Dr. Stephanie Morgenroth
Google DeepMind hat ein umfassendes Framework veröffentlicht, das systematische Schwachstellen autonomer KI-Agenten analysiert. Die Forschungseinheit identifiziert sechs Angriffskategorien, die speziell für automatisierte Systeme im Krypto-Trading relevant sind. Das Paper erscheint zu einem Zeitpunkt, an dem institutionelle Anleger und Retail-Trader gleichermaßen auf KI gestützte Bots für DeFi Operationen setzen.
Die sechs Angriffsvektoren im Detail
Das DeepMind Team systematisiert Bedrohungen für Agents, die eigenständig Webseiten browsen, Code ausführen und Vermögenswerte verwalten. Die Forscher unterteilen die Risiken in sechs Klassen: Prompt Injection, Data Poisoning, Reward Hacking, Adversarial Examples, Multi Agent Flash Crashes sowie Manipulationen durch unsichtbare HTML Befehle. Jede Kategorie zielt auf spezifische Eigenschaften autonomer Systeme ab, die auf multimodale Datenverarbeitung und schnelle Entscheidungsfindung angewiesen sind.
Prompt Injection nutzt bösartige Eingaben, um Systemanweisungen zu überschreiben. Angreifer können so die Kontrolllogik des Agents umgehen und ihn zu unautorisierten Transaktionen verleiten. Diese Attacke funktioniert besonders gut bei Chatbots, die direkt mit Smart Contracts interagieren oder Trading-Befehle ausführen.
Die Angriffe nutzen dabei die Natürlichkeit der Sprachverarbeitung aus. Ein bösartiger Prompt kann sich als harmloser Nutzerwunsch tarnen, während er im Hintergrund die Systemanweisungen überschreibt. Für Krypto-Agents, die über natürlichsprachliche Interfaces Befehle entgegennehmen, stellt dies eine besonders insidie Gefahr dar.
Data Poisoning manipuliert die Informationsgrundlage des Modells. Durch gezielte Injektion fehlerhafter Daten in Web Scraping Prozesse entstehen falsche Faktenbasisen, die der Agent später als Marktdaten interpretiert. Für Trading-Bots können so künstliche Trends entstehen, die zu Verlustpositionen führen.
Die Manipulation erfolgt oft über kompromittierte Webseiten oder gefälschte News-Portale, die der Agent als Quelle abruft. Da viele Trading-Bots auf Echtzeitdaten von Twitter, Reddit oder spezialisierten Krypto-News-Seiten angewiesen sind, entsteht hier eine erhebliche Angriffsfläche. Ein gezielt platzierter falscher Tweet kann so einen Algorithmus zu Schnellverkäufen verleiten.
Reward Hacking nutzt Schwächen in den Belohnungsfunktionen aus. Ein Trading-Bot könnte durch Wash Trading scheinbare Gewinne generieren, die bei realer Liquidation nicht materialisieren. Die Optimierung auf falsche Metriken führt zu suboptimalen Allokationen im Portfolio. Diese Angriffe sind besonders subtil, da sie nicht direkt auf den Code des Agents zielen, sondern auf seine Lernincentives.
Adversarial Examples lösen durch minimale Veränderungen der Eingabedaten falsche Entscheidungen aus. Subtile Pixel-Manipulationen in Chart-Bildern oder kaum wahrnehmbare Audio-Modifikationen können Kursprognosen systematisch verfälschen. Diese Angriffe bleiben für menschliche Aufseher oft unsichtbar, da sie außerhalb des visuellen Wahrnehmungsspektrums liegen. Ein verfälschter Candlestick-Chart kann so Kaufsignale auslösen, die auf technischer Analyse basieren.
