Ein Forscherteam der Princeton University hat in einer aktuellen Studie ein beunruhigendes Sicherheitsrisiko im Umgang mit KI-Agenten im Web3-Umfeld aufgezeigt. Im Fokus steht das Phänomen der sogenannten Kontextmanipulation: Angreifer schleusen dabei gezielt schädliche Befehle in Eingabeaufforderungen oder in den Interaktionsverlauf eines KI-Systems ein, um dessen Verhalten zu kontrollieren.
In einem praktischen Versuch gelang es den Forschern, den populären Krypto-Agenten ElizaOS zu manipulieren. Zunächst transferierte das System im Ethereum-Testnetz Sepolia 0,01 ETH an eine Wallet, die unter der Kontrolle der Angreifer stand. Doch damit nicht genug: Die Wissenschaftler konnten das Experiment erfolgreich im Ethereum-Mainnet wiederholen – diesmal mit echtem Geld. „Besorgniserregend ist, dass ElizaOS die Transaktion autorisiert und reale ETH an den Angreifer überwiesen hat“, so die Forscher.
Besonders gefährlich ist dabei die Art und Weise, wie die Manipulation erfolgt. In einem Beispiel wurde eine Speicheranweisung über Discord injiziert. Obwohl ElizaOS nur auf die scheinbar harmlose letzte Zeile der Nachricht reagierte, blieben die schädlichen Instruktionen im geteilten Speicher erhalten. Als der Angreifer den Agenten später über X anwies, ETH zu versenden, griff dieser auf den zuvor manipulierten Verlauf zu – und führte die Überweisung wie befohlen aus.
Die Forscher warnen eindringlich: Solche Angriffe könnten künftig nicht nur Finanzmittel gefährden, sondern auch grundlegende Protokolle im Web3 unterlaufen – mit potenziell gravierenden Folgen für die Sicherheit dezentraler Systeme.
Die zunehmende Integration autonomer KI-Agenten in Web3-Ökosysteme eröffnet neue Möglichkeiten für Effizienz und Automatisierung in dezentralen Finanzsystemen. Gleichzeitig rücken damit auch bislang wenig beleuchtete Angriffsflächen in den Fokus. Insbesondere die Fähigkeit dieser Agenten, dynamisch mit Finanzprotokollen und nicht veränderbaren Smart Contracts zu interagieren, birgt erhebliche sicherheitstechnische Herausforderungen.
In einer aktuellen Untersuchung analysieren wir die Verwundbarkeit solcher Systeme gegenüber Kontextmanipulation – einem umfassenden Angriffsvektor, der ungeschützte Kontextflächen wie Eingabeoberflächen, Speichermodule und externe Datenfeeds gezielt ausnutzt. Anhand des Frameworks ElizaOS, einem dezentralen KI-Agenten für automatisierte Web3-Operationen, demonstrieren wir, wie durch die Injektion bösartiger Instruktionen in Eingabesequenzen oder historische Interaktionsverläufe unbeabsichtigte Asset-Transfers und Verstöße gegen Protokollrichtlinien ausgelöst werden können.
Zur quantitativen Bewertung dieser Schwachstellen wurde CrAIBench entwickelt – ein spezialisierter Benchmark zur Messung der Resilienz von KI-Agenten gegenüber Kontextmanipulationsangriffen. Der Benchmark umfasst über 150 realitätsnahe Blockchain-Aufgaben – darunter Token-Transfers, dezentrale Handelsprozesse, Brückenprotokolle und kettenübergreifende Operationen – sowie mehr als 500 gezielte Angriffsszenarien.
Unsere systematische Evaluation unterschiedlicher Angriffs- und Abwehrstrategien zeigt, dass rein promptbasierte Verteidigungsmechanismen nicht ausreichen, insbesondere wenn persistente Speicherbereiche kompromittiert werden. Feinabstimmungsbasierte Schutzmaßnahmen hingegen erweisen sich als signifikant robuster: Sie senken die Angriffserfolgsraten deutlich, ohne die Performance bei einfachen Ausführungsaufgaben wesentlich zu beeinträchtigen.
Diese Ergebnisse unterstreichen die dringende Notwendigkeit, Sicherheitsmechanismen zu entwickeln, die speziell auf den Einsatz autonomer KI-Agenten in hochdynamischen, dezentralen Finanzumgebungen zugeschnitten sind. Nur so kann langfristig sichergestellt werden, dass diese Systeme sowohl funktional als auch vertrauenswürdig bleiben.
