Direkt zum Hauptinhalt

ERC-8220 und das unveränderliche Siegel: Ethereums fehlende Ebene für On-Chain-KI-Governance

· 12 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Zweiundneunzig Prozent der Sicherheitsexperten sind besorgt über KI-Agenten innerhalb ihrer Organisationen. Siebenunddreißig Prozent derselben Organisationen verfügen über eine formelle KI-Richtlinie. Diese Lücke von 55 Prozentpunkten ist der erste Satz jedes Vorstandsberichts für 2026 – und genau dieses Problem versucht ERC-8220 on-chain zu lösen.

Am 7. April 2026 landete ein Entwurf im Ethereum Magicians-Forum, der den ERC-8220: Standard Interface for On-Chain AI Governance With Immutable Seal Pattern vorschlägt. Es ist der vierte Baustein dessen, was eine kleine Gruppe von Core-Entwicklern als den agentic Ethereum stack bezeichnet: Identität (ERC-8004), Handel (ERC-8183), Ausführung (ERC-8211) und nun Governance. Wenn er vor dem Glamsterdam-Fork den Status „Final“ erreicht, könnte er für autonome Agenten das tun, was ERC-20 für fungible Token getan hat – einen unübersichtlichen Designraum in ein komponierbares Primitiv verwandeln.

Die tragende Idee des Vorschlags ist das „Immutable Seal“ (unveränderliches Siegel). Alles andere in ERC-8220 leitet sich daraus ab. Wenn das Siegel korrekt umgesetzt wird, erhalten die anderen drei Standards plötzlich ein Fundament, auf dem sie stehen können. Wird es falsch gemacht, erbt der gesamte agentenbasierte Stack einen schleichenden Fehlermodus.

Warum „Trustless Agents“ überhaupt eine Governance-Ebene benötigen

ERC-8004 ging am 29. Januar 2026 im Ethereum-Mainnet live und gab KI-Agenten On-Chain-Identität, Reputation und Validierungsregister. ERC-8183 folgte mit programmierbarem Escrow, das es Agenten ermöglicht, über Smart-Contract-gesperrte Mittel, die bei Abschluss freigegeben werden, Personal einzustellen, zu arbeiten und bezahlt zu werden. Biconomy und die Ethereum Foundation gaben kurz darauf gemeinsam ERC-8211 bekannt – einen Ausführungsstandard, der es Agenten ermöglicht, mehrstufige DeFi-Strategien („Smart Batching“) durchzuführen, ohne jeden Parameter zum Zeitpunkt der Signierung im Voraus kodieren zu müssen.

Zusammen lösen diese drei Standards drei konkrete Probleme: Wer ist dieser Agent?, Wie wird er bezahlt? und Wie führt er Transaktionen durch? Aber sie lassen eine vierte Frage strukturell unbeantwortet: Was genau darf der Agent tun, und woher weiß ich, dass der Agent, der heute läuft, derselbe ist, den ich gestern geprüft habe?

Ein Papier aus dem Jahr 2025 über selbstbestimmte dezentrale Agenten nennt dies das Trustless-versus-Trustworthy-Paradoxon. Sobald ein autonomer Agent in ein unveränderliches Substrat versiegelt ist – seine Schlüssel nicht extrahierbar, seine On-Chain-Identität persistent –, gewinnen menschliche Deployer an Manipulationssicherheit, verlieren aber die einfachen Hebel für Aufsicht, Haftung und Abhilfe. ERC-8004 bietet Ihnen einen Registereintrag. Er sagt Ihnen nicht, ob sich die Gewichte (Weights) und Richtlinien hinter diesem Eintrag am letzten Dienstag um 3 Uhr morgens geändert haben.

Dies ist keine theoretische Lücke. Eine Studie der Cloud Security Alliance vom April 2026 ergab, dass mehr als die Hälfte der Organisationen, die Agenten einsetzen, bereits „Scope-Verletzungen“ erlebt haben – Agenten, die Dinge außerhalb ihrer beabsichtigten Autorisierungsgrenzen tun. Ein kompromittierter Agent mit einer gültigen ERC-8004-Identität und einem finanzierten ERC-8183-Escrow ist on-chain nicht von seinem ehrlichen Zwilling zu unterscheiden. Bis man seine Ausgaben liest. Bis dahin wurde der Treuhandbetrag bereits freigegeben.

