Vitalik Buterin warnt: KI-Agenten können Daten stehlen und Einstellungen ohne Wissen des Nutzers ändern.

Ethereum Mitbegründer Vitalik Buterin hat davor gewarnt, dass moderne KI-Systeme ernsthafte Risiken für Datenschutz und Sicherheit bergen, und hat einen Wandel hin zu einer lokal ausgerichteten KI-Infrastruktur gefordert. 

Kurz und ausführlichen BlogeintragButerin sagte, dass cloudbasierte KI-Tools externen Servern Zugriff auf sensible Benutzerdaten ermöglichen und dass neuere KI-Agentensysteme Aktionen ohne Bestätigung des Benutzers durchführen können, einschließlich der Änderung von Systemeinstellungen und des Sendens von Daten an externe Server ohne jegliche sichtbare Benachrichtigung des Benutzers.

Vor welchen Sicherheitsrisiken warnt Buterin?

Buterins Bedenken gehen über den allgemeinen Datenschutz hinaus. Er identifizierte spezifische, dokumentierte Risiken, die mit der Funktionsweise von KI-Systemen in der Praxis verbunden sind.

Sicherheitsforscher haben bereits mehrere dieser Schwachstellen unter realen Bedingungen demonstriert:

• Ein KI-Agent wurde angewiesen, Webseiten zusammenzufassen, von denen eine schädlich war. Die Seite wies den Agenten an, ein Shell-Skript herunterzuladen und auszuführen, wodurch ein Dritter die Kontrolle über das System erlangte.
• Es wurde festgestellt, dass einige Agenten-Tools im Hintergrund Netzwerkanfragen ausführten, die Benutzerdaten an externe Server sendeten, ohne den Benutzer zu benachrichtigen.
• Etwa 15 % der von Forschern überprüften Agentenfähigkeiten enthielten bösartige Anweisungen.

Buterin wies auch auf schwerer erkennbare Risiken hin. Manche Modelle könnten versteckte Hintertüren enthalten, also in ein Modell integrierte Funktionen, die unter bestimmten Bedingungen aktiviert werden und dazu führen, dass das System im Interesse des Entwicklers und nicht im Interesse des Nutzers handelt. 

Er merkte außerdem an, dass die meisten als Open Source bezeichneten Modelle tatsächlich nur „offene Gewichte“ aufweisen. Das bedeutet, dass zwar die Modellparameter geteilt werden, die vollständige interne Struktur und der Trainingsprozess jedoch nicht. Dadurch besteht die Möglichkeit, dass unbekanntes Verhalten auftritt, das Benutzer nicht unabhängig überprüfen können.

Worin besteht der Unterschied zwischen einem Chatbot und einem KI-Agenten?

Buterin bezeichnete die Gegenwart als Wendepunkt in der Nutzung von KI. Frühe KI-Tools funktionierten wie Chatbots: Ein Nutzer stellte eine Frage, und das Modell lieferte eine Antwort. Agenten funktionieren anders. Ein Nutzer gibt dem System eine Aufgabe, und es arbeitet dann selbstständig, manchmal über längere Zeiträume, und nutzt Dutzende oder Hunderte von Tools, um diese Aufgabe zu erledigen.

Diese Veränderung vergrößert die Angriffsfläche erheblich. Ein System, das im Internet surfen, Dateien lesen, Nachrichten senden und Systemeinstellungen ändern kann, hat weitaus mehr Möglichkeiten, Schaden anzurichten – sei es durch eine Sicherheitslücke, einen Manipulationsversuch oder einen einfachen Fehler – als ein System, das lediglich Fragen beantwortet.

Wie Buterin sein eigenes lokales KI-System einrichtete

Buterin erklärte, er habe die Nutzung cloudbasierter KI-Tools bereits eingestellt. Sein persönliches Setup beschrieb er als „selbstbestimmt, lokal, privat und sicher“, basierend auf drei Kernprinzipien: Alle KI-Inferenzprozesse laufen auf lokaler Hardware, alle Dateien werden lokal gespeichert und jeder Prozess läuft in einer Sandbox.

