Warum KI-Agenten keine Private Keys halten sollten: Coinbases Agentic Wallet definiert den autonomen Finanz-Stack neu
Im vergangenen Jahr zielte ein raffinierter Supply-Chain-Angriff auf das eigene AgentKit-Repository von Coinbase auf GitHub ab. Ein Angreifer erlangte Schreibrechte für die Codebasis — genau das Toolkit, das Entwickler verwendeten, um Private Keys direkt in KI-Agenten einzubetten. Der Angriff wurde abgefangen, bevor Schaden entstand, aber er enthüllte eine unangenehme Wahrheit, die die gesamte Branche bisher überspielt hatte: Der Bau autonomer Finanzagenten, die ihre eigenen kryptografischen Schlüssel halten, ist eine tickende Zeitbombe.
Im Februar 2026 zog Coinbase mit der Einführung von Agentic Wallets eine klare Linie — eine grundlegend andere Architektur, die die Wallet-Verwahrung vollständig von der Agenten-Logik trennt. Dieser Schritt signalisiert mehr als nur ein Produkt-Update. Es ist das Eingeständnis, dass die erste Generation des Wallet-Designs für KI-Agenten auf fundamentaler Ebene fehlerhaft war und die Branche nun versucht, dies zu beheben, bevor ein Sicherheitsvorfall in Höhe von 45 Millionen US-Dollar zu einem 450-Millionen-US-Dollar-Vorfall wird.
Die Ursünde: Agenten, die ihre eigenen Schlüssel halten
Um zu verstehen, warum der architektonische Schwenk von Coinbase so wichtig ist, muss man verstehen, wie die erste Generation von Agent-Wallets tatsächlich funktioniert hat.
AgentKit, das ursprüngliche Entwickler-Toolkit von Coinbase, stattete KI-Agenten mit einer „Wallet“ aus, indem das Management von Private Keys direkt in den Agenten-Code eingebettet wurde. Der Agent hielt die Schlüssel. Der Agent signierte Transaktionen. Der Agent hatte vollen, ungehinderten Zugriff auf die von ihm kontrollierten Mittel.
Dieses Design war für Entwickler verführerisch einfach — man ruft einfach wallet.transfer() auf und der Agent bewegt Geld. Aber es schuf das, was Sicherheitsforscher heute als eine „Angriffsfläche des letzten Auswegs“ (Attack Surface of Last Resort) bezeichnen: Wenn man die Logik des Agenten durch Prompt-Injection kompromittieren kann, kann man seine Wallet leeren.
Prompt-Injection-Angriffe funktionieren, indem bösartige Anweisungen über scheinbar legitime Kanäle in einen Agenten eingespeist werden — eine Webseite, die der Agent besucht, eine Antwort von einer API, die er aufruft, oder sogar ein sorgfältig erstelltes Dokument, das er verarbeitet. Ein Agent, der seine eigenen Private Keys hält, ist nur eine erfolgreiche Prompt-Injection davon entfernt, alles, was er besitzt, an eine vom Angreifer kontrollierte Adresse zu senden.
Bis 2026 war dies kein theoretisches Risiko mehr. Sicherheitsfirmen berichteten, dass 88 % der Unternehmen, die autonome KI-Agenten einsetzten, einen bestätigten oder vermuteten Sicherheitsvorfall erlebt hatten. Schwachstellen auf Protokollebene lösten Verluste von über 45 Millionen US-Dollar aus, die mit autonomen KI-Trading-Agenten in Verbindung standen. Der gef�ährlichste Angriffsvektor in fast jedem Fall: Prompt-Injection mit dem Ziel, Gelder von Agenten zu stehlen, die ihre eigenen Schlüssel hielten.
Der Wechsel zu Agentic Wallets: Abstraktion der Schlüssel in TEEs
Die Antwort von Coinbase bestand darin, eine architektonische Entscheidung zu treffen, die im Nachhinein offensichtlich klingt: Agenten sollten niemals mit Private Keys in Berührung kommen.
Die Agentic Wallet führt ein grundlegend anderes Modell ein. Anstatt das Schlüsselmanagement in den Agenten-Code einzubetten, leben Private Keys exklusiv innerhalb von Trusted Execution Environments (TEEs) — spezialisierten Hardware-Enklaven auf der Infrastrukturebene von Coinbase, die kryptografisch von allem anderen isoliert sind, einschließlich der eigenen Server von Coinbase.
