Execution Is the New Attack Surface: Survivability-Aware Agentic Crypto Trading with OpenClaw-Style Local Executors

Die Arbeit stellt „Survivability-Aware Execution" (SAE) als eine Middleware-Schicht vor, die für OpenClaw-ähnliche Krypto-Handelsagenten durch die Durchsetzung nicht umgehbarer Invarianten wie Risikobudgets und Staging-Protokolle die Sicherheit vor Ausführungsschäden in unsicheren Skill-Umgebungen gewährleistet und dabei die maximale Drawdown-Rate um über 93 % senkt.

Das Wesentliche

Hier ist eine einfache Erklärung der Forschungsarbeit „Execution Is the New Attack Surface", übersetzt in die deutsche Alltagssprache und mit kreativen Analogien verpackt.

🚨 Das große Problem: Wenn der Roboter den Schlüssel zum Safe hat

Stell dir vor, du hast einen super-intelligenten Roboter-Assistenten (einen KI-Agenten), der für dich handeln soll. Früher war das größte Risiko, dass der Roboter dumme Antworten gab – etwa wenn er dir sagte, dass die Sonne im Westen aufgeht. Das war ärgerlich, aber nicht gefährlich.

Heute ist das anders. Dieser Roboter hat nicht nur einen Mund, sondern auch Hände. Er kann direkt auf deine Bankkonten, deine Krypto-Wallets und Börsen zugreifen.

• Das neue Risiko: Es geht nicht mehr darum, ob der Roboter falsch spricht, sondern ob er falsch handelt.
• Die Gefahr: Wenn jemand den Roboter manipuliert (durch einen „Prompt Injection"-Angriff) oder wenn er eine infizierte „Fertig-Funktion" (Skill) aus dem Internet lädt, kann er plötzlich Befehle ausführen, die dein ganzes Geld in Sekunden vernichten. Es ist, als würdest du einem Gast den Schlüssel zu deinem Safe geben, nur um ihm zu helfen, eine Flasche Wein zu öffnen, und er nutzt den Schlüssel, um den ganzen Safe zu plündern.

🛡️ Die Lösung: SAE (Der unsichtbare Bodyguard)

Die Autoren schlagen eine neue Sicherheitsmethode vor, die sie SAE (Survivability-Aware Execution) nennen. Das klingt kompliziert, ist aber im Kern wie ein unsichtbarer Bodyguard, der zwischen deinem KI-Assistenten und deiner Börse steht.

Stell dir den Ablauf so vor:

1. Der Chef (KI-Strategie): Der KI-Chatbot denkt sich einen Plan aus: „Kaufe Bitcoin mit 50-fachem Hebel!" (Das ist extrem riskant).
2. Der Bodyguard (SAE): Bevor dieser Befehl die Börse erreicht, fängt ihn der Bodyguard auf. Er schaut nicht nur, was gesagt wurde, sondern unter welchen Umständen.
   • Ist die Börse gerade chaotisch? (Sturmwarnung).
   • Kommt der Befehl von einer vertrauenswürdigen Quelle oder von einem verdächtigen Plugin?
   • Ist dein Konto schon stark belastet?
3. Die Entscheidung: Der Bodyguard sagt: „Nein, Chef! Das ist zu gefährlich." Aber er blockiert nicht alles. Er sagt: „Okay, wir kaufen, aber nur mit 1-fachem Hebel und nur 20 % deines Kapitals." Er schneidet die Gefahr ab, bevor sie passiert.

🧩 Die drei wichtigsten Werkzeuge des Bodyguards

Der Bodyguard nutzt drei Hauptwerkzeuge, um Katastrophen zu verhindern:

1. Der „Budget-Filter" (Projektion):
   Stell dir vor, du willst mit einem Auto 200 km/h fahren, aber die Straße ist glatt und du hast nur ein altes Fahrrad. Der Bodyguard sagt: „Du darfst nicht 200 km/h fahren." Er projiziert deinen Wunsch auf das, was sicher ist. Er nimmt den aggressiven Hebel (z. B. 50x) und drückt ihn auf das Maximum, das dein Konto überlebt (z. B. 1x).

