Direkt zum Hauptinhalt

Die Wallet, die selbst denkt: Wie Coinbases Agentic Wallet die KI-Agenten-Sicherheit neu gestaltet

· 10 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Was passiert, wenn ein KI-Agent für etwas bezahlen muss? Die Antwort war früher unordentlich: Einen privaten Schlüssel in den Agenten-Code einbetten, hoffen, dass das Modell ihn nicht preisgibt, und jede Transaktion manuell prüfen. Das Agentic Wallet von Coinbase, im Februar 2026 eingeführt, bietet eine grundlegend andere Antwort—und könnte definieren, wie die nächsten 100 Milliarden Dollar in KI-verwalteten Krypto-Assets gesichert werden.

Die Kerneinsicht ist täuschend einfach: Der Agent sollte niemals die Schlüssel anfassen. Aber die Engineering-Arbeit, die erforderlich ist, damit dies im großen Maßstab funktioniert, stellt eine der wichtigsten architektonischen Verschiebungen in der Web3-Infrastruktur dar, seit Smart Contracts Logik von der Wertspeicherung trennten.

Von AgentKit zu Agentic Wallet: Ein Paradigmenwechsel in zwei Jahren

Um zu verstehen, warum das Agentic Wallet wichtig ist, muss man verstehen, was davor kam. Coinbases AgentKit, 2025 veröffentlicht, gab Entwicklern ein Toolkit, um Wallet-Funktionen direkt in den Agenten-Code einzubetten. Der Agent war die Wallet—er hielt die Schlüssel, signierte Transaktionen und führte die Logik alles innerhalb desselben Prozesses aus.

Dieser Ansatz funktionierte für Demos und Testnet-Experimente. Er brach unter Produktionsprüfung aus einem einfachen Grund zusammen: Wenn der Agent kompromittiert wird, ist es auch die Wallet. Und KI-Agenten werden auf Arten kompromittiert, wie es traditionelle Software nicht tut. Prompt-Injektion, Jailbreaking, adversarielle Eingaben—die Angriffsfläche für ein Sprachmodell ist anders als alles, womit Sicherheitsteams zuvor zu tun hatten. Eine einzige sorgfältig gestaltete Anweisung an einen Agenten mit eingebetteter Wallet kann sie vollständig leeren.

Das Agentic Wallet kehrt diese Beziehung um. Anstatt dass der Agent die Wallet hält, ist die Wallet ein unabhängiger Dienst, den der Agent aufruft—über Anthropics Model Context Protocol (MCP), denselben Standard, der es KI-Modellen ermöglicht, sicher auf externe Tools zuzugreifen. Der Agent sieht den privaten Schlüssel niemals. Er verarbeitet das Signaturmaterial niemals. Er ruft einfach pay(amount, recipient) über eine MCP-Schnittstelle auf, und die Wallet-Infrastruktur verarbeitet alles unterhalb dieser Linie.

Dies ist "Wallet als aufrufbarer Dienst"—und es ist architektonisch äquivalent zu der Verschiebung, die Cloud Computing von monolithischen Servern (wo jede Funktion denselben Speicherplatz teilte) zu Microservices mit isolierten Vertrauensgrenzen gemacht hat.

Wie MCP zur Sicherheitsgrenze wird

MCP wurde von Anthropic als Framework entwickelt, damit KI-Modelle sicher auf externe Tools zugreifen können, ohne dass diese Tools dem Modell implizit vertrauen müssen. Auf Wallets angewendet, schafft das Protokoll eine saubere Trennung:

  • Die Begründungsschicht (der KI-Agent) entscheidet was zu zahlen ist und an wen
  • Die Ausführungsschicht (der Agentic Wallet MCP-Server) entscheidet, ob diese Zahlung tatsächlich erlaubt ist

Dieses zweite Tor ist, wo der größte Teil der Sicherheitsinnovation lebt. Coinbases Implementierung erzwingt drei verschiedene Kontrollen, bevor jede Transaktion die Blockchain berührt:

Ausgabenrichtliniendurchsetzung: Limits werden pro Sitzung und pro Transaktion auf Infrastrukturebene festgelegt—nicht im Agenten-Code, wo sie durch adversarielle Eingabeaufforderungen überschrieben werden könnten. Ein Agent, der angewiesen wird, "alles zu senden", kann es einfach nicht, unabhängig davon, was das Modell berechnet.