Eine Sandbox ist in diesem Kontext eine isolierte Computerumgebung, die den Zugriff eines Programms einschränkt. Buterin verwendet ein Tool namens Bubblewrap, mit dem er KI-Tools in einer Verzeichnis-basierten Sandbox ausführen kann, in der das Programm nur auf explizit freigegebene Dateien zugreifen kann. Auch der Zugriff auf Netzwerkports und Audio wird kontrolliert.

Entdecken Sie vielversprechende Projekte...

Vielversprechende Projekte...

(Werbung)

Artikel wird fortgesetzt...

Hardware-Buterin für lokale KI-Inferenz getestet

Buterin testete verschiedene Hardwarekonfigurationen, um herauszufinden, welche sich für die lokale Ausführung von KI-Modellen eignen. Die Ergebnisse variierten deutlich:

• Ein Laptop mit einer NVIDIA 5090 GPU erreichte mit dem Qwen3.5:35B-Modell ungefähr 90 Token pro Sekunde.
• Ein AMD Ryzen AI Max Pro mit 128 GB gemeinsamem Speicher erreichte ungefähr 51 Token pro Sekunde.
• Der DGX Spark, der als Desktop-KI-Supercomputer vermarktet wird, erreichte ungefähr 60 Token pro Sekunde.

Buterin legte 50 Token pro Sekunde als sein persönliches Minimum für eine nutzbare Leistung fest. Alles darunter sei zu frustrierend für den praktischen Einsatz, und 90 Token pro Sekunde seien ideal. Er merkte an, dass die DGX Spark im Vergleich zu ihren Marketingversprechen hinter den Erwartungen zurückblieb, da sie niedrigere Geschwindigkeiten als eine gute Laptop-GPU erreiche und zudem zusätzliche Netzwerkkonfigurationen für die Verbindung von einem separaten Arbeitsgerät erfordere.

Sein Software-Stack basiert auf llama-server, einem Hintergrundprozess, der lokal läuft und einen Port auf dem Rechner des Benutzers freigibt, über den andere Anwendungen darauf zugreifen können. Dadurch kann jede für OpenAI- oder Anthropic-Modelle entwickelte Software auf ein lokales Modell umgeleitet werden. Zusätzlich verwendet er llama-swap, um den Wechsel zwischen Modellen zu vereinfachen.

Was bedeutet das für Krypto-Wallets?

Buterins Bedenken hinsichtlich der KI-Sicherheit hängen direkt damit zusammen, wie er den Einsatz von KI in Krypto-Wallets befürwortet. In Kommentaren, die er im März 2026 auf seinem Farcaster-Account veröffentlichte, skizzierte er einen konkreten technischen Arbeitsablauf für KI-gestützte Transaktionen.

Seine Position ist nicht, dass KI Gelder verwalten sollte. Vielmehr sollte KI Handlungsvorschläge unterbreiten, die anschließend unabhängig verifiziert und von einem Menschen bestätigt werden. Für Transaktionen mit hohem Wert beschrieb er ein dreistufiges Verfahren: Die KI schlägt einen Plan vor, ein lokaler Light Client simuliert die Ausführung dieses Plans in der Blockchain, und der Nutzer prüft sowohl die Beschreibung in Klartext als auch das simulierte Ergebnis, bevor er die Transaktion bestätigt.

Ein lokaler Light Client verifiziert Blockchain-Daten, ohne die gesamte Blockchain herunterzuladen. In Kombination mit einer KI-Schicht können Nutzer genau sehen, was eine Transaktion bewirkt, bevor sie im Netzwerk veröffentlicht wird – ganz ohne Schnittstelle eines Drittanbieters.

