- Proof-of-Concept deckt branchenweite Risiken auf
- Wichtige Empfehlungen für Entwickler
- Auswirkungen für Nutzer und Plattformen
Forscher bei CertiK haben Bedenken hinsichtlich der Sicherheit aufkommender KI-Agenten-Ökosysteme geäußert und argumentieren, dass die aktuellen Marktplatz-Überprüfungssysteme nicht ausreichen, um bösartiges Verhalten zu verhindern.
In einer aktuellen Studie zeigte das Team, wie ein kompromittierter Drittanbieter-“Skill” auf der OpenClaw-Plattform bestehende Schutzmaßnahmen umgehen und beliebige Befehle auf einem Host-System ausführen kann. Die Ergebnisse heben Schwachstellen in der Art und Weise hervor, wie KI-Agenten-Marktplätze externen Code prüfen und bereitstellen.
Die Forschung konzentrierte sich auf den Überprüfungsprozess von Clawhub, der statische Code-Analysen, Checks via VirusTotal und KI-basierte Moderationstools umfasst.
HOT Stories
Rich Dad Poor Dad Autor: Bitcoin auf 750.000 $ steigen
Krypto-Marktübersicht: XRP bereit für den Anstieg auf 1,70 $, Ethereum (ETH) im Bullenmodus, ist Shiba Inu (SHIB) endlich im Bullenmarkt?
Laut CertiK können diese Mechanismen durch relativ kleine Code-Änderungen umgangen werden. Durch leichte Anpassungen der Logik oder Umstrukturierung von Schwachstellen kann ein bösartiger Skill während der Installation harmlos erscheinen, während er nach der Bereitstellung schädliche Aktionen ausführen kann.
Dies schafft ein falsches Sicherheitsgefühl bei den Nutzern, da die Genehmigung durch Marktplatz-Überprüfungssysteme nicht garantiert, dass ein Skill sicher ist.
Proof-of-Concept deckt branchenweite Risiken auf
Der Proof-of-Concept-Angriff unterstreicht ein größeres Problem in KI-Agenten-Ökosystemen: Sicherheitsmodelle, die stark auf Vorab-Überprüfungen setzen, anstatt auf Laufzeitschutz.
Ohne Schutzmaßnahmen wie Sandboxing, strenge Berechtigungssteuerung und Laufzeitisolierung tragen Plattformen effektiv zu viel Verantwortung an Erkennungssysteme ab, die nicht für komplexe, sich entwickelnde Bedrohungen ausgelegt sind.
Die Ergebnisse deuten darauf hin, dass mit der Expansion der KI-Agenten-Marktplätze das Risiko steigt, dass bösartige oder kompromittierte Skills in Produktionsumgebungen gelangen.
CertiK-Forscher argumentieren, dass die Branche ihre Herangehensweise an die Sicherheit von KI-Agenten überdenken muss, indem sie Laufzeitkontainment gegenüber Erkennung priorisiert.
Anstatt anzunehmen, dass bösartiger Code vor der Bereitstellung erkannt werden kann, sollten Plattformen so gestaltet werden, dass sie davon ausgehen, dass einige Bedrohungen unweigerlich die Überprüfungsprozesse umgehen. In diesem Modell verschiebt sich der Fokus von der Verhinderung jedes einzelnen Verstoßes auf die Minimierung des Schadens, den ein solcher Verstoß verursachen kann.
Dies stellt einen breiteren Übergang von einer „perfekten Erkennung“ hin zu einem Fokus auf Schadensbegrenzung und Systemresilienz dar.
Wichtige Empfehlungen für Entwickler
Um diese Risiken anzugehen, skizziert CertiK mehrere Maßnahmen für Entwickler, die KI-Agenten-Plattformen bauen.
Sandboxing sollte zum Standard-Ausführungsmodell für Drittanbieter-Skills werden, um sicherzustellen, dass externer Code in isolierten Umgebungen läuft und nicht direkt mit dem Host-System interagiert.
Zudem sollten Plattformen granulare, pro-Skill Berechtigungsrahmen implementieren. Jeder Skill sollte explizit die Ressourcen deklarieren, die er benötigt, wobei die Laufzeit diese Berechtigungen während der Ausführung durchsetzt. Dieser Ansatz begrenzt die potenziellen Auswirkungen kompromittierter oder bösartiger Komponenten.
Die Forscher betonen außerdem, dass Drittanbieter-Skills kein breites, implizites Vertrauen vom Host-System erben sollten, da dies das Risiko einer Ausnutzung erheblich erhöht.
Auswirkungen für Nutzer und Plattformen
Für Nutzer hebt der Bericht eine wichtige Einschränkung hervor: Ein „harmlos“ etikettierter Skill in einem Marktplatz bedeutet nicht, dass er tatsächlich sicher ist. Es zeigt lediglich an, dass die bestehende Überprüfungspipeline keine Bedrohung erkannt hat.
Bis stärkere Laufzeitschutzmaßnahmen weit verbreitet sind, sind Plattformen wie OpenClaw möglicherweise besser für Umgebungen geeignet, die kein sensibles Daten, keine Zugangsdaten oder hochpreisige Assets enthalten.
Im weiteren Sinne weist die Forschung auf ein strukturelles Problem in KI-Ökosystemen hin. Während Überprüfungsprozesse helfen können, offensichtliche Bedrohungen zu erkennen, können sie nicht als primärer Schutzmechanismus für Systeme dienen, die Drittanbieter-Code mit erweiterten Rechten ausführen.
CertiK schlussfolgert, dass bedeutende Sicherheitsverbesserungen eine Neugestaltung der KI-Agenten-Plattformen erfordern.
Anstatt sich auf immer komplexere Erkennungssysteme zu verlassen, müssen Entwickler Umgebungen schaffen, die Fehler als möglich ansehen und sicherstellen, dass jeder Verstoß eingedämmt wird. Dazu gehören stärkere Isolationsverfahren, die Durchsetzung strenger Berechtigungen und die Behandlung der Laufzeitsicherheit als zentrale Schutzschicht.
Da KI-gesteuerte Anwendungen zunehmend komplexer werden und sich verbreiten, könnte die Fähigkeit, Risiken zur Laufzeit einzudämmen, zum entscheidenden Faktor für die Sicherheit der nächsten Generation digitaler Ökosysteme werden.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