KYT-Screening: Know Your Transaction-Überwachung kennzeichnet und blockiert automatisch Interaktionen mit hochriskanten Wallet-Adressen vor der Einreichung. Der Agent hat keinen Mechanismus, dies zu überschreiben; die Überprüfung erfolgt auf der Verwahrungsebene.

OFAC-Compliance: Alle Transfers werden vor dem Onchain-Gang gegen Sanktionslisten geprüft. Für Unternehmen, die Agenten in regulierten Umgebungen einsetzen, ist dies nicht verhandelbar—und da es auf der Wallet-Ebene statt auf der Agenten-Ebene durchgesetzt wird, kann es nicht durch Social Engineering umgangen werden.

Private Schlüssel leben in Trusted Execution Environments (TEEs)—hardware-isolierten Enklaven, deren Integrität kryptografisch überprüfbar ist. Das TEE erstellt signierte Attestierungsdokumente, die beweisen, welcher Code darin läuft, signiert mit einem Schlüssel, der zum Zeitpunkt der Herstellung in die CPU eingebettet wurde. Selbst Coinbases eigene Infrastrukturbetreiber können die Schlüssel nicht lesen; der Attestierungsmechanismus beweist externen Prüfern, dass die Enklave nicht manipuliert wurde.

Das x402-Protokoll: Zahlungsschienen für die Agenten-Wirtschaft

Das Agentic Wallet operiert nicht isoliert—es ist die Verwahrungskomponente einer breiteren Zahlungsarchitektur, die um das x402-Protokoll herum aufgebaut ist. Benannt nach dem HTTP-Statuscode 402 ("Payment Required"), bettet x402 Stablecoin-Mikrozahlungen direkt in HTTP-Anfragen ein, damit KI-Agenten automatisch für API-Dienste, Daten und Rechenleistung bezahlen können, ohne menschliche Genehmigung pro Transaktion.

Die Architektur funktioniert so: Ein Agent fragt einen API-Endpunkt ab, der eine 402-Antwort mit Zahlungsbedingungen zurückgibt. Die MCP-verbundene Wallet des Agenten verarbeitet die Zahlung automatisch, und die API liefert die angeforderten Daten. Der gesamte Zyklus dauert Sekunden und kostet Bruchteile eines Cents.

Coinbases Payments MCP-Server—zusammen mit der x402 Foundation gestartet, die gemeinsam mit Cloudflare gegründet wurde—macht dieses Muster für jeden Agenten zugänglich, der MCP-Tool-Aufrufe durchführen kann. Es ist das erste Tool, das wichtigen LLMs wie Claude, Gemini und Codex den Zugang zu einer Wallet, einem On-Ramp und Zahlungen in einer einzigen Integration ermöglicht.

Die Zahlen hinter x402 sind sowohl beeindruckend als auch ernüchternd. Das Protokoll hat in etwa sechs Monaten über 100 Millionen Zahlungen über APIs, Apps und KI-Agenten verarbeitet. Aber Onchain-Daten zeigen, dass das tägliche Volumen bei rund 28.000 Dollar liegt, ein Großteil davon aus Tests statt echtem Handel. Die Infrastruktur ist eindeutig der organischen Nachfrage voraus—was genau der Grund ist, warum die Wallet-Sicherheitsgeschichte jetzt wichtiger ist als die Transaktionszahl. Wenn echte Assets in diesen Systemen im großen Maßstab fließen, werden die heute getroffenen Verwahrungsarchitekturentscheidungen tragend.

Wer baut sonst noch Wallet-Infrastruktur für Agenten?

