Wie KI-Agenten zur nächsten großen Sicherheitsbedrohung für Kryptowährungen werden könnten

Da dezentralisierte Finanzen (DeFi), Trading-Bots und Smart Wallets entwickeln sich weiter. Sie werden zunehmend von KI-Agenten und kleinen autonomen Systemen angetrieben, die auf Protokollen wie dem Model Context Protocol (MCP) basieren. MCP-gesteuerte Agenten versprechen zwar automatisierte, intelligente Entscheidungen, bringen aber auch Schwachstellen mit sich, die Krypto-Assets gefährden könnten.

Der Aufstieg von KI-Agenten in der Kryptowelt

Im vergangenen Jahr sind KI-Agenten immer tiefer in die Krypto-Infrastruktur eingedrungen – sie automatisieren Aufgaben in Wallets, führen Trades aus, analysieren On-Chain-Daten und interagieren mit Smart Contracts. Eine kürzlich veröffentlichte VanEck-Schätzung geht davon aus, dass es bis Ende 10,000 über 2024 solcher Agenten im Kryptobereich gab, und die Prognosen gehen davon aus, dass es im Jahr 1 mehr als eine Million sein werden.

Im Mittelpunkt ihres Betriebs steht MCP, ein Framework, das als Entscheidungsebene fungiert und regelt, welche Tools verwendet, welcher Code ausgeführt und wie auf Eingaben reagiert wird. Im Gegensatz zur starren Logik eines Smart Contracts („was passieren soll“) steuert MCP das Verhalten des KI-Agenten („wie es passiert“).

Diese Flexibilität stärkt zwar die Agenten, vergrößert aber auch die Angriffsfläche dramatisch – mit potenziell verheerenden Folgen.

Wie Plugins KI-Agenten zu Waffen machen können

Plugins sind die Grundlage für KI-Agenten. Diese Softwaremodule erweitern deren Fähigkeiten und ermöglichen alles, vom Abrufen von Marktdaten bis zur Ausführung von Transaktionen. Jedes Plugin birgt jedoch auch eine Schwachstelle. Das Blockchain-Sicherheitsunternehmen SlowMist hat Folgendes identifiziert: vier primäre Angriffsvektoren die MCP-basierte Agenten ausnutzen:

Datenvergiftung

Durch manipulierte Eingaben wird der Agent dazu verleitet, irreführenden Anweisungen zu folgen, und in seinen Entscheidungsfluss wird eine bösartige Logik eingebettet.

JSON-Injektion

Betrügerische JSON-Endpunkte können unsicheren Code oder unsichere Daten einschleusen, die Validierung umgehen und vertrauliche Informationen preisgeben.

Funktionsüberschreibung

Angreifer ersetzen oder überschreiben legitime Agentenvorgänge, maskieren böswillige Aktionen und deaktivieren wichtige Kontrollen.

Cross‑MCP‑Aufruf

Ein Agent, der durch Fehlermeldungen oder irreführende Eingabeaufforderungen dazu verleitet wird, mit nicht vertrauenswürdigen Diensten zu kommunizieren, kann dazu verwendet werden, weitere Kompromittierungen zu verbreiten.

Entscheidend ist, dass diese Vektoren auf die Laufzeit des Agenten abzielen, nicht auf das grundlegende LLM-Modell. Sie beeinflussen das Verhalten während der Nutzung, nicht während des Trainings.

Warum diese Bedrohungen schwerwiegender sind als Model Poisoning

Anders als bei der Vergiftung traditioneller KI-Modelle, bei der korrupte Trainingsdaten die internen Gewichtungen beeinflussen, manipulieren Angriffe auf KI-Agenten diese in Aktion. „Bedrohungsniveau und Berechtigungsumfang sind höher“, bemerkt „Monster Z“, Mitbegründer von SlowMist, da der Laufzeitzugriff oft die Berechtigung zum Verschieben privater Schlüssel oder Assets beinhaltet.