Multi Agent Flash Crashes beschreiben emergente Phänomene in Systemen mit mehreren interagierenden Agents. In hochfrequenten DeFi-Märkten können diese sich gegenseitig in eine Abwärtsspirale treiben. Die resultierenden Marktineffizienzen entstehen durch Feedback Loops, bei denen jeder Agent die Aktionen der anderen als Marktsignal interpretiert. Diese dynamischen Systemrisiken sind schwer vorherzusagen, da sie aus der kollektiven Interaktion entstehen.
Besonders kritisch für Krypto-Investoren ist die Attacke über unsichtbare HTML Befehle. Versteckte Code-Elemente in Webseiten, die für menschliche Nutzer unsichtbar bleiben, werden von KI-Agenten als legitime Instruktionen interpretiert. Diese Technik manipuliert den DOM-Tree direkt, etwa durch CSS-Tricks wie weiße Schrift auf weißem Hintergrund oder versteckte Meta-Tags. Die Technik ähnelt dabei klassischen SEO-Manipulationen, zielt jedoch nicht auf Suchmaschinen, sondern auf maschinelle Entscheidungsträger ab.
Ein kompromittiertes Smart Contract Interface könnte so einen Agenten dazu bringen, Ethereum Token oder Bitcoin Derivate an eine Hacker-Adresse zu senden. Der Nutzer sieht visuell nur die legitime Oberfläche, während der Agent die versteckten Befehle ausführt. Die Lücke zwischen menschlicher und maschineller Wahrnehmung ermöglicht präzise gezielte Manipulationen, die traditionelle Sicherheitsaudits nicht erfassen.
Die Angriffe nutzen die multimodale Wahrnehmung der Agents aus. Während menschliche Nutzer visuelle Hinweise ignorieren, die außerhalb des sichtbaren Bereichs liegen, verarbeiten KI-Systeme den gesamten HTML-Code einer Seite. Ein Agent, der Webseiten als strukturierte Daten und nicht als visuelles Layout interpretiert, kann nicht zwischen absichtlicher Formatierung und versteckten Befehlen unterscheiden. Diese Eigenschaft macht sie anfällig für Steganographie-ähnliche Angriffe.
Gefährdungslage im Krypto-Sektor 2026
Betroffen sind alle Marktteilnehmer, die auf automatisierte KI-Tools für Trading oder Yield Strategien setzen. Das Spektrum reicht von Einsteigern mit einfachen Chatbot Integrationen für Wallet Operationen bis hin zu institutionellen Arbitrage Bots mit direkter API Anbindung an zentralisierte Börsen und DeFi Protokolle. Die Agents führen Transaktionen in Echtzeit aus und agieren dabei oft ohne menschliche Zwischenprüfung.
Die Integration von Large Language Models in Wallet-Infrastrukturen hat 2026 stark zugenommen. Viele Nutzer vertrauen dabei auf vermeintlich sichere Cloud-Lösungen, die jedoch die Angriffsfläche erweitern. Die zentrale Speicherung von API-Keys bei Drittanbietern ermöglicht es Angreifern, über kompromittierte Agents direkt auf Liquidität zuzugreifen.
Besonders gefährdet sind Systeme, die über Cloud-APIs auf Private Keys zugreifen oder Transaktionen automatisch signieren. Sobald bestimmte Kriterien erfüllt sind, initiiert die KI Zahlungen, die auf der Blockchain final und irreversibel sind. Die Geschwindigkeit der Ausführung, die für Staking Strategien und Arbitrage essenziell ist, verhindert manuelle Kontrollen in Echtzeit. Ein einmal ausgelöster Transfer lässt sich nicht mehr stoppen.
Das strukturelle Risiko liegt in der Autonomie selbst. Je mehr Entscheidungen ein Agent selbstständig trifft, desto größer das Schadenspotenzial bei erfolgreicher Manipulation. Ein kompromittierter Agent kann nicht nur Einzeltransaktionen manipulieren, sondern über Wochen hinweg Handelsmuster systematisch verfälschen. Die Architektur vieler DeFi Yield Strategien multipliziert dabei das Risiko einer einzelnen Fehlentscheidung.