Coinbase ist nicht der einzige Infrastrukturanbieter, der um diesen Layer kämpft. OKX hat im März 2026 seine Agentic Wallet eingeführt, mit einer ähnlichen TEE-basierten Architektur und Unterstützung für fast 20 Netzwerke, einschließlich Solana und wichtiger EVM-Chains. OKXs Implementierung betont die Ausführung von Transaktionen in natürlicher Sprache—Agenten erhalten schriftliche Anweisungen und konvertieren sie ohne manuelle Kodierung in Blockchain-Aufrufe—und ist auf Infrastruktur aufgebaut, die täglich über 1,2 Milliarden API-Aufrufe mit Reaktionszeiten unter 100 ms verarbeitet.

Die Wettbewerbsdynamik hier ist strategisch bedeutsam. Sowohl Coinbase als auch OKX positionieren die Wallet-Infrastrukturschicht als dauerhaften Geschäftsgraben: Wer die sichere Verwahrung von Agenten-Assets besitzt, erhält eine Gebühr bei jeder agenteninitiierten Transaktion, unabhängig davon, welches KI-Modell, welches Begründungsframework oder welche Blockchain verwendet wird. Die Wallet wird zur Mautstation auf der Autobahn der Agentenwirtschaft.

Dies spiegelt wider, was im traditionellen Finanzwesen passierte, als Zahlungsabwickler herausfanden, dass der Besitz der Transaktionsschienen wichtiger war als der Besitz der Händler oder Karteninhaber. Visa und Mastercard kümmert es nicht, was Sie kaufen—sie schneiden bei jeder Transaktion einen Basispunkt ab. Wallet-as-a-Service-Anbieter in der Agentenwirtschaft positionieren sich für einen gleichwertigen strukturellen Vorteil.

Das verborgene Risiko: LLM-Router als Angriffsvektoren

Sicherheitsforscher haben eine Sorge identifiziert, die Coinbases Architektur adressiert, die das breitere Ökosystem aber nicht vollständig gelöst hat: LLM-Router als Angriffspunkte.

Zwischen einem Agenten und seiner MCP-verbundenen Wallet befindet sich eine wachsende Schicht von Diensten—Routing-Infrastruktur, Tool-Aggregatoren, Kontextmanagementsysteme. CoinDesks Untersuchung vom April 2026 dokumentierte reale Missbrauchsfälle: 26 Router, die bösartige Tool-Aufrufe injizierten, um Anmeldedaten zu stehlen und Wallets zu leeren. Da private Schlüssel und API-Anmeldedaten häufig durch diese Systeme fließen, ist ein kompromittierter Router effektiv eine kompromittierte Wallet.

Die TEE-Architektur des Agentic Wallet mildert dies, indem sichergestellt wird, dass private Schlüssel nie in die Routing-Schicht gelangen. Es löst aber nicht das Problem für Agenten, die Architekturen verwenden, bei denen Anmeldedaten durch weniger kontrollierte Infrastruktur fließen. Das "aufrufbarer Dienst"-Modell bietet die versprochenen Sicherheitsgarantien nur dann, wenn die Aufrufkette zwischen Agent und Wallet von Anfang bis Ende sauber ist.

Deshalb ist der Attestierungsmechanismus in TEEs über das Marketing hinaus wichtig. Wenn ein Wallet-Infrastrukturanbieter einen kryptografisch überprüfbaren Nachweis erstellen kann, dass seine Enklave nicht manipuliert wurde—signiert mit einem in der CPU eingebetteten Schlüssel zum Zeitpunkt der Herstellung—wird die Sicherheitsgarantie hardware-durchgesetzt statt richtlinien-durchgesetzt. Richtlinien können überschrieben werden. Hardware-Attestierung kann es nicht.

