Agent Awareness Gates

Orientierung und Schutz Agent Awareness Gates AAG ist Novas übergeordnetes Gate-System für Agentenbewusstsein: Es warnt oder stoppt Agenten, wenn wichtige Voraussetzungen, Seitenwahrnehmung, Nutzerfreigaben oder Sicherheitsbedingungen fehlen. Überblick Gates Wann es wichtig ist Ablauf Warn-/Blockregeln Agenten-Werkzeuge

AAG steht für Agent Awareness Gates. Diese Gates machen Agenten auf fehlende Voraussetzungen, unsicheren Seitenzustand und Sicherheitsgrenzen aufmerksam, bevor sie weiterarbeiten.

AAG ist Novas übergeordnete Schicht für Agentenorientierung und Stopbedingungen. Sie prüft den Schritt zwischen der Absicht eines Agenten und einem Werkzeugaufruf, der einen Browser, eine Aufgabe, eine Datei, eine Ressource oder eine konto- oder sicherheitsrelevante Oberfläche betreffen würde.

Ein Gate kann warnen, blockieren oder strukturierte Hinweise zur Behebung zurückgeben. Es verhindert, dass ein Agent so handelt, als wüsste er etwas, das noch gar nicht geprüft wurde.

AAG macht Sicherheitsgrenzen konkret: passende Werkzeuge laden, Seite wahrnehmen, Nutzerkontrolle respektieren und stoppen, wenn die Umgebung nicht sicher ist. Lernen kann die Signale nutzen, und TOB kann blockierte Vorprüfungen als Evidenz festhalten.

Kurz gesagt

AAG ist Novas übergeordnete Awareness- und Sicherheits-Gate-Schicht für Agenten-Werkzeuge.
AAG kann warnen oder blockieren, wenn Setup, Seitenwahrnehmung, Nutzerkontrolle oder Ressourcensicherheit fehlen.
Die Gates geben Agenten strukturierte Hinweise zur Behebung, statt sie raten zu lassen.
AAG ist relevant für Lernen, TOB, ETM, Automatisierung, Screenshots und Browser-Interaktion.
Ein Block ist kein Arbeitsfehler: Nova führt den Aufruf erst aus, wenn die fehlende Bedingung erfüllt ist.

Was AAG prüft

AAG bündelt mehrere Arten von Gates. Sie fragen alle, ob der Agent genug geprüften Kontext hat, um weiterzumachen.

Setup-Bereitschaft Vor aktiver Browser-Arbeit sollte ein Agent den Werkzeugvertrag kennen und das passende Fähigkeits-Bundle laden, meistens über nova.get_instructions und nova.tools_bundle.
Seitenwahrnehmung Nach Navigation oder Zielwechsel kann AAG eine frische nova.perceive verlangen, bevor der Agent klickt, tippt, absendet oder veralteten Annahmen vertraut.
Nutzerkontrolle Wenn ein Nutzer einen Lauf stoppt oder eine sichtbare Freigabe nötig ist, verhindert AAG, dass der Agent so weitermacht, als gäbe es noch Erlaubnis.
Ressourcensicherheit Manche Gates schützen die Ausführungsumgebung, etwa bei knappem Speicherplatz oder Screenshots, die zu groß oder zu teuer für eine Inline-Antwort wären.
Aufgaben- und Tab-Bewusstsein AAG kann Agenten daran erinnern, im vorgesehenen Tab, Aufgabenlauf oder Arbeitsbereich zu bleiben, statt in unverbundenen Browserzustand abzudriften.

Wann brauche ich AAG?

AAG greift, sobald Nova Agenten echte Werkzeuge gibt. Besonders relevant ist es bei Login-nahen Seiten, Formulareingaben, mehrstufigen Automationen, Screenshots, geplanten Aufgaben, langen Aufgabenläufen und jedem Ablauf, in dem eine veraltete Annahme dazu führen könnte, dass ein Agent zu früh klickt, tippt, hochlädt oder abschließt.