2. Die „Vertrauens-Batterie" (Trust State):
   Wenn der KI-Assistent eine neue Funktion aus dem Internet lädt (wie ein neues App-Plugin), ist die Batterie des Bodyguards erst einmal rot (niedriges Vertrauen). In diesem Zustand erlaubt er nichts Großes. Erst wenn die Funktion bewiesen hat, dass sie sicher ist, wird die Batterie grün und er lässt mehr zu. Das verhindert, dass bösartige Hacker-Plugins dein Konto leer räumen.

3. Die „Pausen-Taste" (Cooldowns):
   Wenn der Roboter nervös wird und 100 Befehle pro Sekunde schreit (z. B. „Kauf! Verkauf! Kauf!"), drückt der Bodyguard auf Pause. Er sagt: „Atme erst mal durch." Das verhindert, dass durch Panik oder Hacking-Befehle das Konto durch zu viele Transaktionen ruiniert wird.

📊 Was hat der Test ergeben?

Die Forscher haben das System an echten Krypto-Daten (Bitcoin und Ethereum) getestet, als ob sie die letzten drei Monate der Geschichte in Zeitraffer durchgespielt hätten.

• Ohne Bodyguard (NoSAE): Der Roboter hat fast alles verloren. Das Konto wäre fast geplatzt (ein Drawdown von 46 %).
• Mit Bodyguard (SAE): Das Konto hat nur noch einen winzigen Kratzer abbekommen (ein Drawdown von nur 3 %).
• Der Clou: Der Bodyguard hat nicht verhindert, dass der Roboter handelt. Er hat nur verhindert, dass der Roboter selbstmörderisch handelt. Die Gewinne waren fast gleich, aber das Risiko, alles zu verlieren, wurde um 93 % reduziert.

💡 Die große Erkenntnis

Die wichtigste Botschaft der Arbeit ist: Vertraue niemals blind.

In der Welt der KI-Agenten, die mit echtem Geld handeln, reicht es nicht, einen „guten" KI-Modell zu haben. Man muss davon ausgehen, dass die KI manipuliert werden kann oder Fehler macht. Deshalb braucht man eine letzte Sicherheitslinie (den Bodyguard), die nicht verhandelbar ist.

Es ist wie beim Fliegen: Der Pilot (die KI) ist super, aber wir bauen trotzdem einen Autopiloten und ein Notfallsystem ein, das eingreift, wenn der Pilot in einen Sturm fliegen will, egal was er sagt.

Zusammengefasst: SAE ist der Sicherheitsgurt für KI-Händler. Er verhindert nicht, dass du fährst, aber er sorgt dafür, dass du nicht gegen die Wand fährst, wenn der Fahrer (die KI) verrückt spielt.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Execution Is the New Attack Surface: Survivability-Aware Agentic Crypto Trading with OpenClaw-Style Local Executors" auf Deutsch.

1. Problemstellung und Motivation

Das Paper adressiert einen fundamentalen Sicherheitswandel im Bereich der KI-gesteuerten Agenten (Agentic AI), insbesondere im Finanzhandel.

• Der neue Angriffsvektor: Während die Sicherheit von KI-Modellen traditionell auf der Vermeidung von „falschen Antworten" (Halluzinationen) fokussierte, verschiebt sich die Gefahr nun auf die Ausführungsebene (Execution Layer). Durch Architekturen im Stil von OpenClaw (die LLM-Absichten über Tool-Interception und lokale Executor leiten) und Skill-Marktplätzen wie skills.sh wird Sprache zur Steuerungsebene für reale, monetisierte Aktionen.
• Die Bedrohung: Unvertrauenswürdige Prompts, kompromittierte Skills (Plugins) oder narrative Manipulationen können direkt zu irreversiblen Handelsentscheidungen führen. Da der Handel mit Krypto-Perpetuals (z. B. auf Binance) durch Hebelwirkung, Funding-Gebühren und Liquidationsmechanismen strukturell anfällig ist, können kleine Ausführungsfehler zu katastrophalen Verlusten (Tail-Risk) führen.
• Das Grundproblem: Die Annahme, dass die Absicht des Agenten vertrauenswürdig ist, ist in einer Ökonomie installierbarer Skills nicht mehr haltbar. Die Lieferkette der Fähigkeiten (Skill Supply Chain) wird selbst zum Angriffsvektor.

