KI-gestützte Handelsagenten und ihre Risiken
KI-Handelsagenten übernehmen mittlerweile einen wachsenden Anteil am Krypto-Orderfluss mit wenig bis gar keiner menschlichen Kontrolle – doch die Sicherheitsvorkehrungen sind nicht mit dieser Entwicklung Schritt gehalten. Dies führt zu einer neuen Form von Marktrisiko, das sowohl die Sicherheit individueller Konten als auch das kollektive Verhalten autonomer Systeme in großem Maßstab betrifft.
Der Aufstieg von KI im Krypto-Handel
Der Einsatz von KI im Krypto-Handel hat im vergangenen Jahr einen Wendepunkt erreicht. Frühe Bots folgten einfachen, festen Regeln für Kauf und Verkauf. Moderne Agenten hingegen verarbeiten Nachrichten, soziale Stimmungen und On-Chain-Daten in Echtzeit, und wandeln diese Signale fast ohne menschliche Aufsicht in tatsächliche Trades um.
Sobald sie funktionieren, sind die Vorteile offensichtlich: Märkte rund um die Uhr überwachen, schnell auf sich ändernde Bedingungen reagieren und Regeln konsistent ohne emotionale Vorurteile durchsetzen. Dies macht sie besonders attraktiv für Institutionen, nicht nur als Handelswerkzeuge, sondern auch, um die Marktabdeckung zu erweitern und die Ausführung zu standardisieren, ohne große Handelsplätze aufbauen zu müssen.
Das Problem liegt jedoch darin, dass die Sicherheitsvorkehrungen um diese Systeme nicht mit der Adoption Schritt gehalten haben. Für individuelle Nutzer können schwache Berechtigungen und mangelhafte Aufsicht schnell zu schmerzhaften Verlusten führen. In großem Maßstab besteht die größte Gefahr darin, dass viele Agenten gleichzeitig auf dieselben fehlerhaften oder irreführenden Signale reagieren, in dieselben Trades herden und somit die Marktintegrität gefährden.
Das Problem beginnt mit den Berechtigungen
Viele Trader verstehen nicht vollständig, was sie einem Agenten erlaubt haben. Auf zentralisierten Börsen beginnt diese Exposition meist mit API-Schlüsseln.
Wird der Schlüssel konservativ konfiguriert, erlaubt er lediglich die Durchführung von Trades und sonst nichts weiter. Lockere Konfigurationen können jedoch Rückzugsrechte oder umfassenderen Kontozugriff gewähren, den der Agent nicht benötigt. Die 3Commas-Datenpannen in den Jahren 2022 und 2023 sind deutliche Beispiele dafür, was passiert, wenn dies schiefgeht: Rund 100.000 Nutzer-API-Keys wurden exponiert, was zu Verlusten von über 20 Millionen Dollar führte, wobei viele von ihnen großzügiger konfiguriert waren als die Bots benötigten.
Es ist ein wichtiger erster Schritt, einen Agenten nur auf Handelszugriff zu beschränken und Rückzüge zu deaktivieren, aber das löst nur einen Teil des Problems. Ein Agent mit Ausführungsrechten kann dennoch durch fehlerhafte Trades Werte zunichte machen. Ein Angreifer benötigt keinen Zugriff auf Rückzüge, wenn er manipulieren kann, was der Agent sieht oder wie er sich verhält. Sicherheitsforschung von SlowMist hat gezeigt, wie böswillige Anweisungen in Datenfeeds, Discord-Kanälen oder Drittanbieter-APIs eingebaut werden können, um in den gespeicherten Kontext zu gelangen und das Trading über mehrere Sitzungen hinweg zu beeinflussen. Plugins und Erweiterungen schaffen eine ähnliche Exposition, indem sie erweitern, was der Agent tun kann – und was ein Angreifer erreichen kann, falls diese Komponenten kompromittiert werden. Diese Angriffe können dazu führen, dass ein Agent in den falschen Markt, die falsche Ordergröße oder die falsche Handelsseite gedrängt wird, was einem Gegner ermöglicht, Gelder durch Trades statt durch direkte Rückzüge zu stehlen.