Wichtige Begriffe

Diese Begriffe trennen Hinweis, Block und Behebung.

Gate: Eine Prüfung, ob ein Agent mit der angefragten Handlung fortfahren darf.
Warnung: Ein Signal, bei dem das Ergebnis noch zurückkommen kann, der Agent aber vor der Fortsetzung seine Orientierung korrigieren sollte.
Block: Eine Stop-Bedingung, bei der der angefragte Werkzeugaufruf nicht ausgeführt wird, bis die fehlende Voraussetzung behoben ist.
Clear Condition: Die Handlung, die ein Gate erfüllt, etwa Bundle laden, Seite wahrnehmen, Speicher freigeben oder Nutzerfreigabe abwarten.
Retry: Ein bewusster erneuter Versuch des ursprünglichen Aufrufs nach Behebung. Das ist keine Erlaubnis zum blinden Weiterprobieren.
Preflight: Eine Prüfung, die vor einer Werkzeughandlung stattfindet, bevor Seite oder Umgebung verändert werden.

So funktioniert es

AAG prüft vor einem Werkzeugaufruf, ob der nächste Schritt sicher genug vorbereitet ist.

Der Agent will handeln Ein Agent bittet Nova, ein Werkzeug zu nutzen, etwa eine Seite zu lesen, ein Element anzuklicken, einen Screenshot zu erstellen oder eine Aufgabe fortzusetzen.
Nova prüft den Kontext AAG prüft, ob die relevante Voraussetzung erfüllt ist: Bundle geladen, Seite wahrgenommen, Nutzerkontrolle intakt, Ressource sicher und Kontext eindeutig.
Das Gate antwortet Wenn die Bedingung erfüllt ist, läuft das Werkzeug weiter. Wenn nicht, gibt AAG eine Warnung oder einen strukturierten Block mit Gate-Kennung und nächstem Behebungsschritt zurück.
Der Agent behebt das Problem Der Agent kann nova.tools_bundle laden, nova.perceive aufrufen, Nutzerfreigabe abwarten, Screenshot-Größe reduzieren oder melden, dass der Lauf nicht sicher fortgesetzt werden kann.
Der Agent setzt die Arbeit gezielt fort Erst nach Behebung sollte der Agent den ursprünglichen Schritt erneut versuchen oder eine sichere Alternative wählen.

Grenzen und Sicherheit

AAG ersetzt keine Nutzerfreigabe, Kontoregeln, den Umgang mit Zugangsdaten oder Richtlinien für destruktive Handlungen. Ein Gate macht eine blockierte Handlung auch nicht von selbst sicher. Es zeigt dem Agenten, was fehlt; aktuelle Seite, Aufgabe, Nutzerabsicht und Sicherheitseinstellungen entscheiden weiterhin, was als Nächstes passieren darf.

Beispiel

Ein Agent navigiert zu einer Login-Seite und will sofort Text eingeben. AAG kann zuerst nova.perceive verlangen, weil die sichtbare Seite anders sein kann als erwartet. Wenn Login-Wall, Identitätshinweis oder falsches Feld sichtbar sind, kann der Agent stoppen und fragen, statt in das falsche Element zu tippen.

Warnungen und Blockierungen

Diese Werte beschreiben den dokumentierten Standard für Agenten-Gates. Sie sind Signale für Agenten, keine normalen Bedienelemente für Menschen in der Oberfläche.