Was das für Web3-Infrastrukturanbieter bedeutet

Der Aufstieg von Wallet-as-a-Service schafft neue Verbrauchsmuster, die Infrastrukturanbieter antizipieren müssen. Ein KI-Agent, der Blockchain-Anfragen stellt, arbeitet anders als ein menschlicher Entwickler:

  • Anfragefrequenz: Agenten können Tausende von RPC-Aufrufen pro Minute machen; für menschliches Entwicklungstempo konzipierte Ratenlimits werden zu Engpässen
  • Transaktionsatomarität: Agenten-Workflows erfordern häufig Lesen-Ändern-Schreiben-Sequenzen, bei denen die Latenz zwischen Anfrage und Transaktionseinreichung wichtig ist
  • Prüfbarkeitsanforderungen: Unternehmenseinsätze von Agenten benötigen Transaktionsprotokolle, die Compliance-Teams befriedigen, nicht nur Block-Explorer

Infrastrukturanbieter, die der Agentenwirtschaft dienen, müssen Agenten als eine eigene Verbrauchsklasse behandeln—mit separaten Ratenlimits, SLA-Garantien und Observierbarkeits-Tools, die für maschinengeschwindigkeits-Workflows konzipiert sind.

BlockEden.xyz bietet Hochleistungs-RPC und Daten-APIs für die Chains, auf denen Agenten-Commerce entsteht, darunter Sui, Aptos, Ethereum und mehr. Entwickler, die Agenten-Infrastruktur aufbauen, die sowohl die Begründungsschicht (Chain-Datenanfragen) als auch die Ausführungsschicht (Transaktionseinreichung) bedienen muss, können den API-Marktplatz für agentenbereite Infrastruktur erkunden.

Die Architektur, die Vertrauen skaliert

Coinbase Agentic Wallets Beitrag zur Agentenwirtschaft hat weniger mit einer einzelnen Funktion und mehr mit der Etablierung eines Architekturmusters zu tun, das Agenten-Verwahrung im großen Maßstab prüfbar macht. Wenn Agenten Assets im Wert von 100 Millionen Dollar verwalten, müssen institutionelle Investoren überprüfen, dass Verwahrungskontrollen durchgesetzt werden—nicht durch das Lesen von Agenten-Code, den sie nicht prüfen können, sondern durch die Inspektion von Hardware-Attestierungen und Richtliniendurchsetzungspunkten, die außerhalb der Kontrolle des Modells existieren.

Dies ist die Antwort auf die grundlegende Frage, um die die Agentenwirtschaft kreist: Wie gibt man der KI echte wirtschaftliche Handlungsfähigkeit, ohne ihr unilaterale Kontrolle über die Assets zu geben?

Die Antwort ist dieselbe, die die Cloud-Sicherheit vor einem Jahrzehnt entdeckt hat: Trennung der Belange, durchgesetzt durch die Infrastrukturschicht. Der Agent denkt nach. Die Wallet führt aus. Die beiden kommunizieren durch eine schmale, klar definierte Schnittstelle. Und die Schnittstelle hat Leitplanken, die der Agent nicht überschreiten kann, unabhängig davon, welche Anweisungen er erhält.

Während die Agentenwirtschaft von den täglichen 28.000 Dollar x402-Volumen zu den Projektionen von 28 Milliarden Dollar übergeht, die Analysten für 2027 anführen, wird die Wallet-Infrastrukturschicht der Ort sein, wo sich der echte Wert ansammelt—nicht in den KI-Modellen selbst, die sich schnell kommerzialisieren, sondern in den Verwahrungsschienen und Zahlungsschienen, die jedes Modell verwenden muss, um an der Wirtschaft teilzunehmen.

Das Rennen um den Besitz dieses Layers ist bereits im Gange. Die in Q1 2026 getroffenen Architekturentscheidungen werden bestimmen, wer die Maut einzieht.

Quellen: Coinbase Agentic Wallets Ankündigung · Coinbase Payments MCP · x402 Foundation Launch mit Cloudflare · OKX Agentic Wallet · CoinDesk: KI-Agenten-Sicherheitslücke · The Block: Coinbase Agenten-Wallet Einführung

Share on Twitter