KI-Agenten sollen Krypto-Zahlungen steuern, aber ein versteckter Fehler könnte Wallets aufdecken
Die Kryptowährungsbranche strebt einer Zukunft entgegen, in der KI-Agenten alles abwickeln, von der Buchung von Flügen über die Ausführung von Handelsgeschäften bis hin zur Zahlung. Neue Forschungsergebnisse deuten jedoch darauf hin, dass die Infrastruktur, die diesem Wandel zugrunde liegt, möglicherweise nicht sicher ist.
McKinsey prognostizierte kürzlich, dass KI-Agenten bis 2030 den weltweiten Verbraucherhandel im Wert von 3 bis 5 Billionen US-Dollar vermitteln könnten.
Coinbase-Gründer Brian Armstrong sagte auf X, dass es „sehr bald“ mehr KI-Agenten als Menschen geben wird, die Transaktionen im Internet durchführen. Der Gründer von Binance, Changpeng Zhao, war mutiger und sagte voraus, dass Agenten eine Million Mal mehr Zahlungen tätigen würden als Menschen, und das alles in Krypto.
Aber eine Gruppe von Sicherheitswissenschaftlern und Kryptoforschern hat einen Artikel veröffentlicht, in dem sie erklärt, dass ein weitgehend übersehener Teil der KI-Infrastruktur bereits dazu genutzt wird, Anmeldeinformationen zu stehlen und sogar Krypto-Wallets zu leeren.
Die Autoren der Papiere sind Forscher der University of California, Santa Barbara, der University of California, San Diego, der Blockchain-Firma Fuzzland und World Liberty Financial.
Leistungsstarke Angriffspunkte
Das Team stellte fest, dass sogenannte „LLM-Router“ oder Dienste, die zwischen Benutzern und KI-Modellen liegen, als mächtiger Angriffspunkt fungieren können, der von böswilligen Akteuren ausgenutzt wird. Diese Router sind darauf ausgelegt, Anfragen an Modelle wie OpenAI oder Anthropic weiterzuleiten, haben aber auch vollen Zugriff auf alles, was sie passieren, einschließlich sensibler Daten.
„LLM-Agenten sind über die Konversationsassistenten hinaus zu Systemen übergegangen, die Flüge buchen, Code ausführen und die Infrastruktur im Namen der Benutzer verwalten“, schrieben die Forscher und betonten, wie schnell diese Tools reale finanzielle und betriebliche Aufgaben übernehmen.
Die LLM-Router oder Angriffspunkte machen Benutzer äußerst anfällig, da sie davon ausgehen, dass sie direkt mit einem seriösen KI-Modell wie OpenAI, Grok oder einem anderen interagieren, während in Wirklichkeit viele Anfragen über zwischengeschaltete Dienste laufen, die diese Daten sehen und ändern können, so die Forscher.
Laut einem der Forscher, Chaofan Shou, ist das Problem nicht mehr theoretisch. Er schrieb auf
„Ein bösartiger Router kann einen harmlosen Befehl durch einen vom Angreifer kontrollierten ersetzen oder stillschweigend alle Anmeldeinformationen herausfiltern, die ihn durchlaufen“, schreiben die Forscher.
Die Forscher sagten, dass, weil diese Systeme autonom arbeiten können, einschließlich der häufigen Genehmigung und Ausführung von Aktionen ohne menschliche Überprüfung, eine einzige geänderte Anweisung sofort Systeme oder Gelder gefährden kann.
Für Krypto-Benutzer sind die Auswirkungen schwerwiegend, da private Schlüssel, API-Anmeldeinformationen und Wallet-Zugriffstoken diese Systeme oft im Klartext passieren. Die Forscher fanden mehrere Fälle, in denen Router diese Geheimnisse einfach sammelten, heißt es in der Studie. In einem Fall wurde eine Test-Ethereum-Wallet geleert, nachdem ihr privater Schlüssel offengelegt wurde.
„Einmal offengelegt, können Anmeldeinformationen wie private Schlüssel ohne Wissen des Benutzers kopiert und wiederverwendet werden“, stellten die Autoren des Papiers fest.
Kaskadierende Risiken
Das Team zeigte auch, wie einfach es ist, den Angriff auszuweiten. Indem sie Teile des Router-Ökosystems „vergifteten“ und Dienste im Wesentlichen dazu verleiteten, Datenverkehr weiterzuleiten, konnten sie innerhalb weniger Stunden Hunderte nachgelagerter Systeme beobachten und möglicherweise kontrollieren.
„Ein einziger bösartiger Router in der Kette reicht aus, um das gesamte System zu kompromittieren“, schrieben die Forscher und unterstrichen damit das Problem, das sie als schwächstes Glied bezeichnen.
Das deutet auf ein kaskadierendes Risiko hin, dass selbst wenn ein Benutzer seinem KI-Anbieter vertraut, die Infrastruktur dazwischen möglicherweise nicht vertrauenswürdig ist, heißt es in ihrem Papier.
Dies führe zu einem potenziellen Missverhältnis, da Branchenführer zunehmend davon ausgehen, dass KI-Agenten einen wachsenden Anteil der Kryptoaktivitäten bewältigen werden, während es der zugrunde liegenden Infrastruktur immer noch an Garantien mangelt, dass die Ergebnisse nicht manipuliert wurden, fügten sie hinzu.