Das Immutable Seal erklärt

ERC-8220 schlägt eine einheitliche On-Chain-Commitment-Struktur vor – das Siegel –, die die registrierte Identität eines Agenten an drei unveränderliche Behauptungen bindet:

  1. Modellgewichte-Hash. Ein kryptografisches Commitment auf den exakten Parametersatz, der die Inferenzen des Agenten erzeugt.
  2. Trainingsdaten-Fingerabdruck. Ein Hash über das Datensatz-Manifest (nicht die Daten selbst), optional Merkle-isiert, sodass eine teilweise Offenlegung für Regulierungsbehörden möglich ist.
  3. Inferenz-Einschränkungen. Ein maschinenlesbares Richtliniendokument – Tool-Call-Allowlists, Ausgabenobergrenzen, jurisdiktionale Ausnahmen –, das zusammen mit den Gewichten gehasht und committet wird.

Entscheidend ist, dass das Siegel unwiderruflich ist. Sobald ein Agent sein Siegel registriert und den Betrieb aufnimmt, können diese drei Hashes nicht mehr verändert werden, ohne eine neue Agentenidentität zu erstellen. Die Reputation, die Escrow-Historie und die Ausführungsberechtigungen der alten Identität werden nicht übertragen. Aus Sicht der Chain ist Version 2 ein Fremder.

Das klingt pedantisch, bis man es mit der Funktionsweise heutiger Agenten-Plattformen vergleicht. Die meisten gehosteten Agenten-Frameworks erlauben es Betreibern, ein Modell im laufenden Betrieb auszutauschen, eine Tool-Allowlist stillschweigend zu erweitern oder einen Prompt-Template-Patch einzuspielen – und das alles, ohne die Identität zu brechen, auf die sich die Gegenpartei verlässt. Ein Siegel bricht dieses Muster absichtlich auf. Ein Agent, der sich ändern möchte, kann dies tun; er kann nur nicht vorgeben, der Agent zu sein, dem Sie zuvor vertraut haben.

Drei konkurrierende Primitive für den Nachweis „Der Agent ist, was er vorgibt zu sein“

Das Siegel ist eine Commitment-Struktur. Es ist an sich kein Beweis. Man benötigt immer noch einen Mechanismus, um zu zeigen, dass der Agent tatsächlich das versiegelte Modell unter den versiegelten Einschränkungen zum Zeitpunkt der Inferenz ausführt. Hier trifft ERC-8220 auf die Grenze von drei konkurrierenden Attestierungs-Primitiven, jede mit sehr unterschiedlichen Kompromissen:

1. TEE-basierte Attestierung (AWS Nitro, Intel TDX, AMD SEV-SNP)

Trusted Execution Environments (TEEs) der zweiten Generation unterstützen vollständige VMs mit genügend Speicherreserven, um echte ML-Workloads zu hosten. Beim Booten erstellt die Enklave eine signierte Attestierung – eine Kette von Messungen über die Firmware und das geladene Image, signiert durch einen nicht extrahierbaren Hardware-Schlüssel. Ein Verifizierer vergleicht die Messung mit dem versiegelten Commitment. Wenn sie übereinstimmen, ist das Modell, das die Enklave ausführt, das Modell, das das Siegel behauptet hat.

Ein gängiges Produktionsmuster koppelt die Attestierung mit einem Key Broker Service: Die Enklave präsentiert ihre Attestierung einem KMS, der den Entschlüsselungsschlüssel für die versiegelten Gewichte nur dann freigibt, wenn die Messung der Richtlinie entspricht. Dies bietet starke Garantien bei Hardware-Geschwindigkeit – die Inferenz läuft mit nativer Performance. Der Kompromiss besteht darin, dass man den Root-Keys von Amazon, Intel oder AMD und deren Mikrocode vertraut. Die Geschichte der Seitenkanalangriffe ist nicht ermutigend.

2. ZKML (Zero-Knowledge Machine Learning)

ZKML-Systeme wie DeepProve von Lagrange erzeugen SNARKs für die Inferenz und produzieren einen prägnanten Beweis dafür, dass der Output Y aus dem Input X unter dem festgelegten Modell resultierte. Die Verifizierung ist kostengünstig und vertrauensminimiert: Es ist kein Hardware-Anbieter in der Kette erforderlich. Die Kosten liegen auf der Prover-Seite, wo ZKML weiterhin um Größenordnungen langsamer ist als die native Inferenz. Für ein Modell mit 72 Milliarden Parametern, das Agenten-Anfragen in Echtzeit bedient, bleibt ZKML im Jahr 2026 eher eine Zukunftsvision.