Der Agent muss nicht einmal angegriffen werden, um ernsthaften Schaden anzurichten. Ohne Positionslimits, Drawdown-Schwellen oder einen Kill-Switch kann ein Modell, das ein Signal falsch interpretiert, Rauschen als Überzeugung deuten oder in schlechten Bedingungen tradet, erhebliche Schäden allein anrichten.
Auf DeFi-Plattformen ist die Exposition noch direkter. Agenten halten typischerweise private Schlüssel oder Sitzungsermächtigungen ohne einen Intermediär, der die Berechtigung verwaltet, sodass ein kompromittierter Schlüssel oder eine schlecht definierte Ermächtigung innerhalb von Sekunden geleert werden kann und die resultierenden Transaktionen nicht rückgängig gemacht werden können.
In all diesen Fällen besteht der zugrunde liegende Fehler darin, einem System, dessen Berechtigungen, Einschränkungen und Betriebsgrenzen nie richtig definiert wurden, den Zugang zu den Live-Märkten zu ermöglichen.
Wie KI-Agenten Marktrisiken schaffen
Das größere Risiko ergibt sich nicht aus einem falsch konfigurierten Agenten, sondern weil KI-Agenten zunehmend auf dieselben Eingaben zugreifen, auf ähnlichen Daten trainiert werden und somit ähnliche Verhaltensweisen an den Tag legen.
Wenn eine große Gruppe von Agenten dasselbe Signal sieht und zur gleichen Zeit reagiert – auch ohne miteinander zu sprechen – können sie den Markt gemeinsam bewegen. Forschungen über homogene Deep Learning in Finanzmärkten, die von dem ehemaligen SEC-Vorsitzenden Gary Gensler durchgeführt wurden, haben gezeigt, wie Wettbewerbskräfte dazu neigen, Entwickler zu ähnlichen Architekturen und damit verbunden zu ähnlichen Fehlerquellen zu drängen.
Krypto-Märkte haben bereits gezeigt, wie diese Art der Konzentration den Stress bei schwindender Liquidität verstärkt. Der Flash Crash im Oktober 2025, das größte Liquidationsereignis in der Geschichte der Krypto, führte zu $19,3 Milliarden an erzwungenen Liquidationen über rund 1,6 Millionen Konten, wobei Bitcoin 14% seines Wertes verlor, bevor es sich innerhalb einer Stunde erholte. Die direkten Ursachen werden noch diskutiert, und es gibt keine öffentlichen Beweise dafür, dass das Ereignis speziell mit KI-Agenten in Verbindung steht, aber es verdeutlicht die Struktur, in die diese Systeme implementiert werden, wo automatisierte Liquidations-Engines, Hebel und Cross-Margin-Systeme interagieren können, um eine lokale Preisbewegung in etwas viel Größeres zu verwandeln. Was diese Aussicht besorgniserregender macht, ist, dass das Herdenverhalten dahinter keine böswillige Absicht erfordert – noch irgendeine Absicht.
Studie aus dem Jahr 2025 von Wharton und HKUST legt nahe, dass das Problem tiefer liegen könnte. Forscher setzten KI-Handelsagenten in simulierte Märkte ein und fanden heraus, dass sie sich wie ein Kartell verhielten – kollektiv aggressives Trading reduzierend, um gemeinsame Gewinne zu schützen – obwohl sie nicht darauf ausgelegt waren, zusammenzuarbeiten.
Das deutet auf einen breiteren Bedarf hin, als nur strengere Kontrollen auf der Nutzerebene. Wenn agentisches Trading sicher skaliert werden soll, müssen die Märkte mehr Variation in der Konstruktion dieser Systeme und stärkere Limits für ihr Verhalten unter Stress bieten.