Gate	Beobachtet	Standard / Schwelle	Verhalten
`setup.bootstrap_required`	Ob der Agent vor aktiver Arbeit ein passendes Werkzeug-Bundle geladen hat.	Erster nicht ausgenommener Arbeitsaufruf ohne erfolgreiches Bundle.	Blockiert standardmäßig und nennt das passende Bundle zur Behebung.
`safety.perceive_first`	Ob die sichtbare Seite oder das Ziel nach Navigation und Zielwechsel frisch wahrgenommen wurde.	Verändernde Interaktion ohne aktuelle Wahrnehmung auf demselben Ziel.	Blockiert, bis der Agent die Seite wahrnimmt.
`safety.disk_space_low`	Freier Speicher am relevanten Nova- oder Agenten-Arbeitsort.	500 MB oder weniger frei; hebt sich bei mehr als 500 MB wieder auf.	Blockiert ohne bewusste Übersteuerung; Retry ist erst nach freiem Speicher sinnvoll.
`safety.emergency_stop`	Ob Nutzerkontrolle Agentenarbeit gestoppt oder gesperrt hat.	Manueller Stop oder aktive Stop-Sperre.	Blockiert neue Werkzeugarbeit, bis der Nutzer die Stop-Bedingung aufhebt.
`aag.screenshot_budget`	Inline-Screenshot-Größe, Quellpixel und Erfassungsbudget.	Warnt über 200 KB; übersteuerbare Grenzen greifen über 1 MB, über 16 MP oder ab 10.000 px Kantenlänge; absolute Grenzen greifen über 50 MB oder 50 MP.	Warnt, reduziert die Ausgabe oder blockiert; absolute Sicherheitsgrenzen lassen sich nicht übersteuern.
`etm.task_discovery_recommended`	Ob aufgabenbezogene Arbeit ohne Abgleich mit passenden ETM-Aufgabenprofilen beginnt.	Erster Arbeitsaufruf, wenn Aufgabenprofile existieren, aber keine Aufgabensuche stattfand.	Warnt nur und klärt sich nach Aufgabensuche, Match, Erstellung oder Instanzabfrage.
`etm.active_instance_context`	Ob aktive ETM-Aufgabeninstanzen während laufender Arbeit ignoriert werden.	Normalerweise nach 12 Arbeitsaufrufen ohne Aufgabeninstanz-Interaktion; veraltete Instanzen zählen nicht.	Warnt als Erinnerung, damit der Agent den aktiven Aufgabenkontext im Blick behält.
`safety.tab_awareness`	Ob der Agent den aktiven Tab nutzt, obwohl seine Tab-Informationen veraltet sind.	Aktiver Tab-Zustand hat sich seit der letzten Tab-Aktualisierung des Agenten geändert.	Warnt; Tab-Kontext aktualisieren oder ein explizites Ziel verwenden löst die Unklarheit.
`pks.semantic_learning`	Ob eine wiederholte Situation auf derselben Website zu einem Lernkandidaten werden sollte.	Warnt nach wiederholten geeigneten Aufrufen, wenn der Lernhinweis nicht aufgelöst wird.	Warnt im normalen Modus; strengere Deployments können Teile des Ablaufs blockieren.
`pks.spa_navigation_block`	Ob harte Navigation einen fragilen Zustand einer Single-Page-App oder Anmeldung verlieren würde, den PKS kennt.	Bekanntes Navigationsrisiko auf der aktuellen Route ohne bewusste Übersteuerung.	Blockiert oder warnt je nach Richtlinie; eine bewusste Übersteuerung kann den Routenblock umgehen.
`claim.reclaim_notification`	Ob ein anderer Agent einen Tab zurückgeholt und eine Übergabenachricht hinterlassen hat.	Nächster betroffener Arbeitsaufruf nach der Tab-Rückholung.	Blockiert einmalig zur Auslieferung der Nachricht; danach ist der Hinweis verbraucht.

Agenten-Werkzeuge

MCP-Tools für Agenten. Diese Variablen und Werkzeugnamen sind für Agenten und Integratoren gedacht. Sie sind keine normalen Bedienbefehle für Menschen in der Oberfläche.