Bei einer Prüfung wurde sogar ein Fehler im Plug-In festgestellt, der die Offenlegung privater Schlüssel riskierte und möglicherweise eine vollständige Übernahme des Vermögenswerts ermöglichte.

Der Einsatz: Echtes Krypto-Risiko

Wenn KI-Agenten-Ökosysteme in Wallets und Börsen aktiv sind, eskalieren die Folgen schnell. Böswillige oder kompromittierte Agenten könnten:

• Einlösen von Berechtigungen über ihren Umfang hinaus
• Private Schlüssel stehlen oder offenlegen
• Nicht autorisierte Transaktionen auslösen
• Verbreitung von Infektionen auf miteinander verbundene Systeme über verkettete MCP-Aufrufe

Guy Itzhaki (CEO von Fhenix) warnt, dass Plugins als versteckte Ausführungspfade fungieren und oft keinen Sandbox-Schutz bieten. Sie öffnen Tür und Tor für Privilegienerweiterungen, Funktionsüberschreibungen und stille Lecks.

Patching-Sicherheit: Von Grund auf richtig aufbauen

Die schnelllebige Kryptokultur („schnell handeln, Dinge kaputt machen“) kollidiert mit der Forderung nach absoluter Sicherheit. Lisa Loud von der Secret Foundation betont: Sicherheit lässt sich nicht aufschieben. „Zuerst muss Sicherheit geschaffen werden, dann alles andere.“

SlowMist empfiehlt diese Best Practices:

• Strenge Plugin-Validierung: Überprüfen Sie vor dem Laden die Authentizität und Integrität.
• Eingabebereinigung: Bereinigen Sie alle Daten aus externen Quellen.
• Geringste Privilegien: Plugins erhalten nur den Zugriff, den sie unbedingt benötigen.
• Verhaltensprüfung: Überwachen Sie die Aktionen der Agenten kontinuierlich auf Anomalien.

Obwohl diese Maßnahmen zeitaufwändig sein können, bieten sie in einer Kryptoumgebung mit hohem Risiko einen wesentlichen Schutz.

Erkenntnisse aus der akademischen Forschung

Unabhängige Studien bestätigen die zunehmende Besorgnis. ArXiv-Papier vom März 2025 („AI Agents in Cryptoland“) deckt Schwachstellen in kontextbezogenen Eingabeaufforderungen und veränderbaren Speichermodulen auf und zeigt, wie Angreifer Agenten subtil dazu bringen können, nicht autorisierte Vermögensübertragungen durchzuführen oder Protokollbedingungen zu verletzen.

Eine weitere Studie vom Februar zeigt, dass webbasierte KI-Agenten statische LLMs in der Automatisierung übertreffen – allerdings auf Kosten einer höheren Angriffsfläche. Sequenzielle Entscheidungsfindung und dynamische Eingaben erhöhen ihre Anfälligkeit.

Diese Erkenntnisse unterstreichen, dass Agenten nicht nur Erweiterungen von LLMs sind – sie fügen zusätzliche Komplexitäts- und Risikoebenen hinzu.

Lehren aus der realen Welt DeFi

KI-Agenten sind bereits aktiv in DeFi. Laut Sean Li von Magic Labs treiben sie zwar alles voran, vom 24/7-Handel bis zum Ertragsmanagement, aber die zugrunde liegenden Geldbörsen und die Infrastruktur haben nicht Schritt gehalten.

Zu den historischen Beispielen zählen:

• Banana Gun Bot (Sept. 2024): Ein Telegram-basierter Handelsagent fiel einem Oracle-Exploit zum Opfer, bei dem Benutzer verloren 563 ETH (~1.9 Millionen US-Dollar) .
• Aixbt-Dashboard-Sicherheitslücke: Nicht autorisierte Befehle 55.5 ETH (~100,000 $) aus den Wallets der Benutzer transferiert .

Diese Fälle verdeutlichen, wie Schwachstellen in der Agenteninfrastruktur – oder sogar in Zusatzkomponenten – zu schweren Verlusten führen können.

