Wie b\u00f6sartige KI-Agenten-Router funktionieren: Die Kette der Intermedi\u00e4r-Angriffe und was sie gegen Krypto-Wallets ausrichten k\u00f6nnen<\/h2>\n
Ein KI-API-Router fungiert im Standardgebrauch als Middleware-Schicht \u2013 er empf\u00e4ngt Anfragen von einem KI-Agenten oder einer Anwendung, leitet sie an einen oder mehrere LLM-Anbieter weiter und gibt die Antworten zur\u00fcck.<\/p>\n
Entwickler und Teams nutzen h\u00e4ufig Router von Drittanbietern, um API-Keys zu verwalten, die Last \u00fcber verschiedene Anbieter zu verteilen oder Kosten durch den Zugriff auf g\u00fcnstigere Modell-Endpunkte zu senken. Der Router befindet sich bauartbedingt in einer Position mit kompletter Einsicht in jeden Prompt, jeden Tool-Aufruf und jede Antwort, die ihn passiert.<\/p>\n
Ein b\u00f6sartiger Router nutzt genau diese Position aus. Anstatt den Datenverkehr des Agenten transparent weiterzuleiten, kann er Krypto-Tool-Aufrufe \u2013 die strukturierten Befehle, die ein KI-Agent ausgibt, um mit externen Systemen, einschlie\u00dflich Wallets, zu interagieren \u2013 inspizieren, modifizieren oder darauf antworten.<\/p>\n
![\"\"](\"https:\/\/www.coinspeaker.com\/wp-content\/uploads\/2026\/04\/photo_2026-04-13_13-29-13.jpg\")
<\/p>\n
Quelle: Arxiv<\/a><\/p>\n<\/div>\n Im Framework der UC-Forscher erm\u00f6glicht dies mindestens drei aktive Angriffstypen: das Einschleusen von b\u00f6sartigem Code in die Tool-Ausf\u00fchrungs-Pipeline eines KI-Agenten, das Sammeln von API-Zugangsdaten und privaten Schl\u00fcsseln, die in Agenten-Sitzungen \u00fcbertragen oder referenziert werden, sowie den Einsatz adaptiver Umgehungslogik, die b\u00f6sartiges Verhalten verz\u00f6gert \u2013 in einigen dokumentierten F\u00e4llen wartet sie 50 oder mehr Aufrufzyklen ab, bevor sie aktiv wird \u2013, um einfache \u00dcberwachungsmechanismen zu \u00fcberlisten.<\/p>\n Die Forscher identifizierten zudem einen vierten Vektor, den sie im Kontext von Agenten als besonders gef\u00e4hrlich beschreiben: das Ausnutzen des \u201eYOLO-Modus\u201c, der autonomen Ausf\u00fchrungsf\u00e4higkeit in mehreren gro\u00dfen Agenten-Frameworks, bei der der Agent auf Tool-Aufruf-Antworten ohne menschliche Best\u00e4tigung reagiert.<\/p>\n Ein Router, der in diese Schleife injizieren kann, kann im Prinzip Transaktionen autorisieren, die der Benutzer nie explizit genehmigt hat. Diese F\u00e4higkeit ist nicht theoretisch \u2013 das Team best\u00e4tigte, dass einer der getesteten Router aktiv ETH aus der Wallet eines Forschers entwendet hat.<\/p>\n Das Forschungsteam testete insgesamt 428 Router: 28 stammten aus bezahlten Angeboten auf Taobao, Xianyu und Shopify-Stores, und 400 wurden kostenlos \u00fcber \u00f6ffentliche Community-Kan\u00e4le bezogen. Von diesen wurde bei 9 Routern \u2013 1 bezahlter, 8 kostenlose \u2013 best\u00e4tigt, dass sie aktiv b\u00f6sartigen Code in Tool-Aufrufe einschleusten.<\/p>\n Separat griffen 17 Router auf AWS-Canary-Zugangsdaten zu, die das Team als Erkennungsfallen eingebettet hatte, und 2 setzten adaptive Ausweichtechniken ein, die speziell darauf ausgelegt waren, Verhaltens\u00fcberwachungen zu vereiteln. Mehr als 20 % der gesamten Stichprobe wiesen laut der eigenen Klassifizierung der Forscher b\u00f6sartiges Verhalten oder wesentliche Risikoindikatoren auf.<\/p>\n Die Daten zur Offenlegung von Zugangsdaten aus den Poisoning-Experimenten des Teams sind, sofern sie korrekt sind, das folgenreichste Ergebnis des Papers. Ein geleakter OpenAI-Key, der in chinesischen Foren, auf WeChat und Telegram platziert wurde, wurde verwendet, um 100 Millionen GPT-5.4-Token und mehr als 7 autonome Codex-Sitzungen zu verarbeiten, bevor er entdeckt wurde. Ein schw\u00e4cherer K\u00f6der-Zugangsdatensatz l\u00f6ste 2,1 Milliarden abrechenbare Token in 440 Codex-Sitzungen und 401 autonomen Sitzungen im YOLO-Modus aus, wobei insgesamt 99 Zugangsdaten offengelegt wurden.<\/p>\n 26 LLM routers are secretly injecting malicious tool calls and stealing creds. One drained our client $500k wallet.<\/p>\n We also managed to poison routers to forward traffic to us. Within several hours, we can directly take over ~400 hosts.<\/p>\n Check our paper: https:\/\/t.co\/zyWz25CDpl<\/a> pic.twitter.com\/PlhmOYz2ec<\/a><\/p>\n \u2014 Chaofan Shou (@Fried_rice) April 10, 2026<\/a><\/p><\/blockquote>\n Der Solayer-Gr\u00fcnder Fried_rice bezeichnete die Ergebnisse am 10. April 2026 in den sozialen Medien als Beweis f\u00fcr \u201esystemische Sicherheitsanf\u00e4lligkeiten\u201c in API-Routern von Drittanbietern \u2013 eine Beschreibung, die mit dem im Paper verwendeten Bedrohungsmodell \u00fcbereinstimmt.<\/p>\n Es ist notwendig, direkt auf den epistemischen Status dieser Behauptungen hinzuweisen: Das Paper hat zum Zeitpunkt der Erstellung dieses Berichts noch kein formelles Peer-Review-Verfahren an einer akademischen Einrichtung abgeschlossen. Es handelt sich um ein arXiv-Preprint, und die spezifischen Zahlen \u2013 Token-Zahlen, Klassifizierungen des Router-Verhaltens, Aufstellungen der offengelegten Zugangsdaten \u2013 wurden nicht unabh\u00e4ngig von einer dritten Partei verifiziert.<\/p>\n Wir vermuten, dass die Kernergebnisse angesichts der scheinbaren Gr\u00fcndlichkeit der Methodik und der korreborierenden Details \u00fcber mehrere berichtete Angriffstypen hinweg in der Tendenz stichhaltig sind. Dennoch sollten Extrapolationen \u00fcber die Stichprobe von 428 Routern hinaus mit angemessener Vorsicht behandelt werden.<\/p>\n ERKUNDEN SIE: Beste Meme Coins im Blick <\/a><\/strong><\/p>\nSpezifische Ergebnisse der UC-Forscher: Ausma\u00df, best\u00e4tigtes b\u00f6sartiges Verhalten und die epistemischen Grenzen eines arXiv-Preprints<\/h2>\n
\n