3. Kryptografische Hash-Commitments (Das Ehrenwort-System mit Slashing)

Die leichtgewichtigste Option: Der Hash der Gewichte wird on-chain hinterlegt, die Gewichte werden off-chain veröffentlicht (IPFS, Arweave, S3), und jeder kann per Stichprobe durch Re-Hashing eine Überprüfung durchführen. Kombiniert wird dies mit einer ökonomischen Sicherheitsebene — gestakten Validatoren, deren Einsatz gekürzt (slashing) werden kann, wenn sie Attestierungen für eine nicht übereinstimmende Gewichtedatei unterzeichnen. Preiswert, schnell und im Nachhinein prüfbar. Anfällig für Substitutionen zur Inferenzzeit, die innerhalb des Challenge-Fensters von niemandem bemerkt werden.

Der geschickteste Schachzug von ERC-8220 ist, dass er sich nicht festlegt. Das Siegel (Seal) ist attestierungsmethoden-agnostisch — es legt fest, was der Agent ist, während es zulässt, dass das Wie wir verifizieren als Feld im Siegel selbst deklariert wird. Ein Agent kann heute unter einer TEE-Attestierung versiegelt werden und zu ZKML migrieren, sobald die Performance dies zulässt, ohne eine neue Identität zu prägen (minting), solange der zugrunde liegende Hash der Gewichte unverändert bleibt.

Komposition mit dem Rest des Stacks

Der vierstufige agentenbasierte Stack funktioniert nur, weil jeder Standard die Existenz der anderen voraussetzt. ERC-8220 ist das Element, das die sichere Nutzung der anderen drei ermöglicht:

  • ERC-8004 Identität wird erst sinnvoll, wenn sie an ein Siegel gebunden ist. Ohne dieses ist "Agent 0x742…" ein Name ohne Bezugspunkt. Mit dem Siegel bezieht sich der Name auf ein spezifisches, prüfbares Artefakt.
  • ERC-8183 Treuhand (Escrow) gibt Gelder basierend auf der Bestätigung eines "neutralen Bewerters" frei. Ein versiegelter Agent gibt dem Bewerter eine konkrete Grundlage für die Bewertung — entsprach der Output dem im Siegel gehashten Richtliniendokument?
  • ERC-8211 Smart Batching ermöglicht es Agenten, mehrstufige DeFi-Strategien auszuführen. Die Inferenz-Beschränkungen des Siegels definieren die äußere Grenze: Dieser Agent darf bis zu N Operationen auf den Chains A, B, C mit Gas-Obergrenzen X, Y, Z bündeln.

Dies ist auch das Argument dafür, warum die Governance zuletzt und nicht zuerst eingeführt wurde. Man kann einen Agenten nicht sinnvoll steuern, der keine Identität, keine ökonomischen Einsätze und keinen Ausführungsrahmen hat. Die ersten drei Standards schufen die Angriffsfläche, die ERC-8220 nun zu regulieren vorschlägt.

Der regulatorische Rückenwind

Die singapurische IMDA veröffentlichte im Januar 2026 den weltweit ersten staatlichen Governance-Rahmen speziell für autonome KI-Agenten, der um vier Dimensionen strukturiert ist: Risikobegrenzung, menschliche Verantwortlichkeit, technische Kontrollen und Endnutzer-Verantwortung. Der Zusatz zum EU AI Act für Agenten, der allgemein noch vor Jahresende erwartet wird, scheint derselben Form zu folgen. Beide Rahmenwerke fordern von den Betreibern den Nachweis — gegenüber einem Regulator, einem Vertragspartner oder einem Gericht —, was genau einem Agenten erlaubt war und was er tatsächlich getan hat.

Das Siegel ist maßgeschneidert für diese Anforderung. Das hinterlegte Richtliniendokument ist das Artefakt für die "begrenzten Risiken". Die unveränderliche Bindung zwischen Identität und Gewichten ist das Artefakt für die "menschliche Verantwortlichkeit". Die Attestierungsmethode ist das Artefakt für die "technischen Kontrollen". Ein Betreiber, der einen versiegelten Agenten besitzt, verfügt über eine Verteidigungsargumentation, die keine forensische Untersuchung der Protokolle des Modell-Hosts erfordert.

Dies ist der eigentliche Grund, warum ERC-8220 über die Krypto-native Welt hinaus von Bedeutung ist. Wenn es sich durchsetzt, bietet es jedem KI-Entwickler — nicht nur Web3-Entwicklern — eine Möglichkeit, kryptografische Beweise dafür zu veröffentlichen, was sein Agent ist und was nicht. Das ist ein regulatorisches Primitiv, nicht nur ein Blockchain-Primitiv.

Wird es vor Glamsterdam veröffentlicht?