Neue Lösungen: Programmierbare Geldbörsen und autorisierte Agenten

Um die KI-Automatisierung sicher zu skalieren, müssen Wallets über die statische Transaktionssignatur hinaus entwickelt werden. Wie Sean Li vorschlägt, ist eine programmierbare, zusammensetzbare und überprüfbare Infrastruktur entscheidend. Dazu gehören:

• Absichtsbewusste Sitzungen: Erteilen Sie Agenten Berechtigungen nur für bestimmte Aufgaben, Zeitrahmen oder Ressourcen.
• Kryptografische Validierung: Jede Agentenaktion ist signiert und überprüfbar.
• Widerruf in Echtzeit: Benutzer können Agentenberechtigungen sofort beenden.
• Einheitliche Cross-Chain-Frameworks: Berechtigungen und Identitäten, die über Protokolle hinweg übertragen werden.

Eine solche Grundlage stellt sicher, dass die Agenten als kontrollierte Assistenten und nicht als unkontrollierte Akteure agieren.

Auf dem Weg zu einem sicheren KI-Krypto-Ökosystem

Um die Macht der KI in der Kryptowelt zu nutzen, muss das Ökosystem ein „Sicherheit zuerst“-Ethos verfolgen. Das bedeutet:

• Integration gehärteter Protokolle in Wallets und Agenten
• Freigabe von Agentenplattformen erst nach gründlicher Sicherheitsüberprüfung
• Anreize für Entwickler mit sicheren Praktiken in Einklang bringen
• Integration erweiterter Vertrauensmechanismen, bevor Agenten Zugriff auf Assets gewährt wird

Um die Einführung und Überprüfung von Agent-Sicherheitsrahmen voranzutreiben, ist die Unterstützung von oben – durch Kernteams, Prüfer und Normungsgremien – von entscheidender Bedeutung.

Was vor uns liegt?

KI-Agenten versprechen eine Revolution in der Kryptowelt – Echtzeit-Handel, intelligente On-Chain-Interaktionen und tiefere Personalisierung. Die Grundlagen, die diese Fähigkeiten ermöglichen, erhöhen jedoch auch die Risiken.

Die Angriffsvektoren sind nicht nur theoretisch – sie sind real, gut verstanden und werden immer ausgefeilter. Ohne eine umfassende Sicherheitsintegration in Protokolle laufen wir Gefahr, leistungsstarke Tools zu Einfallstoren für katastrophale Sicherheitsverletzungen zu machen.

MCP birgt bereits jetzt sowohl Chancen als auch Gefahren. Akademische Studien und reale Vorfälle zeigen, dass selbst kleine Fehler im Plugin- oder Protokolldesign die Büchse der Pandora öffnen können.

Doch es gibt einen Weg nach vorn. Indem wir von Anfang an Sicherheit und Berechtigungsvergabe in Wallets, Plugins und Agenten integrieren – und kontinuierliche Überwachung sowie krypto-native Sicherheitsvorkehrungen einbauen – können wir das Potenzial der KI nutzen, ohne das Kernprinzip der Kryptowährungen zu opfern: vertrauenslose, benutzergesteuerte Finanzen.

KI-Agenten: Vorbereitung auf die Zukunft

Die rasante Verbreitung von KI-Agenten in der Kryptowelt ist ein zweischneidiges Schwert. Da die Zahl der Agenten im Jahr 1 voraussichtlich die Millionengrenze überschreiten wird und bereits Schwachstellen identifiziert wurden, stehen wir eindeutig an einem Wendepunkt.

Unkontrollierte Automatisierung gefährdet Vermögenswerte direkt, es sei denn, die Sicherheit wird so grundlegend wie die Smart Contracts selbst. Indem Entwickler der sicheren Überprüfung von Plugins, der Absichtsverfolgung und dem Prinzip der geringsten Berechtigungen Priorität einräumen, können sie sicherstellen, dass KI-Agenten die Benutzersouveränität wahren und nicht untergraben.

Jetzt ist es an der Zeit zu handeln: Sichern Sie diese Systeme, bevor die nächste Agentengeneration für die Sicherheitslücke von morgen sorgt.