Praktische Schritte zur Risikominderung
Für Benutzer ist der erste Verteidigungsmechanismus die Einschränkung von Berechtigungen. API-Schlüssel sollten auf Handelszugriff beschränkt werden, wobei Rückzugsrechte entfernt und IP-Whitelistungen aktiviert werden, wo immer die Plattform dies erlaubt. Schlüssel sollten regelmäßig gewechselt und alte Berechtigungen sowohl von der Börse als auch aus der Datenbank des Agenten gelöscht werden. Bitfinex beispielsweise bietet granulare API-Schlüsselberechtigungen, die separat auf Handels-, Lese- und Rückzugsfunktionen festgelegt sind, zusammen mit IP-Whitelistungen für bis zu 20 Adressen pro Schlüssel.
Doch strenge Berechtigungen lösen nur einen Teil des Problems. Sie bestimmen nicht, was der Agent handeln kann, wie viel Risiko er eingehen kann oder wann er aufhören sollte. Diese Grenzen müssen auf Agentenebene durchgesetzt werden. Ein Agent mit Ausführungsrechten braucht strenge Regeln hinsichtlich der Börsen und Paare, die er angreifen darf, wobei Assets mit geringer Marktkapitalisierung und wenig gehandelte Werte ausgeschlossen werden sollten. Darüber hinaus benötigt er ein festes Limit für sein Verhalten: eine Drawdown-Schwelle, einen Kill-Switch, der die Aktivität nach abnormalen Verlusten pausiert, und eine Obergrenze für die Handelsaktivität in einer einzelnen Sitzung. Diese Kontrollen lassen die Nutzer oft außer Acht, wenn es darum geht, den Agenten zum Laufen zu bringen, und sie sind oft der Unterschied zwischen einem eingegrenzten Vorfall und einem geleerten Wallet.
Die schwierigste Schicht zu überwachen ist die, die die meisten Betreiber nie betrachten. Speicherprotokolle sollten regelmäßig auf Einträge überprüft werden, die der Agent nicht plausibel aus gewöhnlichem Handel hätte erhalten können. Plugins oder Erweiterungen sollten inventarisiert werden, wobei Betreiber angeben können, woher sie stammen und was ihnen erlaubt ist. Adversäre Eingaben überdauern in dieser Schicht über Sitzungen hinweg, genau weil niemand sie liest.
Ein nützliches Werkzeug – aber nur wenn richtig eingeschränkt
KI-Handelsagenten sind nicht von Natur aus eine Sicherheitsrisiko. Bei richtiger Einschränkung setzen sie Regeln konsequent durch, ignorieren kurzfristigen Lärm und agieren ununterbrochen auf eine Weise, die Menschen nicht können. Ein Großteil der Gefahr liegt in der Diskrepanz zwischen dem, was diese Systeme können, und dem, was individuelle Nutzer tatsächlich konfiguriert haben.
Für einzelne Trader bedeutet dies, einen Agenten als Zugang zu den Live-Märkten zu betrachten, den man einem autonomen System übergibt, und nicht als Software, die leise im Hintergrund läuft. Für den Markt bedeutet es, zu erkennen, dass das Problem nicht mit Kontrollen auf der Nutzerebene endet. Wenn große Zahl von Agenten auf ähnlichen Annahmen basierend, auf ähnlichen Daten trainiert werden und sich unter Stress ähnlich verhalten dürfen, resultiert dies in einer fragileren Handelsumgebung. Damit agentisches Trading resilienter wird, sind möglicherweise stärkere Beschränkungen und größere Variationen erforderlich als derzeit vorhanden.
Es besteht kein Zweifel daran, dass die Technologie nützlich ist. Ob sie eine zuverlässige Marktinfrastruktur wird, hängt weniger von den Agenten selbst ab, sondern von der Disziplin, der Vielfalt und den Sicherheitsvorkehrungen rund um ihre Nutzung.
