Das Wichtigste in Kürze: Wer KI-Tools wie ChatGPT oder Claude nutzt, um Krypto-Code zu schreiben, schickt seine Anfragen oft durch unsichtbare Zwischendienste – sogenannte Router. Forscher haben jetzt nachgewiesen, dass einige dieser Router Passwörter und Wallet-Zugänge still und heimlich abgreifen. In einem kontrollierten Experiment wurde dabei ein echtes Ethereum-Wallet geleert.
Forscher der University of California haben ein strukturelles Sicherheitsproblem im KI-Ökosystem nachgewiesen, das jeden betrifft, der KI-Tools für Krypto-Entwicklung nutzt. Das Ergebnis eines kontrollierten Experiments: Ein Ethereum-Wallet wurde geleert.
Das Paper „Your Agent Is Mine“, legt den Mechanismus offen. Wer mit einem KI-Coding-Agenten arbeitet, verbindet sich in den meisten Fällen nicht direkt mit OpenAI, Anthropic oder Google. Dazwischen sitzt ein sogenannter LLM-Router – ein Zwischendienst, der Anfragen sammelt, bündelt und weiterleitet. Das klingt technisch harmlos. Ist es nicht.
Diese Router terminieren die verschlüsselte TLS-Verbindung und lesen jeden einzelnen Payload im Klartext mit. Wer also einem KI-Assistenten seinen Private Key nennt, um einen Smart Contract zu debuggen, übergibt diesen Key möglicherweise an Infrastruktur, der er nie bewusst vertraut hat.
Ethereum Wallet geleert
Die Forscher testeten 428 Router – 28 kostenpflichtige, 400 kostenlose. Neun injizierten aktiv bösartigen Code. 17 griffen auf vorbereitete AWS-Zugangsdaten zu. Einer leerte das Test-Wallet.
Das Perfide: Es ist nicht erkennbar. Routers verarbeiten Credentials als Teil ihres normalen Betriebs. Ob sie dabei stehlen oder weiterleiten, ist für den Nutzer von außen unsichtbar. „Die Grenze zwischen legitimem Credential-Handling und Diebstahl ist für den Nutzer unsichtbar“, schreiben die Autoren.
Erschwerend kommt der sogenannte YOLO Mode hinzu – eine in vielen KI-Agenten-Frameworks standardmäßig verfügbare Einstellung, die Befehle automatisch ohne Nutzerbestätigung ausführt. Ist ein Router kompromittiert und der Agent im YOLO Mode, läuft eine Transaktion durch, bevor ein Mensch eingreifen kann.
Das Timing ist kein Zufall. Seit Coinbase im Februar 2026 seine Agentic Wallets auf Basis des x402-Protokolls lancierte – Wallets, die nicht für Menschen, sondern für autonome Software-Agenten konzipiert sind – wächst das Volumen an KI-gesteuerter Krypto-Infrastruktur rasant. Parallel dazu hat der LiteLLM-Vorfall vom 24. März gezeigt, dass selbst der meistgenutzte Open-Source-Router mit 40.000 GitHub-Stars durch einen Supply-Chain-Angriff kompromittiert werden kann.
Forscher mahnen zu Vorsicht
Die Empfehlung der Forscher ist klar: Private Keys und Seed Phrases gehören nicht in eine KI-Agenten-Sitzung. Als langfristige Lösung fordern sie kryptografische Signaturen für LLM-Antworten – damit ein Agent mathematisch nachweisen kann, dass eine Instruktion tatsächlich vom Modell stammt und nicht vom Router dazwischen.
Das KI-Ökosystem behandelt Router wie transparente Rohre. Das Paper belegt: Sie sind es nicht.
Hier geht es zum Beitrag: In KI investieren.
Raphael Lulay ist Herausgeber und Redakteur von boersen-parkett.de. Seit 2018 berichtet er über Kryptowährungen, Bitcoin, Altcoins und digitale Kapitalmärkte. Neben seiner Tätigkeit auf boersen-parkett.de veröffentlicht er regelmäßig Beiträge auf Block-Builders.de und Bitcoin-2Go.de. Zuvor schrieb er auch für Finanzpublikationen wie Fonds Finanz und das B.MAG Bankenmagazin. Sein Fokus liegt auf der datenbasierten Einordnung von Marktbewegungen, Kapitalflüssen, Regulierung und Krypto-Trends für Anleger. E-Mail: [email protected]
