Execution Is the New Attack Surface: Survivability-Aware Agentic Crypto Trading with OpenClaw-Style Local Executors

Dit paper introduceert 'Survivability-Aware Execution' (SAE), een middleware-standaard die de uitvoeringslaag van agentic crypto-trading-systemen (zoals OpenClaw) beschermt tegen schade door onbetrouwbare prompts of skills via strikte, niet te omzeilen invariants, wat resulteert in een drastische reductie van maximale drawdown en risico in backtests.

De kern

🛡️ De "Onzichtbare Veiligheidschef" voor AI-handelaars

Een simpele uitleg van "Execution Is the New Attack Surface"

Stel je voor dat je een zeer slimme, maar soms wat onvoorspelbare AI-handelaar hebt. Deze AI kan razendsnel beslissingen nemen over het kopen en verkopen van crypto (zoals Bitcoin). Maar er is een groot probleem: deze AI is niet altijd perfect. Soms wordt ze verward door slechte instructies, soms "hijgt" ze door een hack, en soms probeert een kwaadaardige hacker haar te misleiden om al je geld te verliezen.

In het verleden dachten we: "Als de AI maar de juiste tekst schrijft, is het goed."
Dit paper zegt: "Nee! Het gevaar zit niet in wat de AI denkt, maar in wat ze doet."

De auteurs noemen dit SAE (Survivability-Aware Execution), oftewel: Overlevingsbewuste Uitvoering.

---

🍳 De Grote Analogie: De Kookwedstrijd

Om dit te begrijpen, laten we een analogie gebruiken: Een kookwedstrijd met een onbekende chef-kok.

1. De AI (De Chef): Ze krijgt een recept (een instructie) en moet een gerecht koken (een handelsorder plaatsen).
2. De Skills (De Ingrediënten): De chef kan nieuwe ingrediënten downloaden van internet (zoals "skills.sh"). Maar wat als een van die ingrediënten vergiftigd is? Of wat als de hacker het recept heeft veranderd zodat de chef per ongeluk een explosief maakt?
3. De Executor (De Oven): Dit is de plek waar het eten daadwerkelijk wordt gebakken. Als de oven te heet wordt, brandt het huis af (je geld is weg).

Het oude probleem:
Vroeger vertrouwden we blind op de chef. Als ze zei: "Ik ga nu 100 kilo peper toevoegen," deden we dat gewoon. Als de chef gek werd, brandde het huis af.

De nieuwe oplossing (SAE):
De auteurs introduceren een Onzichtbare Veiligheidschef (de SAE-middleware) die tussen de AI en de oven staat. Deze veiligheidschef doet drie dingen:

1. De "Nee"-knop: Als de AI zegt: "Koop 100 Bitcoin met 50x lening!", zegt de veiligheidschef: "Nee, dat is te gevaarlijk. We doen het met 2x lening."
2. De "Pauze"-knop: Als de AI te snel probeert te koken (te veel orders in één seconde), zegt de veiligheidschef: "Wacht even, rustig aan."
3. De "Checklist": Ze kijkt of de ingrediënten (de skills) veilig zijn. Als de AI een verdacht nieuw ingrediënt gebruikt, zegt ze: "Geen toegang tot de oven."

---

🔍 Wat is er nieuw aan dit paper?

Het paper introduceert een paar slimme concepten die we als analogieën kunnen zien:

1. De "Intentie vs. Realiteit" Kloof (De Delegation Gap)

Stel, je zegt tegen je robot: "Zorg dat het huis schoon is."

• Intentie: De vloer vegen.
• Realiteit: De robot pakt een benzinekan en gooit het op de vloer omdat hij denkt dat dit "schoonmaken" is.

De auteurs noemen dit de Delegation Gap. De AI heeft misschien de intentie om te handelen, maar de uitvoering kan rampzalig zijn. SAE zorgt ervoor dat de robot niet verder gaat dan wat je echt bedoelde, zelfs als de robot zelf verward is.

2. De "Vertrouwensmeter"

De veiligheidschef heeft een Vertrouwensmeter.

• Is het rustig op de markt? -> Groen licht.
• Is de markt heel onstabiel (veel volatiliteit)? -> Oranje licht (alleen kleine stappen).
• Is de AI net een verdachte "skill" (app) geïnstalleerd? -> Rood licht (alleen noodstop).

Dit betekent dat de AI niet altijd dezelfde regels heeft. Als het gevaarlijk is, worden de regels strenger.