Wenn ein KI-Agent eine Transaktion signieren muss, greift er nicht auf einen Schlüssel zu. Er sendet eine Autorisierungsanfrage an die TEE, die den Signiervorgang isoliert durchführt und nur die signierte Transaktion zurückgibt. Der Private Key verlässt niemals die Enklave. Das LLM des Agenten bekommt ihn nie zu Gesicht. Ein Angreifer, der die Logikschicht des Agenten vollständig kompromittiert, kann den Schlüssel dennoch nicht extrahieren.
Das Sicherheitsteam von Coinbase beschreibt das System als „um mehrere Größenordnungen sicherer als das bloße Speichern eines Private Keys auf der Festplatte“. Das ist keine Marketingsprache — es ist ein echter architektonischer Sprung. Die v2 Server-Wallet-Implementierung stellt sicher, dass die Private Keys der Konten „ausschließlich innerhalb der Enklave verschlüsselt und entschlüsselt werden und die TEE niemals verlassen“.
Der Wechsel verändert auch die Erfahrung für Entwickler. Anstatt das Schlüsselmanagement in den Agenten-Code zu integrieren, greifen Entwickler über ein CLI oder über das Model Context Protocol (MCP) auf Agentic Wallets zu — denselben Schnittstellenstandard, der es KI-Modellen ermöglicht, sich mit externen Tools zu verbinden. Ein Agent erhält eine Wallet auf dieselbe Weise, wie er Zugriff auf ein Web-Suchtool oder eine Datenbankabfrage erhält: über eine standardisierte Schnittstelle, die die zugrunde liegende Komplexität handhabt.
Das x402-Protokoll: Wie Agenten einander bezahlen
Eine Wallet ohne Zahlungsstandard ist nur ein Tresor. Die andere Hälfte von Coinbases Vision für autonome Finanzen ist x402 — ein offenes Protokoll, das den HTTP 402 „Payment Required“-Statuscode wiederbelebt, um Echtzeit-Stablecoin-Zahlungen zwischen Agenten zu ermöglichen.
Der Mechanismus ist einfach, aber elegant: Wenn ein KI-Agent einen Dienst anfordert, der eine Zahlung erfordert, antwortet der Server mit HTTP 402 und einer Zahlungsspezifikation. Der Agent bewertet die Kosten, führt eine USDC-Mikrozahlung On-Chain über seine Agentic Wallet aus und reicht die Anfrage mit einem Zahlungsbeleg erneut ein. Der gesamte Austausch findet innerhalb von Sekunden statt, mit Transaktionskosten von etwa 0,0001 US-Dollar und einem Settlement in unter 2 Sekunden.
Seit dem Start im Mai 2025 hat x402 über 50 Millionen Transaktionen verarbeitet, wobei Solana etwa 65 % des agentischen Zahlungsvolumens ausmacht. Cloudflare ist eine Partnerschaft mit Coinbase eingegangen, um die x402 Foundation zu gründen, wobei eine v1.0-Spezifikation für das dritte Quartal 2026 angestrebt wird, nach der Garantien für die Abwärtskompatibilität gelten werden.
Die praktische Auswirkung ist bedeutend: Zum ersten Mal haben KI-Agenten eine standardisierte Möglichkeit, für Dienste zu bezahlen — nicht durch die Übergabe einer Kreditkarte oder eines OAuth-Tokens, das ein Mensch verwaltet, sondern durch die Ausführung autonomer Stablecoin-Zahlungen über eine Wallet-Architektur, die die Schlüssel aus den Händen des Agenten fernhält. Das ist es, was „Agent-to-Agent Commerce“ in der Praxis tatsächlich erfordert.
Vier konkurrierende Visionen für Agenten-sichere Wallets
Coinbase ist nicht das einzige Team, das über dieses Problem nachdenkt. In den letzten sechs Monaten sind mindestens vier verschiedene Architekturansätze für die Sicherheit von Agent-Wallets entstanden, die jeweils unterschiedliche Kompromisse widerspiegeln:
Coinbase Agentic Wallet (TEE-Backend): Keys befinden sich in Hardware-Enklaven, die vollständig von der Agenten-Logik isoliert sind. Agenten autorisieren Transaktionen über eine Protokollschicht, ohne jemals Zugriff auf kryptografisches Material zu erhalten. Am besten geeignet für: hochwertige autonome Operationen, bei denen eine Key-Isolierung nicht verhandelbar ist.
