Ein KI-API-Router fungiert im Standardgebrauch als Middleware-Schicht – er empfängt Anfragen von einem KI-Agenten oder einer Anwendung, leitet sie an einen oder mehrere LLM-Anbieter weiter und gibt die Antworten zurück.
Entwickler und Teams nutzen häufig Router von Drittanbietern, um API-Keys zu verwalten, die Last über verschiedene Anbieter zu verteilen oder Kosten durch den Zugriff auf günstigere Modell-Endpunkte zu senken.
Der Router befindet sich bauartbedingt in einer Position mit kompletter Einsicht in jeden Prompt, jeden Tool-Aufruf und jede Antwort, die ihn passiert.
Forscher der University of California haben eine bisher nicht dokumentierte Klasse von Angriffen auf die Infrastrukturschicht von KI-Agenten identifiziert. Sie fanden heraus, dass bösartige LLM-API-Router von Drittanbietern die Kommunikation von Agenten abfangen, Code in Tool-Aufrufe einschleusen und Krypto-Wallets leeren können – einschließlich eines dokumentierten Falls, in dem eine tatsächliche ETH-Überweisung aus der Live-Wallet eines Forschers ausgeführt wurde.
Die Ergebnisse, die im April 2026 in einem arXiv-Paper veröffentlicht und vom Team als erste systematische Analyse bösartiger Intermediär-Angriffe auf die LLM-Lieferkette bezeichnet wurden, heben eine zuvor theoretische Sorge auf die Ebene einer nachgewiesenen, messbaren Bedrohung.
Was diesen Befund strukturell bedeutsam macht, ist die Angriffsfläche, die er offenlegt – nicht Smart Contracts, nicht Fehler beim Management privater Schlüssel im herkömmlichen Sinne, sondern die Routing-Schicht, die zwischen einem KI-Agenten und dem zugrunde liegenden Sprachmodell sitzt, das er abfragt.
Da autonome KI-Agenten zunehmend in Krypto-Wallets, DeFi-Protokolle und automatisierte Trading-Workflows integriert werden, ist diese Zwischenschicht zu einer tragenden Infrastruktur geworden, die derzeit ohne nennenswerte Sicherheitsstandardisierung betrieben wird.
Wie bösartige KI-Agenten-Router funktionieren: Die Kette der Intermediär-Angriffe und was sie gegen Krypto-Wallets ausrichten können
Ein KI-API-Router fungiert im Standardgebrauch als Middleware-Schicht – er empfängt Anfragen von einem KI-Agenten oder einer Anwendung, leitet sie an einen oder mehrere LLM-Anbieter weiter und gibt die Antworten zurück.
Entwickler und Teams nutzen häufig Router von Drittanbietern, um API-Keys zu verwalten, die Last über verschiedene Anbieter zu verteilen oder Kosten durch den Zugriff auf günstigere Modell-Endpunkte zu senken. Der Router befindet sich bauartbedingt in einer Position mit kompletter Einsicht in jeden Prompt, jeden Tool-Aufruf und jede Antwort, die ihn passiert.
Ein bösartiger Router nutzt genau diese Position aus. Anstatt den Datenverkehr des Agenten transparent weiterzuleiten, kann er Krypto-Tool-Aufrufe – die strukturierten Befehle, die ein KI-Agent ausgibt, um mit externen Systemen, einschließlich Wallets, zu interagieren – inspizieren, modifizieren oder darauf antworten.
Im Framework der UC-Forscher ermöglicht dies mindestens drei aktive Angriffstypen: das Einschleusen von bösartigem Code in die Tool-Ausführungs-Pipeline eines KI-Agenten, das Sammeln von API-Zugangsdaten und privaten Schlüsseln, die in Agenten-Sitzungen übertragen oder referenziert werden, sowie den Einsatz adaptiver Umgehungslogik, die bösartiges Verhalten verzögert – in einigen dokumentierten Fällen wartet sie 50 oder mehr Aufrufzyklen ab, bevor sie aktiv wird –, um einfache Überwachungsmechanismen zu überlisten.
Die Forscher identifizierten zudem einen vierten Vektor, den sie im Kontext von Agenten als besonders gefährlich beschreiben: das Ausnutzen des „YOLO-Modus“, der autonomen Ausführungsfähigkeit in mehreren großen Agenten-Frameworks, bei der der Agent auf Tool-Aufruf-Antworten ohne menschliche Bestätigung reagiert.