Quelle: Echte KI-Agenten mit vorgetäuschten Erinnerungen
Abbildung: Plattformübergreifende Speichereingabe. Seite A zeigt, wie eine Speichereingabe durchgeführt wird. Die Angreiferin Melissa führt eine Speichereingabe auf Discord durch (Schritt 1). Beachten Sie, dass ElizaOS nur auf die letzte Zeile der Eingabe reagiert, bei der es sich um eine normale Abfrage handelt (Schritt 2), aber die gesamte Eingabeaufforderung – einschließlich der bösartigen Anweisungen – im Speicher gespeichert wird (Schritt 3). Seite B zeigt ein erfolgreiches Angriffsbeispiel mit dem eingefügten Speicher. Ein Benutzer, Bob, verwendet ElizaOS für ETH-Transfers auf X (Schritt 4). Da der Speicher jedoch von allen Anwendungen gemeinsam genutzt wird, enthält der abgerufene Verlauf die bösartigen Anweisungen (Schritt 5). Infolgedessen sendet ElizaOS ETH an die injizierte Adresse (Schritt 6).
Zwischen Autonomie und Risiko: Wie sicher sind KI-Agenten im DeFi-Ökosystem?
KI-Agenten gelten als nächste Evolutionsstufe autonomer Systeme: Sie können ihre Umgebung wahrnehmen, analysieren, planen und selbstständig Handlungen ausführen – stets mit dem Ziel, definierte Aufgaben im Sinne ihrer Nutzer zu erfüllen. Angetrieben durch den rasanten Fortschritt großer Sprachmodelle (LLMs) haben diese Agenten in den letzten Jahren ein bemerkenswertes Maß an Flexibilität und Anpassungsfähigkeit erreicht. Ihre Integration in Blockchain-Anwendungen, insbesondere im Bereich der dezentralen Finanzwirtschaft (DeFi), erweitert ihr Einsatzspektrum erheblich.
Die transparente und offene Struktur der Blockchain ermöglicht es KI-Agenten, direkt mit digitalen Vermögenswerten, Protokollen und Datenquellen zu interagieren. Ein prominentes Beispiel ist ElizaOS, ein von der AI16zDAO entwickeltes Framework, mit dem sich KI-Agenten konfigurieren lassen, die etwa in Kryptowährungen investieren, Social-Media-Aktivitäten automatisieren oder Marktdaten analysieren. Laut den Entwicklern verwalten ElizaOS-Bots derzeit digitale Assets im Wert von über 25 Millionen US-Dollar. Bekannte Projekte wie Marc Aindreessen oder DegenSpartanAI demonstrieren auf X (ehemals Twitter), wie diese Agenten komplexe Persönlichkeitsmuster imitieren, Informationen auswerten und daraus autonome Investitionsentscheidungen ableiten.
Doch mit der wachsenden Autonomie stellt sich eine zentrale Frage: Wie sicher sind diese Agenten in sensiblen Finanzinteraktionen?
Die Studie zeigt auf, dass böswillige Akteure gezielt Schwachstellen ausnutzen können, um KI-Agenten zu manipulieren – etwa um nicht autorisierte Transaktionen auszulösen, Token an kompromittierte Wallets zu übertragen oder mit schädlichen Smart Contracts zu interagieren. Während bisherige Arbeiten sich vorrangig auf Sicherheitslücken in LLMs oder auf webbasierte KI-Agenten konzentrierten, wurde das Risikopotenzial von KI-Systemen im Kontext von Blockchain und DeFi bislang kaum adressiert. Ein Versäumnis, das angesichts der Unumkehrbarkeit von Blockchain-Transaktionen besonders kritisch ist: Selbst kleinste Schwachstellen können hier zu sofortigen und irreversiblen Verlusten führen.
Im Rahmen der Untersuchung demonstrieren die Forscher praxisnahe Angriffe auf bekannte Agentenbibliotheken wie ElizaOS auf der Ethereum-Blockchain. Sie zeigen auf, dass viele dieser Systeme erheblichen, bislang unterschätzten Bedrohungen ausgesetzt sind – und dass finanzielle Ausbeutung durch Kontextmanipulation mit geringem Aufwand möglich ist.