MoonPay + Ledger (Vom Menschen verifizierte Ausführung): KI-Agenten übernehmen Recherche, Portfolioanalyse und die Erstellung von Trades, aber jede On-Chain-Transaktion erfordert eine physische Bestätigung auf einem Ledger-Hardware-Gerät. MoonPay hat zudem den Open Wallet Standard (OWS) ins Leben gerufen — ein Open-Source-Framework, das von PayPal, Circle, der Ethereum Foundation und der Solana Foundation unterstützt wird. Es wurde entwickelt, um Agenten eine einheitliche Schnittstelle für die Verwaltung von Geldern über mehrere Chains hinweg zu bieten. Am besten geeignet für: hybride Mensch-KI-Workflows, bei denen eine menschliche Genehmigung obligatorisch bleibt.
MetaMask + EIP-7702 (Gültigkeitsbeschränkte Sitzungsschlüssel): EIP-7702 ermöglicht es Standard-Externally-Owned-Accounts, vorübergehend als Smart-Contract-Wallets zu agieren. Dies erlaubt vorautorisierte Agenten-Aktionen innerhalb definierter Grenzen — Zeitlimits, Ausgabenobergrenzen, genehmigte Adressen. Das „Valet-Schlüssel“-Modell: Der Agent kann fahren, aber nur unter 25 mph (ca. 40 km/h) und kann den Kofferraum nicht öffnen. Am besten geeignet für: verbraucherorientierte Agenten, bei denen Nutzer eine teilweise Autonomie ohne vollständige Übertragung der Verfügungsgewalt wünschen.
Human.tech Agentic WaaP (Menschliche Aufsicht auf Protokollebene): Anstatt die Aufsicht nachträglich an bestehende Wallet-Infrastrukturen anzudocken, integriert der „Wallet as a Protocol“-Ansatz von Human.tech kryptografische Schwellenwerte für menschliche Genehmigungen direkt in die Architektur. Eine Policy-Engine erzwingt menschliche Kontrollpunkte für risikoreiche Aktionen auf Protokollebene, nicht auf Anwendungsebene. Am besten geeignet für: Unternehmensumgebungen, in denen Compliance eine prüfbare menschliche Aufsicht erfordert.
Jeder Ansatz spiegelt eine echte Erkenntnis darüber wider, wo das Risiko tatsächlich liegt. Coinbase optimiert für den autonomen Betrieb mit maximaler Key-Sicherheit. MoonPays OWS optimiert für Interoperabilität und menschliches Vertrauen. Die Sitzungsschlüssel von MetaMask optimieren für eine vertraute UX ohne vollständige Übertragung der Verwahrung. Human.tech optimiert für regulatorische Compliance und Auditierbarkeit im Unternehmen.
Warum diese Architektur für die 45-Millionen-Dollar-Angriffsfläche wichtig ist
Die 45 Millionen $ an Sicherheitsvorfällen bei KI-Agenten im Jahr 2026 wurden nicht durch raffinierte kryptografische Angriffe verursacht. Sie wurden durch Prompt-Injection verursacht — Angreifer fütterten Agenten, die ungehinderten Zugriff auf ihre eigenen Mittel hatten, mit bösartigen Anweisungen.
Die Agentic-Wallet-Architektur bricht die direkte Verbindung zwischen der Argumentation des Agenten und dem Key-Zugriff auf. Selbst wenn es einem Angreifer gelingt, einen Agenten so zu manipulieren, dass er versucht, sein Wallet zu leeren, bedeutet die TEE-gestützte Architektur, dass der Agent dies nicht einseitig tun kann — er kann nur signierte Transaktionen für Beträge und Adressen ausstellen, die innerhalb seiner konfigurierten Autorisierungsrichtlinie liegen.