Variable	Bedeutung
`nova.get_instructions`	Lernmodus-Anweisungen lesen
`nova.tools_bundle`	Werkzeuge laden
`nova.perceive`	Die sichtbare Seite verstehen
`nova.tab_claim`	Einen Tab reservieren
`nova.tab_release`	Einen Tab freigeben
`nova.capture_screenshot`	Screenshot erstellen
`nova.permission_prompt`	Um Erlaubnis fragen
`bootstrapWarning`	Strukturierte Warnung, dass ein Agent vor der Fortsetzung das passende Werkzeug-Bundle laden sollte.
`bootstrapWarning.message`	Lesbarer Setup-Hinweis, der auch bei Self-Onboarding-Führung erscheinen kann.
`bootstrapWarning.loadedBundles`	In der aktuellen MCP-Sitzung bereits geladene Bundles.
`bootstrapWarning.resolution`	Strukturierter nächster Schritt, um die Bootstrap-Warnung zu klären.
`_meta["io.nova/aag"]`	Model-Context-Protocol-Metadatenbereich für strukturierte AAG-Blockierungen.
`_meta["io.nova/onboarding"]`	Maschinenlesbarer Self-Onboarding-Hinweis zur Einrichtung, einmal pro MCP-Sitzung.
`gateId`	Stabile Kennung des Gates, das gewarnt oder blockiert hat.
`gateMode`	Zeigt, ob das Gate für diesen Aufruf warnt, berät oder blockiert.
`status`	Kompakter Ergebniszustand, etwa passed, warned, blocked, timeout oder ok.
`stage`	Pipeline-Phase, in der Warnung oder Block entstanden ist.
`retryable`	Zeigt, ob der ursprüngliche Aufruf nach Behebung der fehlenden Bedingung erneut versucht werden darf.
`retryAfterMs`	Empfohlene Wartezeit vor einem Retry bei transientem Gate oder Aktivierungs-Timeout.
`reasonCode`	Maschinenlesbarer Grund für Warnung oder Block.
`details`	Strukturierte Gate-Details, etwa Behebungsoptionen, Grenzen oder nicht übersteuerbaren Sicherheitszustand.
`targetId`	Kanonische Browser-Zielkennung für zielgebundene Gate-Prüfungen.
`pageUrl`	Bereinigte Seiten-URL, die dem Werkzeugergebnis bekannt ist.
`pageTitle`	Bereinigter sichtbarer Seitentitel, der dem Werkzeugergebnis bekannt ist.
`pageState`	Kompakter Seitenzustand, etwa ok, login_required, consent_required, bot_challenge oder geo_blocked.
`knownBundles`	Nova bekannte Werkzeug-Bundles, damit Agenten die passende Fähigkeitsgruppe wählen können.
`preferredBundle`	Vorgeschlagenes Bundle für den aktuellen Behebungsweg.
`forceBypassAvailable`	Zeigt, ob eine bewusste Übersteuerung möglich ist; manche Sicherheits-Gates haben absichtlich keine.
`autofillWarning`	Formanalyse-Signal, dass Passwortmanager- oder Autofill-Zustand für MCP-Werkzeuge unsichtbar sein kann.
`autofillPopupWarning`	Signal von Klick- oder Eingabewerkzeugen, dass ein Autofill-Popup außerhalb der MCP-Sicht erschienen sein kann.
`autofillFieldRole`	Optionaler Rollenhinweis wie login_identifier oder password für autofill-sensitive Felder.
`identityOverlayWarning`	Awareness-Objekt für sichtbare Identitäts-, SSO-, Zahlungs- oder Consent-Overlays.
`identityOverlayWarning.items[]`	Erkannte Overlay-Einträge mit Provider, Origin, Vertrauen, Blockzustand und Evidenz.
`identityOverlayWarning.recommendedAction`	Agentenhinweis wie Nutzer vor Fortsetzung fragen oder Freigabe verlangen.
`truncationWarning`	Readback-Signal, dass eingegebener Text kürzer gespeichert wurde als angefragt.
`nativeDialogWarning`	Signal, dass ein nativer Browserdialog Nutzerhandlung außerhalb der MCP-Sicht verlangen kann.
