Google Clouds MCP Web3-Sicherheits-Framework: Wie man verhindert, dass KI-Agenten Ihre Wallet leeren

16. März 2026 · 9 Min. Lesezeit

Software Engineer

AI-Agenten, die autonom Token handeln, DeFi-Positionen umschichten und für ihre eigene Rechenleistung bezahlen können, klingen revolutionär – bis einer von ihnen per Prompt-Injection dazu gebracht wird, Ihre gesamten Ersparnisse an einen Angreifer zu senden. Das neu veröffentlichte MCP Web3-Sicherheitsframework von Google Cloud geht genau diesen Albtraum an und liefert einen Bauplan auf Enterprise-Niveau zur Absicherung von Model Context Protocol (MCP)-Agenten, die mit Blockchains interagieren.

Hier erfahren Sie, was das Framework empfiehlt, warum es wichtig ist und wie es im Vergleich zu konkurrierenden Ansätzen von Coinbase, Ledger und dem aufstrebenden x402-Zahlungsstandard abschneidet.

Das Problem: KI-Agenten mit Wallets sind eine geladene Waffe

Die Konvergenz von autonomer KI und Blockchain schafft eine einzigartige Angriffsfläche. Im Gegensatz zu traditioneller Software, die deterministischen Code ausführt, sind Large Language Models (LLMs) probabilistisch – sie können überlistet, verwirrt oder mitten in einer Sitzung gekapert werden. Wenn diese Modelle private Schlüssel halten oder Signaturberechtigung über On-Chain-Gelder haben, steigen die Risiken von einer „falschen Antwort“ zu einem „unwiderruflichen finanziellen Verlust“.

Die Zahlen unterstreichen die Dringlichkeit. Red-Teaming-Tests von Anthropic ergaben, dass KI-Agenten 207 von 405 Test-Smart-Contracts erfolgreich ausnutzten und dabei 550 Millionen $ an simulierten Geldern stahlen. Noch alarmierender ist, dass die KI-gesteuerte Ausnutzung von Blockchain-Schwachstellen innerhalb eines einzigen Jahres von 2 % auf fast 56 % aller Exploits anstieg. Währenddessen bleibt Prompt-Injection – wobei Angreifer bösartige Anweisungen in scheinbar harmlose Daten einbetten – der wichtigste Angriffsvektor für Agenten mit Wallet-Zugriff, da sie einen Agenten anweisen kann, Gelder an eine vom Angreifer kontrollierte Adresse zu überweisen.

Das Framework von Google Cloud erscheint zu einem Zeitpunkt, an dem die Branche dringend Leitplanken benötigt. Da der Markt für KI-Agenten voraussichtlich 52 Milliarden $ überschreiten wird und bereits Hunderte von MCP-fähigen Blockchain-Tools im Einsatz sind, ist die Lücke zwischen Leistungsfähigkeit und Sicherheit gefährlich geworden.

Custodial vs. Non-Custodial: Zwei Architekturen, zwei Risikoprofile

Im Zentrum des Google-Frameworks steht eine nüchterne Analyse der beiden dominierenden Modelle für die Interaktion zwischen Agenten und Blockchain.

Custodial-Agenten kontrollieren private Schlüssel direkt. Der Agent (oder seine Hosting-Plattform) hält die Gelder und kann Transaktionen autonom signieren. Dies ermöglicht einen vollautonomen Betrieb – ein Agent kann ein DeFi-Portfolio um 3 Uhr morgens ohne menschliche Genehmigung umschichten. Doch der Kompromiss ist schwerwiegend: Wenn der Host des Agenten kompromittiert wird, wird jede delegierte Wallet zum Ziel. Das Custodial-Modell konzentriert das Risiko auf der Plattformebene und macht sie zu einem attraktiven Honeypot für Angreifer.

