Wie entstand die Idee zu contexxt.ai und Sesame? Welcher Bedarf oder welches Problem hat euch besonders motiviert, das Startup zu gründen?
Es war zu der Zeit, als OpenAI langsam publik wurde. Es war uns klar, dass hier eine disruptive Technologie kommt, die aber für Unternehmen höchstens unter erheblichen Kompromissen in Souveränität und Sicherheit zu nutzen ist - abgesehen davon, war die Zielgruppe tendenziell immer das Individuum, nicht das Unternehmen. Sprich: Unternehmerisches Wissen konnte und kann nicht sicher und nutzbar in die Modelle integriert werden.
Ergo: Lass uns Open-Source Modelle nehmen, lass uns Open-Source-Komponenten nutzen und eine rein europäische SaaS-Lösung für die kleinen und mittelständischen bauen, die nicht erheblich selbst in Kompetenzaufbau im Bereich GenAI (Generative AI), RAG, Cybersecurity investieren können oder wollen (>90% aller Unternehmen).
Mit welchen technischen Kernkomponenten oder Modellen hebt sich contexxt.ai von bestehenden KI- oder Sicherheitslösungen ab?
Wir arbeiten ausschließlich mit Open-Source-Modellen, die wir selbst unter Kontrolle haben, und wir bleiben agnostisch, was das angeht. Wir nutzen neueste Open-Source-Frameworks (u.a. Meteor, Milvus), haben auf Basis derer komplexe Pipelines entwickelt, die hocheffiziente und sichere Nutzung von unternehmerischem Wissen in GenAI-Technologien ermöglicht. Gerade im Umgang mit großen Dokumenten, die tendenziell die vorhandenen Context-Windows sprengen, haben wir aufgrund unserer Vorverarbeitung, semantischer Separation und Metadatengenerierung einen signifikanten Vorsprung. Datensicherheit war immer Rahmenbedingung jeder Entwicklungsstufe, ist also in mehreren Schichten in der Lösung verbaut.
Welche Mechanismen oder Prinzipien verwendet ihr, um die Sicherheit, Robustheit und Vertrauenswürdigkeit eurer Systeme zu gewährleisten – insbesondere gegen Angriffe wie Indirect Prompt Injections oder andere Manipulationen?
Zunächst einmal halten wir uns an die gängigen Industriestandards und einen europäischen Cloudprovider, der sehr viel Erfahrung hat, auch mit sicherheitskritischen Infrastrukturen umzugehen (OVH). Als weiteres zentrales Element haben wir die zentrale RAG-Architektur so gebaut, die quasi einer verschachtelten Multi-Mandantentrennung entspricht. Man kann Prompten, was man will, es gibt definitiv keinen Zugang auf irgendwelche Daten, für die man nicht explizit freigeben ist. Das irritiert mitunter Kunden zuerst, weil es eben erstmal restriktiv ist – aber das ist unser Kern. Sicherheit zuerst.
In welchem Maße orientiert sich eure Lösung an regulatorischen Rahmenbedingungen wie dem EU AI Act, Datenschutzgesetzen oder weiteren Sicherheitsrichtlinien? Wie integriert ihr Compliance in eure Architektur?
Unsere Plattform ist ja recht horizontal gebaut und enthält auch eine starke API in der Mitte, mit denen Kunden letztendlich machen können, was sie wollen. Sollte also jemand unsere Technologie dafür benutzen, Dinge zu tun, die dem AI Act in der Sache wiedersprechen, können wir das natürlich nicht systemisch verhindern - das liegt auch im Verantwortungsbereich des nutzenden Unternehmens, mit dem wir natürlich sehr gerne die Use Cases besprechen und diesbezüglich beraten. Faktisch ist das aber noch nicht vorgekommen, wir sind ja noch immer ein recht junges Startup und kennen unsere Kunden alle noch persönlich.
Datenschutzgesetze und vor allem diesbezügliche Industriestandards sind für uns Gesetz, schon aus Selbstschutz: Würden unsere Lösung Daten leaken, könnten wir den Laden zumachen. Compliance ist ein wichtiges Thema bei uns, wir haben ein strenges vier-Augen-Prinzip bei kritischen Komponenten und haben zudem eine KI-gestützte CI/CD-Pipeline entwickelt, die jedes Stück Code auf sicherheitsrelevante Schwachstellen analysiert und ein Deployment so lange verhindert, bis das sauber ist. Das wirkt manchmal mit Kanonen auf Spatzen geschossen, kann aber verhindern, dass irgendwelche Artefakte aus dem Entwicklungsprozess es in das produktive System schaffen.
Welche Bedeutung haben Kooperationen mit Forschungsinstituten (z. B. CISPA und andere Partner) für eure Entwicklung?
Wir sind bestrebt, möglichst dicht am letzten Stand der Forschung zu agieren – entsprechend ist der regelmäßige Austausch oder auch Audits für uns extrem wertvoll. Natürlich haben die Institute auch ein erhebliches Netzwerk aus Investoren und Unternehmen, mit denen wir ansonsten ohne Intro nur schwerlich in Kontakt gekommen wären. Abgesehen davon hat sich unter den Startups, die teilweise aus den Instituten heraus gegründet worden sind, mittlerweile sehr freundschaftliche und unterstützende Bünde entwickelt, die ich sehr schätze – wir haben alle sehr vergleichbare Herausforderungen, auch wenn wir inhaltlich an völlig verschiedenen Themen arbeiten.
Für welche Branchen oder Use Cases ist eure Lösung besonders geeignet? Kannst du ein oder zwei konkrete Anwendungsbeispiele nennen?