`fileInputRisk`	Risikostufe für einen Klickpfad, der einen Datei-Dialog öffnen könnte.
`fileInputRiskReason`	Kurze Erklärung zur Einstufung des Datei-Eingaberisikos.
`fileUploadSelectorHint`	Vorgeschlagener Selektorpfad für sicherere Datei-Upload-Behandlung.
`fileChooserBackendNodeId`	Backend-Node-Kennung, wenn Nova einen Datei-Dialog abfängt.
`frameworkHints[]`	Beratende Hinweise zu kontrollierten Formular-Frameworks und sicherem Interaktionsstil.
`responseMode`	Screenshot-Ausgabemodus: inline, reference, thumbnail+reference oder auto.
`screenshotFilePath`	Lokaler gespeicherter Screenshot-Pfad, wenn ein Werkzeug eine Aufnahme auf Disk ablegt.
`snapshot.snapshotId`	Kennung eines persistierten Overflow-Snapshots für spätere Abfragen.
`snapshot.queryTool`	Folgewerkzeug zum Lesen, Durchsuchen, Gliedern oder Chunk-Lesen eines persistierten Snapshots.
`_aagGates`	Strukturierte Sammlung beratender Gate-Zustände in reicheren Werkzeugantworten.
`taskUrlCoverage`	Aufgaben-URL-Abdeckung, die ETM bei zu frühem Abschluss prüfen kann.
`forceCompleteEnabled`	Zeigt, ob ein Aufgabenabschluss-Gate einen ausdrücklich durch Nutzer erzwungenen Abschlussweg erlaubt.
`authPersistenceCached`	Navigationssignal, dass Nova ein Anmelde- oder Sitzungsbestandsrisiko erinnert.
`pksNavigationWarning`	PKS-basierte Warnung, dass Navigation fragilen Seiten- oder Login-Zustand verlieren könnte.
`setup.bootstrap_required`	Gate, das vor aktiver Arbeit ein passendes Werkzeug-Bundle verlangt.
`safety.perceive_first`	Gate, das frische Seitenwahrnehmung vor riskanter oder verändernder Interaktion verlangt.
`safety.identity_overlay`	Gate-Kennung für erkannte Identitäts-, SSO-, Zahlungs- oder kontosensitive Overlays.
`safety.emergency_stop`	Gate, wenn Nutzerkontrolle Agenten-Werkzeugarbeit gestoppt hat.
`safety.disk_space_low`	Gate, das Arbeit stoppt, wenn lokaler Speicher für sichere Ausführung zu knapp ist.
`aag.screenshot_budget`	Gate, das Screenshot-Erfassung innerhalb sicherer Größen- und Token-Budgets hält.
`domain.policy.blocked`	Policy-Grund, wenn aktuelle Domain oder Aktionsgruppe blockiert ist.
`agent.new_tabs_disabled`	Policy-Grund, wenn ein Agent keine neuen Tabs öffnen darf.
`agent.cross_tab_navigation_disabled`	Policy-Grund, wenn ein Agent Arbeit nicht über Tabs hinweg bewegen darf.
`loop.detected`	Gate-Grund für wiederholte Werkzeugschleifen, die Korrektur durch Nutzer oder Agent verlangen.
`proxy.credentials.bundle_required`	Gate-Grund, wenn Proxy-Zugangsdaten das passende Bundle und Setup-Kontext verlangen.

erlauben Kontext klar
begrenzen warnen und führen
fragen Nutzer nötig
blocken Bedingung fehlt

plan Absicht Agent will ein Werkzeug nutzen
gate Prüfen Bundle, Seite, Nutzer, Ressource
policy Routen Weiter, warnen, fragen oder stoppen
next Beheben Agent klärt fehlenden Kontext

Awareness Stoppen statt raten

AAG macht fehlenden Kontext ausdrücklich sichtbar, statt Agenten blind weitermachen zu lassen.

Warnen: Fortsetzung ist möglich, aber der Agent soll sich korrigieren
Blockieren: Der Aufruf läuft nicht, bis die Bedingung erfüllt ist
Beheben: Die Antwort nennt den nächsten sinnvollen Schritt
Festhalten: TOB kann blockierte Vorprüfung als Evidenz behalten