Non-Custodial-Agenten entwerfen Transaktionen, können diese aber nicht signieren. Der Agent bereitet eine unsignierte Transaktion vor und gibt sie an den Benutzer (oder eine Hardware-Wallet) zur endgültigen Genehmigung zurück. Das Google-Framework macht eine treffende Beobachtung: Wenn ein MCP-Server bereits eine Transaktion mit einem von ihm gehaltenen Schlüssel vorbereiten und signieren kann, sollte er in der Lage sein, dieselbe Logik ohne den finalen Signierschritt auszuführen. Diese „kleine Änderung erschließt ein viel sichereres und flexibleres Paradigma“ – der Agent behält seine analytischen und strategischen Fähigkeiten, während der Benutzer die endgültige Kontrolle über die Geldbewegungen behält.

Die Empfehlung von Google ist eindeutig: Wo immer möglich, sollte standardmäßig Non-Custodial verwendet werden, und es sollten zusätzliche Sicherheitskontrollen (TEE-Isolierung, Ausgabenlimits, Transaktionssimulation) eingesetzt werden, wenn ein Custodial-Zugriff wirklich erforderlich ist.

Der Security Stack: Defense in Depth für On-Chain-Agenten

Anstatt eine einzige Patentlösung vorzuschlagen, skizziert Google eine vielschichtige Sicherheitsarchitektur, bei der mehrere unabhängige Kontrollen jeweils die blinden Flecken der anderen ausgleichen.

TEE-Isolierung für das Schlüsselmanagement

Trusted Execution Environments (TEEs) – Hardware-Enklaven wie Intel SGX oder AMD SEV – bieten einen physisch isolierten Raum, in dem private Schlüssel existieren können, ohne dem Prompt des Agenten, dem Kontextfenster des LLMs oder sogar dem Host-Betriebssystem ausgesetzt zu sein. Wie ein Sicherheitsforscher es ausdrückte: „Man kann Physik nicht patchen und einen Chip nicht durch Social Engineering manipulieren.“ Die TEE-Isolierung stellt sicher, dass selbst ein vollständig kompromittierter Agent den Signaturschlüssel nicht extrahieren kann, da der Schlüssel die Hardware-Enklave niemals verlässt.

Die jüngste Integration der Hardware-Signierung von Ledger in die KI-Agenten-Plattform von MoonPay folgt demselben Prinzip: Jede von der KI initiierte Transaktion erfordert eine physische Hardware-Bestätigung, wodurch private Schlüssel dauerhaft von der Entscheidungsebene des Agenten getrennt bleiben.

Transaktionssimulation vor der Ausführung

Bevor eine Transaktion auf die Blockchain gelangt, empfiehlt das Framework, sie durch eine Simulationsumgebung laufen zu lassen. Dies fängt eine Klasse von Angriffen ab, bei denen die Transaktion für den Agenten legitim erscheint, aber unbeabsichtigte Ergebnisse hervorruft – das Entleeren von Liquiditätspools, das Auslösen von Flash-Loan-Exploits oder die Interaktion mit bösartigen Verträgen, die als legitime Protokolle getarnt sind.

Die Transaktionssimulation dient auch als Plausibilitätsprüfung (Sanity Check) gegen die eigenen Fehler des Agenten. LLMs können Parameter halluzinieren, Token-Dezimalstellen falsch interpretieren oder Transaktionen konstruieren, die technisch valide, aber wirtschaftlich katastrophal sind. Eine Simulationsschicht fängt diese Fehler ab, bevor sie On-Chain unwiderruflich werden.

Ratenbegrenzung und Ausgabenlimits

Selbst mit TEE-Isolierung und Simulation plädiert Google für hartkodierte finanzielle Schutzplanken. Ausgabenlimits auf Sitzungsebene begrenzen, wie viel ein Agent innerhalb einer einzelnen Sitzung transaktionieren kann. Limits pro Transaktion verhindern, dass eine einzelne Operation einen definierten Schwellenwert überschreitet. Abkühlphasen zwischen hochwertigen Transaktionen fügen einen zeitlichen Puffer hinzu.

Hier haben ClawPay MCP und die Agentic Wallets von Coinbase bereits ähnliche Konzepte operationalisiert. ClawPay ergänzt das Agent Wallet SDK mit einer integrierten Durchsetzung von Ausgabenlimits — Transaktionen über dem Limit werden automatisch für eine menschliche Genehmigung in die Warteschlange gestellt, anstatt direkt abgelehnt zu werden. Die Agentic Wallets von Coinbase werden mit programmierbaren Sitzungslimits, Transaktionslimits und Compliance-fähigem KYT-Screening (Know Your Transaction) ausgeliefert, das Hochrisiko-Interaktionen blockiert, bevor sie ausgeführt werden.