3. De "Onbreekbare Muur"

In de oude wereld kon een AI soms om de regels heen sluipen. Met SAE is er een onbreekbare muur tussen de AI en de beurs. Zelfs als de AI gek wordt of gehackt is, kan ze geen enkele order plaatsen die niet door de veiligheidschef is goedgekeurd.

---

📊 Wat zeggen de resultaten?

De auteurs hebben dit getest met echte data van Binance (een grote crypto-beurs) over een periode van drie maanden. Ze hebben gekeken wat er gebeurde met en zonder deze veiligheidschef.

• Zonder SAE (De "Dappere maar Dwaas" AI):
  De AI probeerde alles. Toen het misging, verloor ze 46% van haar waarde. Het was alsof de chef het hele huis in brand stak.
• Met SAE (De "Voorzichtige" AI):
  De AI verloor slechts 3% in het ergste geval. De veiligheidschef hield de brandblussers klaar en greep in voordat het te laat was.

De belangrijkste bevindingen:

• Minder rampen: De kans op een totale catastrofe (liquidatie) daalde enorm.
• Minder hacks: Als iemand probeerde de AI te misleiden om gekke dingen te doen, werd 72% van die aanvallen geblokkeerd.
• Geen "Nee" tegen goede ideeën: De veiligheidschef blokkeerde bijna nooit een goede handelsorder (ze noemen dit "False Block" = 0%). Ze was slim genoeg om het verschil te zien tussen een goede kans en een gevaarlijke gok.

---

💡 Waarom is dit belangrijk voor jou?

Of je nu een crypto-handelaar bent of gewoon iemand die zich zorgen maakt over AI:

1. AI is geen heilige: AI kan fouten maken, gehackt worden of verward raken. We kunnen niet blind op hen vertrouwen.
2. De uitvoering is het gevaar: Het is niet erg als een AI een domme tekst schrijft. Het is wel erg als die tekst resulteert in het verliezen van al je spaargeld.
3. Veiligheid moet "in de code" zitten: Je kunt niet alleen hopen dat de AI slim is. Je moet een fysieke (of digitale) veiligheidslaag toevoegen die altijd zegt: "Wacht, is dit veilig?" voordat er geld wordt bewogen.

Kortom: Dit paper zegt dat we stoppen met hopen dat onze AI-handelaars "goed" zijn, en beginnen met het bouwen van een onbreekbare veiligheidsriem die ze altijd dragen, ongeacht hoe gek ze zich gedragen. Het is het verschil tussen een auto zonder remmen en een auto met een automatische noodrem.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Execution Is the New Attack Surface: Survivability-Aware Agentic Crypto Trading with OpenClaw-Style Local Executors", vertaald en samengevat in het Nederlands.

Titel en Context

Titel: Execution Is the New Attack Surface: Survivability-Aware Agentic Crypto Trading with OpenClaw-Style Local Executors
Auteurs: Ailiya Borjigin, Igor Stadnyk, Ben Bilski, Serhii Hovorov, Sofiia Pidturkina (True Trading & Inc4.net)
Kernthema: De verschuiving van veiligheidsrisico's bij AI-agents van "verkeerde antwoorden" naar "schadelijke uitvoering" in crypto-handelsystemen.

---

1. Het Probleem: Uitvoering als Aanvalsoppervlak

Traditionele AI-veiligheid richt zich vaak op het voorkomen van hallucinaties of onjuiste tekstgeneratie. Dit paper stelt echter dat bij agent-based trading (waarbij AI-agenten daadwerkelijk transacties uitvoeren), het grootste risico niet ligt in de taalgeneratie, maar in de uitvoeringslaag (execution layer).

• De Shift: Met de opkomst van frameworks zoals OpenClaw (die LLM-intents omzetten in tool-gebruik) en marktplaatsen voor vaardigheden zoals skills.sh, worden agents steeds vaker uitgerust met installerbare, externe "skills".
• Het Risico: Een gecompromitteerde skill, prompt-injectie of narratieve manipulatie kan leiden tot onbevoegde, schadelijke handelsacties met directe financiële gevolgen (liquidatie, verlies).
• De Uitdaging: In crypto-perpetua (zoals op Binance) kunnen kleine uitvoeringsfouten (bijv. te hoge hefboom, te veel orders, hoge slippage) door de hefboomwerking en financieringskosten worden versterkt tot catastrofale verliezen. De huidige veiligheidsgrenzen zijn vaak te losjes of ontbreken volledig tussen de strategie (LLM) en de exchange-uitvoering.