Die ehrliche Antwort: Wahrscheinlich nicht in der finalen Form, aber voraussichtlich in einer späten Entwurfsphase, gegen die Client-Teams mit der Implementierung beginnen können. Ethereums Standardisierungsprozess ist bekanntermaßen Multi-Client-basiert — dasselbe Koordinationsproblem, das ePBS verzögert hat, gilt auch hier. ERC-8220 erfordert keinen Hard Fork (es ist eine Schnittstelle auf Vertragsebene, keine Protokolländerung), konkurriert also nicht um Slot-Platz in Glamsterdam selbst. Worum es jedoch konkurriert, ist die Aufmerksamkeit der Entwickler, und Agenten-Infrastruktur ist das lauteste Narrativ des Jahres 2026.

Die Interessengruppen, die auf eine schnelle Ratifizierung drängen, sind ungewöhnliche Verbündete: Modell-Anbieter (die eine standardisierte Methode suchen, um ihre Produkte zu bewerben), Unternehmens-Entwickler (die eine "Defense-in-Depth"-Strategie für Vorstände und Regulatoren benötigen) und DeFi-Protokolle (die zunehmend mit Agenten-gesteuertem Traffic konfrontiert sind und Risiken lieber nach Siegel als nach Heuristik bepreisen möchten).

Die Gegner sind in der Unterzahl, aber gewichtig: Teams, deren Geschäftsmodell auf der Fähigkeit basiert, Modelle im laufenden Betrieb stillschweigend zu aktualisieren, und TEE-Anbieter, die es bevorzugen würden, wenn ihre Attestierung der einzige Weg zu einem gültigen Siegel wäre.

Worauf bis Glamsterdam zu achten ist

  • Referenzimplementierungen. Die erste ernsthafte Implementierung von ERC-8220 wird uns zeigen, welches Attestierungs-Primitiv der Markt als Standard behandelt. Meine Wette liegt initial auf TEE-basiert, mit einer ZKML-Option bis 2027.
  • Semantik des Siegel-Widerrufs. Der aktuelle Entwurf schweigt darüber aus, was passiert, wenn ein Siegel durch den Betreiber freiwillig für ungültig erklärt wird (Modell-Rückruf, entdeckter Bug). Der Widerrufspfad ist der schwierigste Teil des Standards und der Punkt, an dem er noch fragmentieren könnte.
  • Interoperabilität mit ERC-8004-Reputation. Wenn die Reputation eines versiegelten Agenten bei einem geringfügigen Richtlinien-Update sauber auf ein neues Siegel übertragen wird, schwächt sich die Eigenschaft "Identitätswechsel bei Mutation" ab. Wenn sie überhaupt nicht übertragen wird, werden sich Betreiber gegen eine Versiegelung wehren.
  • Ökosysteme für Off-Chain-Auditoren. Das Siegel ist nur so nützlich wie die neutralen Auditoren, die es attestieren. Erwarten Sie im Jahr 2026 einen wegweisenden Rechtsstreit, der die Haftung von Auditoren klärt.

Das Muster, auf das man letztlich achten sollte, ist, ob Governance zu einem Produkt wird und nicht nur ein Kostenfaktor für die Compliance bleibt. ERC-20 hat dies für Token getan: Emittenten hörten auf, über Fungibilitäts-Primitive zu streiten, und begannen, über die Dinge zu konkurrieren, die auf dem Standard aufgebaut wurden. Wenn ERC-8220 erfolgreich ist, wird die Aussage "Unser Agent ist unter Richtlinie X versiegelt, mittels Methode Y attestiert und durch jeden Inhaber des Siegels prüfbar" bis 2027 zum Standard-Marketing — und der interessante Wettbewerb verlagert sich eine Ebene höher hin zu Richtliniendesign, Auditorenwahl und Siegel-Kompositionsmustern.

Das wäre das sauberste Ergebnis: Ein technischer Standard, der so langweilig ist, dass niemand darüber spricht, und ein Agenten-Ökosystem, das wesentlich verantwortungsvoller ist, weil es im Stillen existiert.

BlockEden.xyz bietet RPC- und Indexierungs-Infrastruktur auf Enterprise-Niveau über die Chains hinweg, auf denen agentenbasierte Anwendungen entwickelt werden — Ethereum, Sui, Aptos und mehr. Da das Abfragevolumen von Agenten 10-mal schneller wächst als das menschliche Abfragevolumen, muss die zugrunde liegende Infrastruktur skalieren, ohne sich im Stillen zu verändern. Entdecken Sie unsere Services, um auf Fundamenten zu bauen, die auf Dauer ausgelegt sind.

Quellen

Share on Twitter