Warum das Entfernen von DApp-Schnittstellen wichtig ist

Die meisten Krypto-Nutzer interagieren mit dezentralen Anwendungen über browserbasierte Benutzeroberflächen. Diese Schnittstellen stellten in der Vergangenheit eine erhebliche Angriffsfläche dar. Frontend-Hijacking, das Einschleusen schädlicher Skripte und gefälschte Bestätigungsaufforderungen führten in den letzten Jahren zu Verlusten in Höhe von Hunderten Millionen Dollar.

Buterin argumentierte, dass KI-gestützte Wallets diese Schnittstellen vollständig eliminieren könnten. Wenn ein Nutzer in einfacher Sprache angibt, was er tun möchte, und die Wallet die Transaktion direkt zusammenstellt und simuliert, gibt es keine Website eines Drittanbieters, die gefährdet werden könnte. 

„Das vollständige Entfernen von DApp-Benutzeroberflächen beseitigt eine große Anzahl von Angriffsvektoren, sowohl im Hinblick auf Diebstahl als auch auf Datenschutzverletzungen“, schrieb er.

Für Transaktionen mit geringerem Risiko sieht Buterin Potenzial für mehr Automatisierung. Eine KI-Wallet könnte Transaktionsmuster auf ungewöhnliche Aktivitäten überwachen, Gasgebühren basierend auf den aktuellen Netzwerkbedingungen vorschlagen, Token-Tauschvorgänge über effiziente Wege leiten und verdächtige Vertragsinteraktionen vor der Genehmigung kennzeichnen. Bei diesen Aufgaben sind Fehler behebbar und die Automatisierung reduziert die Komplexität für technisch weniger versierte Nutzer.

Laut Buterin sollte man großen Sprachmodellen nicht unkontrollierte Befugnisse über große Geldsummen anvertrauen. LLMs generieren Antworten auf Basis statistischer Muster, nicht deterministischer Logik. Sie können Anweisungen falsch interpretieren oder durch Prompt-Injection manipuliert werden – eine Technik, bei der gezielt formulierte Eingaben das Modell zu unvorhergesehenem Verhalten veranlassen. Jede Ebene in seinem vorgeschlagenen Workflow fügt eine unabhängige Prüfung hinzu, um genau solche Fehler zu verhindern.

Warum der Markt für KI-Agenten diese Risiken dringlicher macht

Die von Buterin geäußerten Bedenken sind nicht hypothetisch. Branchenschätzungen beziffern den Markt für KI-Agenten auf etwa [Zahl einfügen]. 8 Milliarden Dollar Im Jahr 2025 wird der Markt voraussichtlich auf über 48 Milliarden US-Dollar bis 2030 anwachsen, was einer jährlichen Wachstumsrate von mehr als 43 % entspricht. Da immer mehr Software auf autonomen KI-Systemen basiert, die mit reduzierter menschlicher Aufsicht arbeiten, lassen sich die von ihm identifizierten Sicherheitslücken in großem Umfang immer schwerer ignorieren.

Fazit

Buterins Warnungen werden durch dokumentierte Forschungsergebnisse untermauert. Sicherheitslücken in KI-Systemen wurden bereits unter realen Bedingungen nachgewiesen, und der Übergang von Chatbots zu autonomen Agenten erschwert die Eindämmung dieser Risiken. 

Sein Ansatz, lokale Prozesse zu priorisieren, und sein dreistufiger Wallet-Workflow sind keine Ablehnung von KI. Sie sind vielmehr Versuche, sie zu nutzen, ohne die Kontrolle über Daten oder Gelder aufzugeben. Je leistungsfähiger KI-Systeme werden, desto schwieriger lässt sich die Frage ignorieren, wer ihre Handlungen tatsächlich kontrolliert.

Ressourcen

1. Artikel von Vitalik ButerinMein selbstbestimmtes / lokales / privates / sicheres LLM-Setup, April 2026

2. Vitalik Buterin über FarcasterBeitrag vom 5. März

3. Bericht von BCC ResearchDer Markt für KI-Agenten soll bis 2030 jährlich um 43.3 % wachsen.