Die Branchen sind uns primär völlig egal – generative KI hilft überall. Nimm alle Use Cases, die du mit ChatGPT abdeckst, ergänze die, für die du Wissen oder Informationen aus deinem Unternehmen benötigst. Ein schöner Use Case mag es sein, die sich ständig ändernden Leasingrahmenbedingungen in unserer Lösung abzulegen, um Verkäufern jederzeit zielgerichtet Auskunft geben zu können, während diese gerade in einem Verkaufsgespräch sind. Anderer, womöglich witziger Use Case: Automechaniker steht unterm Auto, die Ölwanne läuft voll, er fragt unsere Lösung per Spracheingabe, wie viel Öl das Auto hat – und weiß, ob ihm die Wanne überläuft, oder nicht. Anderer Use Case, der vor allem unsere API nutzt, ist das automatisierte Schreiben von Anforderungen auf Basis hinterlegter Regularien.
Gerade arbeiten wir an der Integration eines Deep Research Frameworks, erster avisierter Use Case ist die automatische Stärken/Schwächen-Analyse von Businessplänen/Pitchdecks sowie eine integrierte Wettbewerbsanalyse. Anderer Case ist die Beobachtung diverser Datenquellen zur Einschätzung von Auswirkungen auf das Kerngeschäft eines Unternehmens. Wie du siehst – die Use Cases sind grenzenlos.
Was waren bzw. sind die größten technischen, organisatorischen oder marktbezogenen Hürden, mit denen ihr konfrontiert wart bzw. seid?
Unsere Infrastruktur ist wahnsinnig komplex, sehr viele verschiedenen Komponenten greifen ineinander und müssen orchestriert werden. Der hohe Anspruch an Sicherheit führt oftmals zu einigen Extraschleifen, die eine Menge Zeit kosten. Größte Hürde ist aber das Fundraising, deutsche Investoren scheinen zurzeit jedes Risiko extrem zu scheuen. In dem Bereich, in dem wir unterwegs sind, wird der Wettbewerb als groß empfunden, insbesondere durch die großen Hyperscaler.
Abgesehen davon messen Investoren die Qualität unserer Innovation oftmals und lediglich daran, wieviel wir schon verkauft haben, also wie hoch MRR/ARR sind – wo wir schon aufgrund der Auflagen durch die (vorvertriebliche) Forschungsförderung des BMFTR (StartUpSecure) noch gar nicht relevant sein dürfen – echtes Henne-Ei-Problem.
Wie adressiert contexxt.ai ethische Fragestellungen im KI-Kontext, etwa Bias, Transparenz oder Erklärbarkeit?
In unserer Plattform benutzen wir ja die Basismodelle, entsprechend kapseln wir jede Nutzerinteraktion in einen Systemprompt, den wir durch verschiedene Evaluierungen optimiert haben, und die Evaluierungsverfahren entwickeln wir permanent weiter – auch, da wir unsere Modelle unter der Haube mit der Zeit und regelmäßig tauschen werden. Transparenz und Erklärbarkeit ist quasi das Herz unserer Lösungen, weswegen wir immer Referenzen mitgeben, woher das Modell seine Antwortinformationen hat. Bias/Halluzinationen bleiben aber natürlich immer eine Baustelle, die wir mit verschiedenen Verfahren aktiv so klein wie möglich zu halten versuchen.
Wie wichtig ist die europäische Souveränität in den Bereichen Cybersicherheit und Künstliche Intelligenz?
Das ist quasi unsere Existenzberechtigung. Rahmenbedingung für jedes Feature ist, dass es unabhängig von nicht-europäischen Lieferanten sein muss, und dass, sofern externe Services genutzt werden (z.B. Web-Suche), diese austauschbar bleiben. Bisschen nerdige Idee: Wenn die Zombie-Apokalypse kommt, möchte ich, dass unsere Lösung noch maximal lange zu Nutzen ist. Diese Vorstellung hilft jedenfalls sehr bei einigen Entscheidungen.
Wie seht ihr eure Rolle im europäischen KI-Ökosystem? Und welche Entwicklungen (technologisch, regulatorisch oder gesellschaftlich) erwartet ihr in den nächsten drei bis fünf Jahren, die contexxt.ai gestalten oder beeinflussen möchte?
Ich glaube, wir sind hinsichtlich europäischer Souveränität als Startup schon sehr eindeutig, da sehe ich im Wettbewerb oft viele Kompromisse. Wir strecken unsere Fühler auch sehr nach Frankreich aus, weil wir da zum einen guten Zugang haben, zum anderen aber auch einen sehr offenen Markt vorfinden.
In den nächsten Jahren erwarte ich, dass die europäische Souveränität gewaltig an Relevanz gewinnen wird (heute ist es ja schon quasi in deutschen und französischen öffentlichen Ausschreibungen vorgeschrieben). Die geopolitischen Entwicklungen laufen bereits aus vielerlei Gründen in diese Richtung, und ich halte das Erwachsenwerden der europäischen Union (und der damit verbundenen Selbstständigkeit) für essenziell.
Technisch sehe ich die nächsten großen Themen - bei denen wir sehr aktiv mitzumischen gedenken – in autonomen KI-Agenten und die resultierende Agent-zu-Agent-Kommunikation, sowie die Anbindung jedweder Services an generative KI mittels MCP (Model Context Protocol). Übrigens: Wer hat bereits 2018 gesagt, dass KI immer eine Frage des „Context“ ist? Rate mal…
Mehr Informationen zu contexxt.ai: https://contexxt.ai