Besonders alarmierend: Gängige Schutzmechanismen wie promptbasierte Sicherheitsabfragen erwiesen sich in der Analyse als weitgehend wirkungslos. Um dieser Problematik zu begegnen, entwickelten die Autoren einen spezifischen Benchmark, der realistische Einsatzszenarien simuliert und damit eine systematische Bewertung der Sicherheitslage von KI-Agenten im Web3-Kontext ermöglicht.
Die Ergebnisse verdeutlichen: Ohne gezielte Schutzmaßnahmen bleiben KI-Agenten im DeFi-Sektor (dezentrale Finanzwesen) ein offenes Einfallstor für Angreifer – mit potenziell verheerenden Folgen für Nutzer und Protokolle gleichermaßen.
Kontextmanipulation: Neue Angriffsform offenbart tiefgreifende Schwachstellen in KI-Agenten
In ihrer aktuellen Studie präsentieren die Forscher mehrere zentrale Beiträge, die das Sicherheitsverständnis autonomer KI-Agenten im Web3-Umfeld wesentlich erweitern:
Ein neuer Angriffsvektor: Kontextmanipulation
Die Studie führt mit der Kontextmanipulation einen bislang nicht systematisch beschriebenen Angriffsvektor ein. Dieser greift auf sämtliche Kontextoberflächen eines KI-Agenten-Frameworks zu – darunter Eingabekanäle, Speicher und externe Datenquellen – und stellt damit eine verallgemeinerte Form bisher bekannter Methoden wie direkte und indirekte Prompt-Injection dar. Besonders kritisch: Die Autoren decken eine neue Form der Bedrohung auf – Memory-Injection-Angriffe. Diese nutzen den gemeinsam genutzten Speicherbereich von Agenten, um tiefgreifende Manipulationen vorzunehmen, die sich über Plattformgrenzen hinweg ausbreiten können.
Empirische Tests auf ElizaOS
Die Wirksamkeit dieser Angriffe wurde durch umfassende Experimente mit dem dezentralen Agenten-Framework ElizaOS bestätigt. Die Untersuchungen zeigen: Bereits heute lassen sich durch gezielte Prompt- und Memory-Injections unautorisierte Krypto-Transfers auslösen. Besonders alarmierend ist dabei die Erkenntnis, dass selbst moderne, promptbasierte Sicherheitsmechanismen keinen ausreichenden Schutz vor persistenten Memory-Injections bieten. Diese Angriffe können über längere Zeiträume hinweg aktiv bleiben und sich über verschiedene Interaktionen und Plattformen hinweg übertragen – eine potenziell systemische Schwachstelle.
CrAIBench: Ein praxisnaher Benchmark für Sicherheitsanalysen
Zur quantitativen Bewertung dieser Risiken entwickelten die Forscher CrAIBench (ausgesprochen: Cry-Bench), einen realitätsnahen Benchmark für kryptospezifische KI-Agenten. Jeder im Benchmark simulierte Angriff ist dabei so konzipiert, dass er reale finanzielle Auswirkungen haben könnte. Die Tests zeigen deutlich: Speicherbasierte Manipulationen sind wesentlich schwerer abzuwehren als klassische Prompt-Angriffe – auch mit fortschrittlichen Argumentations- oder Ausrichtungsmodellen.
Übertragbarkeit auf andere KI-Systeme
Die Studie beschränkt sich nicht auf DeFi- oder Blockchain-Anwendungen. Um die Allgemeingültigkeit des Angriffsvektors zu belegen, wenden die Autoren ihre Methode auch auf webbasierte Navigationsagenten an. Das Ergebnis: Auch dort lassen sich durch gezielte Kontextmanipulationen sensible Nutzerinformationen extrahieren – ein Hinweis darauf, dass das Problem nicht auf einzelne Plattformen oder Anwendungsbereiche begrenzt ist, sondern ein grundlegendes Architekturproblem autonomer KI-Systeme darstellt.
Redaktion AllAboutSecurity
Thema interessant? Hier weiterlesen.
Fachartikel
ETH-Forschende entdecken neue Sicherheitslücke in Intel-Prozessoren
Sicherheitskontrollen im Wandel: Warum kontinuierliche Optimierung zur proaktiven Abwehr und einem stabilen Sicherheitsmanagement gehört
Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich
Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife
Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal
Studien
Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld
Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs
Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart
IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran
Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper
TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor
Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen
Wie die Datenverwaltung Wachstum und Compliance fördert
Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025
Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Hamsterrad-Rebell
Insider – die verdrängte Gefahr
Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken
Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht
Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