Mandatsbasierte Prüfprotokolle (Audit-Trails)

Googles Agent Payments Protocol (AP2) führt „Mandate“ ein — fälschungssichere, kryptografisch signierte digitale Verträge, die die Anweisungen eines Nutzers belegen. Jede Transaktion trägt einen unwiderruflichen Audit-Trail, der sie mit der ursprünglichen Nutzerabsicht verknüpft. Dies ist kein bloßes Sicherheitstheater; es ist eine Compliance-Anforderung für die institutionelle Akzeptanz, bei der Regulierungsbehörden den Nachweis verlangen, dass ein autonomer Agent innerhalb seines autorisierten Rahmens gehandelt hat.

Das breitere Ökosystem: Wie Googles Framework hineinpasst

Das Framework von Google existiert nicht in einem Vakuum. Es erscheint zusammen mit mehreren konkurrierenden und ergänzenden Ansätzen, die gemeinsam die Sicherheitslandschaft für Agentic Finance im Jahr 2026 definieren.

Coinbase Agentic Wallets und x402

Die Agentic Wallets von Coinbase repräsentieren das verwahrende (custodial) Ende des Spektrums, das speziell für vollständige Autonomie entwickelt wurde. Sie nutzen Enklaven-Isolierung, um private Schlüssel in der sicheren Infrastruktur von Coinbase zu halten, sodass sie niemals dem Prompt des Agenten oder dem LLM ausgesetzt sind. In Kombination mit dem x402-Protokoll — das mittlerweile über 50 Millionen Transaktionen steuert — ermöglichen sie es Agenten, autonom für API-Zugriff, Rechenleistung und Daten mit Stablecoins wie USDC zu bezahlen.

Die x402 Foundation, die in Zusammenarbeit mit Coinbase und Cloudflare ins Leben gerufen wurde, verwaltet die offene Spezifikation mit Multi-Chain-Unterstützung und token-agnostischem Design. Ihr HTTP 402 „Payment Required“-Mechanismus ermöglicht es jedem API-Endpunkt, eine Zahlung anzufordern, bevor eine Antwort geliefert wird, wodurch eine native Zahlungsebene für das Agentic Internet geschaffen wird.

Hardware-Signierung via Ledger

Die Ledger-Integration von MoonPay repräsentiert den maximal nicht-verwahrenden (non-custodial) Ansatz. Jede Transaktion, die der KI-Agent initiiert, muss physisch auf einem Ledger-Gerät genehmigt werden. Dies eliminiert den Diebstahl von Geldern durch Prompt-Injection vollständig — ein Angreifer bräuchte sowohl digitalen Zugriff auf den Agenten als auch physischen Zugriff auf die Hardware-Wallet. Der Kompromiss besteht in der Latenz und dem Verlust der vollständigen Autonomie, was diesen Ansatz am besten für hochwertige Operationen geeignet macht, bei denen Sicherheit schwerer wiegt als Geschwindigkeit.

Die akademische Perspektive

Ein Papier vom Januar 2026 zum Thema „Autonome Agenten auf Blockchains“ formalisierte die Vertrauensgrenzen, die Googles Framework operationalisiert. Die Forschung ergab, dass ein einzelner kompromittierter Agent in vernetzten Agentensystemen innerhalb von vier Stunden 87 % der nachgelagerten Entscheidungsfindung vergiften kann — was Googles Schwerpunkt auf Isolierung und unabhängige Verifizierung auf jeder Ebene bestätigt.

Was dies für Entwickler bedeutet

Für Entwickler, die KI-Agenten bauen, die mit Blockchains interagieren, bietet Googles Framework einen praktischen Entscheidungsbaum.