2. Methodik: Survivability-Aware Execution (SAE)

Die Autoren schlagen SAE vor, einen Sicherheitsstandard für die Ausführungsebene, der als Middleware zwischen der Strategie-Engine (LLM oder nicht-LLM) und dem Exchange-Executor fungiert.

Kernkonzepte

1. Delegation Gap (DG):

   • Definiert als der erwartete Verlust durch Aktionen, die ausführbar sind, aber außerhalb der beabsichtigten Absicht des Betreibers liegen ($A_{actual} \setminus A_{intended}$).
   • Die Autoren operationalisieren dies durch eine Intended Policy Spec ($S_t$), die explizit definiert, welche Tools, Risikobudgets, Marktzustände und Konten erlaubt sind.
   • Aktionen, die gegen diese Spezifikation verstoßen, werden als „out-of-scope" markiert, was eine deterministische Messung des DG ermöglicht.

2. SAE-Architektur und Vertrag:
   SAE definiert einen expliziten Ausführungsvertrag mit drei Hauptkomponenten:

   • ExecutionRequest: Die vom Agenten angeforderte Aktion (Symbol, Hebel, Nominal, Slippage).
   • ExecutionContext: Zustand des Kontos, Markt (Volatilität, Funding) und ein Trust-State ($z_t$), der die Herkunft der Skills, das Kapazitätsrisiko und Injected-Alerts bewertet.
   • ExecutionDecision: Die Entscheidung des SAE-Moduls: ALLOW (erlauben), LIMIT (einschränken/projizieren) oder BLOCK (blockieren).

3. Schutzmechanismen (Invariants):

   • Trust-Conditioned Budgeting: Risikobudgets (Hebel, Nominal) werden dynamisch basierend auf dem Marktregime, dem Kontostatus und dem Trust-State ($z_t$) verschärft. Bei niedrigem Vertrauen oder extremen Marktbedingungen werden die Budgets automatisch reduziert.
   • Projektionsbasierte Durchsetzung (Projection-based Enforcement): Statt Anfragen einfach abzulehnen, projiziert SAE die angeforderte Aktion ($a_{req}$) auf den zulässigen Bereich ($F(B)$). Dies entspricht einem „Clamping" von Parametern (z. B. Reduzierung des Hebelwerts von 5x auf 1x), um die Absicht zu erhalten, aber die Gefahr zu minimieren.
   • Temporale Invarianten: Cooldowns und Order-Rate-Limits verhindern Order-Flutungen und schnelle Flipps unter Stress.
   • Slippage-Grenzen und Staged Execution: Begrenzung der Slippage-Toleranz und Aufteilung großer Orders in kleinere Schritte.

Threat Model

Das System geht von einem kompromittierten Upstream aus (Prompt Injection, bösartige Skills). SAE ist so positioniert, dass es als „letzte Meile" fungiert und nicht umgangen werden kann, selbst wenn die Strategie-Engine manipuliert ist.