Bei diesen Strategien suchen Agents kontinuierlich nach den höchsten Renditen und automatisieren dabei komplexe Transaktionsketten über mehrere Protokolle hinweg. Eine Fehlentscheidung in einem einzigen Schritt kann die gesamte Kette kompromittieren und zu Totalverlusten führen. Die Komplexität der Interaktionen erschwert die Fehleranalyse nachträglich, da die Ursache in der KI-Entscheidung und nicht im Smart Contract selbst liegt.
Institutionelle Anbieter von DeFi Yield Farming Bots sind dabei ebenso gefährdet wie Retail-Trader mit einfachen Automatisierungs-Skripten. Die Forschung zeigt, dass selbst hochsichere Umgebungen mit Multi Signature Wallets durch manipulierte Agenten-Entscheidungen umgangen werden können. Wenn die KI die finale Transaktionszusammensetzung kontrolliert, muss der Angreifer nicht den Private Key stehlen, sondern nur die Logik des Agents überzeugen.
Die Asymmetrie zwischen Angriffsaufwand und potenziellem Schaden macht diese Vektoren besonders attraktiv für organisierte Kriminalität. Während traditionelle Hacks auf Smart Contracts spezialisiertes technisches Know-how erfordern, können Prompt-Injection-Angriffe mit rudimentären Sprachkenntnissen durchgeführt werden. Diese Demokratisierung der Angriffstechniken erhöht das Risiko für alle Marktteilnehmer.
Die Forschung unterstreicht eine spezifische Schwachstelle im Krypto-Kontext: Aktuelle AI-Agents verfügen über keine robuste Unterscheidung zwischen vertrauenswürdigen und manipulierten Informationsquellen. Da Blockchain-Transaktionen final sind, führt eine einmalige Fehlentscheidung zu permanenten Vermögensverlusten. Die Transparenz der Blockchain wird hier zur Falle, denn jede Transaktion ist nachweisbar, aber die Absicht hinter der von einem Agenten initiierten Transaktion bleibt in der On Chain Analyse unsichtbar.
Besonders riskant ist die Kombination aus KI-Autonomie und der Irreversibilität von Smart Contract Interaktionen. Ein einmalig signierter Transaction Hash auf der Ethereum Blockchain lässt sich nicht rückgängig machen, selbst wenn sich herausstellt, dass ein Agent durch Adversarial Examples getäuscht wurde. Diese Finalität unterscheidet Krypto-Agents fundamental von traditionellen Software-Bots in anderen Branchen, wo Fehltransaktionen durch Chargebacks oder administrative Korrekturen rückabgewickelt werden können.
Fazit: Risikomanagement für AI-Trading
Wenn du KI gestützte Tools für Trading oder DeFi Strategien nutzt, limitiere deren Zugriffsrechte zunächst auf kleine Beträge. Nutze nur verifizierte Open Source Agents aus etablierten Repositories mit aktiver Community-Überwachung. Implementiere manuelle Bestätigungsschritte für jede Transaktion über einen festgelegten Wert.
Die Studie signalisiert: Autonomie bleibt ein zweischneidiges Schwert. Solange Sicherheitsstandards für AI Agents nicht gereift sind, bleibt menschliche Aufsicht die letzte Verteidigungslinie. Behandle automatisierte Empfehlungen wie die eines menschlichen Beraters mit Fehlerpotenzial, nicht wie unfehlbare Instruktionen.
Für professionelle Nutzer wird die Integration von Hardware-Wallets als zusätzliche Sicherheitsebene zur Pflicht. Prüfe jeden von einem Agenten vorgeschlagenen Trade manuell auf dem Display deines Hardware-Wallets, bevor du signierst. Die zusätzlichen Sekunden können den Verlust signifikanter Vermögenswerte verhindern.
Die Entwicklung von Sicherheitsstandards für autonome Agents wird daher zu einer zentralen Aufgabe für die Branche im Jahr 2026.
Quelle: Decrypt