Dieses Designmuster wird wahrscheinlich zum minimalen Sicherheitsstandard für jeden autonomen Finanzagenten werden, der signifikante Werte verwaltet. Die Frage ist nicht, ob Agenten-Logik von der Key-Verwaltung getrennt werden sollte — die 45-Millionen-Dollar-Antwort darauf liegt bereits vor. Die Frage ist, welche Trennungsarchitektur sich mit der Reifung des Ökosystems durchsetzt.
Die Auswirkungen auf die Entwickler-Infrastruktur
Der Wechsel vom Modell der eingebetteten Keys in AgentKit hin zum protokollbasierten Zugriff der Agentic Wallet stellt eine umfassende Weiterentwicklung der Art und Weise dar, wie KI-Agenten mit der Blockchain-Infrastruktur interagieren. Agenten entwickeln sich von Spielzeug-Skripten mit angeschlossenen Wallets zu erstklassigen Infrastruktur-Konsumenten mit anspruchsvollen, standardisierten Schnittstellen.
Dies schafft neue Anforderungen im gesamten Stack. Agenten benötigen zuverlässigen Zugriff mit geringer Latenz auf Chain-Statusdaten, um Autorisierungsentscheidungen zu treffen, ihre Wallets zu überwachen und komplexe, mehrstufige Operationen auszuführen. Sie benötigen APIs, die nicht nur menschliche Anfrageraten bewältigen können, sondern auch den viel höheren Durchsatz autonomer, programmatischer Interaktionen — allein auf der BNB Chain sind über 123.000 KI-Agenten im Einsatz.
Das Aufkommen standardisierter Agent-Wallet-Schnittstellen (MCP, x402, OWS) spiegelt wider, wie REST-APIs die Webentwicklung in den 2000er Jahren standardisiert haben. Sobald es eine Standardschnittstelle gibt, kann die darunter liegende Infrastrukturschicht unabhängig von der darüber liegenden Anwendungsschicht optimiert werden.
BlockEden.xyz bietet Enterprise-Grade-API-Infrastruktur über 200+ Blockchain-Netzwerke hinweg — die Datenschicht, die autonome Agenten für Echtzeit-Chain-Status, Transaktionsüberwachung und Multi-Chain-Operationen benötigen. Erkunden Sie unseren API-Marktplatz, um Agenten-Infrastruktur auf Fundamenten aufzubauen, die für den Zugriff in Maschinengeschwindigkeit ausgelegt sind.
Wie es weitergeht
Die grundlegende Frage, mit der sich die Branche nun auseinandersetzt, ist, ob TEE-gestützte Architekturen wie die Agentic Wallet von Coinbase zum Standard werden oder ob leichtere Ansätze wie Sitzungsschlüssel und menschliche Genehmigungsschwellen für verschiedene Anwendungsfälle dominieren werden.
Die Antwort wird wahrscheinlich „alles oben Genannte“ sein. Hochwertige autonome Operationen — institutionelles DeFi, Cross-Chain-Settlement, Enterprise-Treasury-Management — werden zu TEE-Architekturen konvergieren, die die stärksten Garantien für die Key-Isolierung bieten. Verbraucherorientierte Agenten werden zu Sitzungsschlüssel-Modellen tendieren, die vertraute Benutzerkontrollmuster beibehalten. Compliance-sensitive Unternehmenseinsätze werden WaaP-ähnliche Architekturen mit integrierter, prüfbarer menschlicher Aufsicht einführen.
Klar ist bereits jetzt, dass der ursprüngliche Ansatz, „dem Agenten einfach einen privaten Schlüssel zu geben“, vorbei ist. Die 45 Millionen $ an Vorfällen im Jahr 2026, der GitHub-Supply-Chain-Angriff auf AgentKit und der eigene architektonische Schwenk von Coinbase haben kollektiv das Urteil gefällt: Autonome Finanzagenten und ungeschützte private Schlüssel sind eine Architektur, die zum Scheitern verurteilt ist.
Die Agenten kommen. Die Frage ist, ob die Wallets, die sie benutzen, bereit sind.
Quellen: Launch von Coinbase Agentic Wallets · Coinbase CDP Sicherheitsdokumentation · x402-Protokoll · Cloudflare x402 Foundation · MoonPay Open Wallet Standard · Human.tech Agentic WaaP · KuCoin Bericht über Sicherheitsverletzungen bei KI-Agenten