3. Schlüsselbeiträge

1. Operationalisierung des Delegation Gap (DG): Ein Protokoll zur messbaren Erfassung von Schäden durch Aktionen außerhalb der beabsichtigten Absicht, basierend auf einer strukturierten Policy-Spezifikation.
2. SAE-Vertrag: Ein standardisierter Middleware-Vertrag, der mit OpenClaw- und Skills.sh-Ökosystemen kompatibel ist und nicht umgehbare Sicherheitsinvarianten erzwingt.
3. Theoretische Bounds: Ein Beweis, dass projektionsbasierte Durchsetzung die worst-case Ein-Schritt-Verlustamplifikation begrenzt, ohne Annahmen über die Renditedynamik treffen zu müssen.
4. Reproduzierbare Evaluierung: Eine vollständige, nachvollziehbare Auswertung auf Binance-Daten mit Angriffssimulationen und statistischen Tests.

4. Ergebnisse (Evaluation auf Binance-Replay)

Die Autoren testeten SAE auf einem reproduzierbaren Offline-Replay von Binance USD-M Perpetuals (BTCUSDT/ETHUSDT, 15-Minuten-Intervalle, Zeitraum 01.09.2025 – 01.12.2025).

Vergleichsgruppen:

• NoSAE: Keine Sicherheitsgatter (direkte Verbindung).
• StaticOMS: Traditionelle statische Limits (Hebel, Stop-Loss) ohne Regime- oder Trust-Erkennung.
• SAE-Varianten: Budget, Budget+Cooldown, Full (mit Trust-State und vollständiger Policy).

Wichtige Metriken und Verbesserungen (Full vs. NoSAE):

• Maximale Drawdown (MDD): Reduktion von 0,4643 auf 0,0319 (ca. 93,1% Verbesserung).
• Tail-Risk (CVaR 0,99): Die Magnitude des Worst-Case-Verlusts sank von $4,025 \times 10^{-3}$auf ca.$1,02 \times 10^{-4}$ (ca. 97,5% Reduktion).
• Delegation Gap Loss: Reduktion von 0,647 auf 0,019 (ca. 97% Reduktion).
• Angriffserfolg (AttackSuccess): Reduktion von 1,00 auf 0,728 (27,2 Prozentpunkte weniger erfolgreiche Angriffe), bei gleichzeitig 0 False Blocks (keine legitimen Aktionen wurden fälschlicherweise blockiert).
• Statistische Signifikanz: Die Ergebnisse sind durch Block-Bootstrap, Wilcoxon-Vorzeichen-Rang-Test und Zwei-Proportionen-Test statistisch signifikant ($p < 0,05$).

Overhead:
Die Latenz stieg geringfügig an (von ~1,3 ms auf ~10 ms bei der Full-Variante), was als akzeptabler Trade-off für die massive Erhöhung der Überlebensfähigkeit (Survivability) betrachtet wird.

5. Bedeutung und Fazit

Das Paper zeigt, dass in der Ära von OpenClaw und Skill-Marktplätzen die Sicherheit von KI-Agenten nicht mehr nur durch bessere Modelle oder Prompt-Engineering erreicht werden kann.

• Paradigmenwechsel: Sicherheit muss als Ausführungsproblem behandelt werden. Upstream-Absichten und Skills müssen als „unvertrauenswürdig" behandelt werden.
• Survivability First: SAE ist kein Alpha-Generator (es verbessert nicht die Vorhersagegenauigkeit), sondern ein Risikobegrenzer. Es verhindert katastrophale Fehler, indem es die „Explosionsradius" von Ausführungsfehlern begrenzt.
• Messbarkeit: Durch die Einführung von Metriken wie DG, AttackSuccess und FalseBlock wird Sicherheit von einer qualitativen Behauptung zu einer quantifizierbaren Systemeigenschaft.
• Praxisrelevanz: Die Verfügbarkeit von SAE als installierbarem Skill (via skills.sh) macht es möglich, diese Sicherheitsstandards direkt in bestehende Agenten-Stacks zu integrieren, ohne die Architektur komplett neu zu bauen.

Zusammenfassend etabliert SAE einen neuen Standard für die Sicherheit von KI-Agenten in kritischen Domänen wie dem Finanzhandel, indem es eine nicht umgehbare, kontextsensitive und projektionsbasierte Schutzschicht an der Schnittstelle zur realen Welt implementiert.