Geringwertige Operationen mit hoher Frequenz (Mikrozahlungen, API-Zugriff, Datenabruf): Verwenden Sie verwahrende Wallets mit Ausgabenlimits und x402 für die Zahlung. Das Risiko pro Transaktion ist gering, und der Geschwindigkeitsvorteil der vollständigen Autonomie rechtfertigt das verwahrende Modell.
Mittelschwere DeFi-Operationen (Yield Farming, Portfolio-Rebalancing): Nutzen Sie TEE-isolierte Schlüsselverwaltung mit Transaktionssimulation. Der Agent agiert autonom innerhalb definierter Parameter, aber jede Transaktion wird vor der Ausführung validiert.
Hochwertige oder unumkehrbare Operationen (große Überweisungen, Governance-Abstimmungen, Contract-Deployments): Verwenden Sie eine nicht-verwahrende Architektur mit Hardware-Signierung. Der Agent entwirft und empfiehlt; der Mensch (oder das Hardware-Gerät) genehmigt.
Multi-Agenten-Systeme: Implementieren Sie mandatsbasierte Audit-Trails und isolieren Sie den Autoritätsbereich jedes Agenten. Lassen Sie niemals zu, dass die Kompromittierung eines einzelnen Agenten kaskadenartig das gesamte Netzwerk betrifft.

Das Framework hebt auch hervor, was man nicht tun sollte: Geben Sie niemals private Schlüssel im Kontextfenster eines LLMs preis, vertrauen Sie niemals von Agenten erstellten Transaktionen ohne Simulation und stellen Sie niemals verwahrende Agenten ohne Ratenbegrenzung bereit — ungeachtet dessen, wie „sicher“ das zugrunde liegende Modell zu sein behauptet.

Der Weg nach vorn

Das Rennen um die Absicherung von KI-Blockchain-Interaktionen steht erst am Anfang. Googles MCP Web3-Sicherheitsframework ist der bisher umfassendste veröffentlichte Blueprint für Unternehmen, aber die Bedrohungslandschaft entwickelt sich schneller, als es ein einzelnes Dokument erfassen kann. Da KI-Agenten fähiger — und autonomer — werden, muss die Sicherheitsinfrastruktur im Gleichschritt skalieren.

Die Branche konvergiert auf einige Schlüsselprinzipien: Trennung der Entscheidungsfindung von der Signaturberechtigung, hardwaregestützte Schlüsselisolierung, obligatorische Transaktionssimulation und kryptografische Audit-Trails. Ob Sie auf Google Cloud, der Infrastruktur von Coinbase aufbauen oder Ihren eigenen Agent-Stack entwickeln, diese Prinzipien sind nicht verhandelbar.

Die Agenten kommen. Die Frage ist, ob wir die Schutzplanken errichten, bevor oder nachdem der erste neunstellige Exploit eines autonomen Agenten Schlagzeilen macht.

Bauen Sie KI-Agenten, die mit Blockchains interagieren? BlockEden.xyz bietet Enterprise-Grade RPC- und API-Infrastruktur für Sui, Aptos, Ethereum und über 20 weitere Chains — die zuverlässige Datenebene, die Ihre Agenten für Transaktionssimulationen, On-Chain-Abfragen und Echtzeit-Blockchain-Status benötigen. Erkunden Sie unseren API-Marktplatz, um Ihre Agentic-Anwendungen auf einer Infrastruktur zu betreiben, die für den autonomen Betrieb ausgelegt ist.

Share on Twitter

API Marketplace Featured

Das Problem: KI-Agenten mit Wallets sind eine geladene Waffe​

Custodial vs. Non-Custodial: Zwei Architekturen, zwei Risikoprofile​

Der Security Stack: Defense in Depth für On-Chain-Agenten​

TEE-Isolierung für das Schlüsselmanagement​

Transaktionssimulation vor der Ausführung​

Ratenbegrenzung und Ausgabenlimits​

Mandatsbasierte Prüfprotokolle (Audit-Trails)​

Das breitere Ökosystem: Wie Googles Framework hineinpasst​

Coinbase Agentic Wallets und x402​

Hardware-Signierung via Ledger​

Die akademische Perspektive​

Was dies für Entwickler bedeutet​

Der Weg nach vorn​