beschreiben können.

Low Darf meist autonom laufen.
Medium Autonom bei eindeutigem Kontext.
High Braucht oft Bestätigung.
Critical Immer Bestätigung, oft Step-up Auth.
Forbidden for AI Für KI gesperrt.
Zum Risikomodell →

Sales Assistant

emails.send_external
Critical

Follow-up zum Projekt Havelblick an Max Müller senden.

Empfänger
Max Müller · Müller GmbH
Anhang
Download-Link, 14 Tage gültig

GrundExterne Kommunikation mit projektbezogenen Informationen.

Architektur

Der Kern ist der steuerbare Capability Layer.

Business Logic liegt nicht in der Webapp und nicht im MCP-Server. Beide sind Adapter. Der eigentliche Kern ist der Capability Layer, von allen Interfaces genutzt.

Vollständiges Architekturmodell →

Authentifizierung & Autorisierung

Nicht jeder Agent darf jedes Tool sehen.

OAuth 2.1 + PKCE

Für MCP-Clients, mit kurzen Tokens und Rotation.

Delegated Context

Agents handeln im Auftrag eines Benutzers, nicht mit Systemrechten.

Agent Identity

Sales-, Payroll-, Support-Agent als eigene Identität.

Scopes & Tenants

Tools werden schon bei der Discovery nach Rechten gefiltert.

Authentifizierungsmodell →

Nach Branchen

Dasselbe Pattern, jede Domäne.

CRM & Sales Follow-ups, Exposés, Buyer-Profile als Tools. Real Estate Deals, Termine, Reminder über eine Action-Schicht. DevOps Deployments, Rollbacks, Secrets, kontrolliert. Support Kontext statt roher Datenbankzugriff.

Das Manifest

Zehn Prinzipien.

  1. 01Capabilities statt Screens
  2. 02Tools statt Buttons
  3. 03Resources statt Tabellen
  4. 04Workflows statt Navigation
  5. 05Policies statt Vertrauen
  6. 06Bestätigung statt blinder Automatik
  7. 07Audit statt Intransparenz
  8. 08Kontext statt Rohdaten
  9. 09Human UI als Client
  10. 10100 % steuerbar, nicht 100 % autonom
Vollständiges Manifest

For machines

A hard-spec manifest your agents can read.

Beyond this page there is a normative, vendor-neutral edition written for AI agents at mcp-first.ai/manifest.ai. Point an LLM at it to audit any existing MCP server against 40 conformance rules.

Open the machine manifest →
example prompt
Audit my MCP server against https://mcp-first.ai/manifest.ai. For each rule return pass / fail with a one-line reason, then an overall conformance score.

Die zentrale Frage moderner Software lautet nicht mehr „welche Screens brauchen wir?“, sondern: welche Fähigkeiten hat unser System, wer darf sie nutzen, und wie sicher sind sie?

Manifest lesen MCP-first Checkliste