Ein Router, der in diese Schleife injizieren kann, kann im Prinzip Transaktionen autorisieren, die der Benutzer nie explizit genehmigt hat. Diese Fähigkeit ist nicht theoretisch – das Team bestätigte, dass einer der getesteten Router aktiv ETH aus der Wallet eines Forschers entwendet hat.
Spezifische Ergebnisse der UC-Forscher: Ausmaß, bestätigtes bösartiges Verhalten und die epistemischen Grenzen eines arXiv-Preprints
Das Forschungsteam testete insgesamt 428 Router: 28 stammten aus bezahlten Angeboten auf Taobao, Xianyu und Shopify-Stores, und 400 wurden kostenlos über öffentliche Community-Kanäle bezogen. Von diesen wurde bei 9 Routern – 1 bezahlter, 8 kostenlose – bestätigt, dass sie aktiv bösartigen Code in Tool-Aufrufe einschleusten.
Separat griffen 17 Router auf AWS-Canary-Zugangsdaten zu, die das Team als Erkennungsfallen eingebettet hatte, und 2 setzten adaptive Ausweichtechniken ein, die speziell darauf ausgelegt waren, Verhaltensüberwachungen zu vereiteln. Mehr als 20 % der gesamten Stichprobe wiesen laut der eigenen Klassifizierung der Forscher bösartiges Verhalten oder wesentliche Risikoindikatoren auf.
Die Daten zur Offenlegung von Zugangsdaten aus den Poisoning-Experimenten des Teams sind, sofern sie korrekt sind, das folgenreichste Ergebnis des Papers. Ein geleakter OpenAI-Key, der in chinesischen Foren, auf WeChat und Telegram platziert wurde, wurde verwendet, um 100 Millionen GPT-5.4-Token und mehr als 7 autonome Codex-Sitzungen zu verarbeiten, bevor er entdeckt wurde. Ein schwächerer Köder-Zugangsdatensatz löste 2,1 Milliarden abrechenbare Token in 440 Codex-Sitzungen und 401 autonomen Sitzungen im YOLO-Modus aus, wobei insgesamt 99 Zugangsdaten offengelegt wurden.
26 LLM routers are secretly injecting malicious tool calls and stealing creds. One drained our client $500k wallet.
We also managed to poison routers to forward traffic to us. Within several hours, we can directly take over ~400 hosts.
Der Solayer-Gründer Fried_rice bezeichnete die Ergebnisse am 10. April 2026 in den sozialen Medien als Beweis für „systemische Sicherheitsanfälligkeiten“ in API-Routern von Drittanbietern – eine Beschreibung, die mit dem im Paper verwendeten Bedrohungsmodell übereinstimmt.
Es ist notwendig, direkt auf den epistemischen Status dieser Behauptungen hinzuweisen: Das Paper hat zum Zeitpunkt der Erstellung dieses Berichts noch kein formelles Peer-Review-Verfahren an einer akademischen Einrichtung abgeschlossen. Es handelt sich um ein arXiv-Preprint, und die spezifischen Zahlen – Token-Zahlen, Klassifizierungen des Router-Verhaltens, Aufstellungen der offengelegten Zugangsdaten – wurden nicht unabhängig von einer dritten Partei verifiziert.
Wir vermuten, dass die Kernergebnisse angesichts der scheinbaren Gründlichkeit der Methodik und der korreborierenden Details über mehrere berichtete Angriffstypen hinweg in der Tendenz stichhaltig sind. Dennoch sollten Extrapolationen über die Stichprobe von 428 Routern hinaus mit angemessener Vorsicht behandelt werden.
Raphael Adrian ist ein Krypto-Journalist und Analyst, der bei Coinspeaker über Krypto-News, PR-Inhalte und Marktanalysen schreibt. Hier gilt er als Lead-Autor und Experte für Kryptowährungs-Prognosen. Mit seinem journalistischen Hintergrund und seiner Spezialisierung auf Finanzen, Business und digitale Assets berichtet er seit Jahren über Blockchain-Trends, neue Projekte und Entwicklungen am Kryptomarkt.
Seine Kenntnisse in fundamentaler und technischer Analyse ermöglichen es ihm, Marktbewegungen fundiert zu bewerten, Potenziale von Projekten einzuordnen und datenbasierte Krypto-Prognosen zu erstellen. In seiner Arbeit legt er besonderen Wert auf verständliche, recherchierte Inhalte, die Leser bei fundierten Entscheidungen im Kryptomarkt unterstützen.
Wir verwenden Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen. Wenn Sie diese Website weiter nutzen, gehen wir davon aus, dass Sie damit zufrieden sind.Ok