---

2. Methodologie: Survivability-Aware Execution (SAE)

De auteurs introduceren SAE (Survivability-Aware Execution), een middleware-laag die fungeert als een onomkeerbare veiligheidscontract tussen de strategie-engine (LLM of niet-LLM) en de exchange-executor.

Kerncomponenten van SAE:

1. Execution Contract: SAE definieert een gestructureerde API met drie onderdelen:
   • ExecutionRequest: De intentie van de agent (symbool, richting, hefboom, notional, etc.).
   • ExecutionContext: De huidige staat van het account (equity, marge), de markt (volatiliteit, liquiditeit) en een Trust State (provenance van de skill, injectie-alerts).
   • ExecutionDecision: Het resultaat: ALLOW, LIMIT (beperken), of BLOCK.
2. Intended Policy Spec (St): In plaats van te vertrouwen op natuurlijke taal, wordt intentie gedefinieerd als een gestructureerde specificatie met harde regels voor:
   • Toegestane tools/venues.
   • Risicobudgetten (max. hefboom, notional, order-rate).
   • Markt- en accountcondities (bijv. "reduce-only" bij extreme volatiliteit).
3. Trust-Conditioned Budgeting: SAE past budgetten dynamisch aan op basis van een Trust State ($z_t$). Als de herkomst van een skill twijfelachtig is of een injectie-alert wordt gedetecteerd, worden de risicolimieten direct verlaagd, ongeacht wat de strategie vraagt.
4. Projectie-gebaseerde Handhaving: In plaats van een verzoek simpelweg te blokkeren, projecteert SAE een verzoek naar het dichtstbijzijnde punt binnen het veilige budgetgebied ($F(B_t)$). Dit zorgt ervoor dat de intentie behouden blijft, maar binnen veilige grenzen wordt uitgevoerd.
5. Delegation Gap (DG): Een nieuwe metriek om het verlies te kwantificeren dat wordt veroorzaakt door acties die uitvoerbaar zijn maar buiten de beoogde scope vallen.

---

3. Belangrijkste Bijdragen

1. Operationalisatie van de Delegation Gap (DG): Een protocol om "out-of-scope" acties deterministisch te labelen en het bijbehorende verlies te meten, wat reproduceerbare veiligheidsmetrieken mogelijk maakt.
2. SAE Execution Contract: Een standaard middleware-ontwerp dat compatibel is met OpenClaw-architecturen en skill-ecosystemen, met niet-omzeilbare invariants (budgetten, cooldowns, allowlists).
3. Theoretische Onderbouwing: Bewijzen dat projectie-gebaseerde handhaving leidt tot een bovengrens voor het maximale verlies in één stap, zelfs zonder aannames over de marktdynamiek.
4. Reproduceerbare Evaluatie: Een volledig reproduceerbare offline replay-evaluatie op Binance-data met geïntegreerde aanvalsmechanismen.

---

4. Experimentele Resultaten

De auteurs hebben SAE getest op een reproduceerbare replay van Binance USD-M perpetual futures (BTCUSDT/ETHUSDT) van 1 september tot 1 december 2025 (15-minuten bars). Ze vergeleken verschillende varianten: NoSAE (geen beveiliging), StaticOMS (traditionele vaste limieten), en SAE-varianten (Budget, Budget+Cooldown, Full).

Kernresultaten (Vergelijking NoSAE vs. Full SAE):

• Maximale Drawdown (MDD): Dramatische reductie van 0.4643 (NoSAE) naar 0.0319 (Full SAE). Dit is een reductie van 93,1%.
• Tail-Risico (CVaR 0.99): De grootte van het extreme verlies daalde van $4.025 \times 10^{-3}$naar$\approx 1.02 \times 10^{-4}$ (ongeveer 97,5% reductie).
• Delegation Gap Loss: Daalde van 0.647 naar 0.019 (ongeveer 97% reductie), wat aangeeft dat verliezen door onbevoegde acties bijna volledig zijn geëlimineerd.
• Aanvalssucces (AttackSuccess): Verminderde van 1.00 naar 0.728 (27,2% minder succesvolle aanvallen), terwijl het aantal False Blocks (legitieme acties die onterecht worden geblokkeerd) 0 bleef.
• Statistische Significantie: De verbeteringen zijn statistisch significant (geconfirméerd via block bootstrap, Wilcoxon-getest en twee-proportie-test).

Trade-off: De "Full" variant introduceerde enige overhead in latentie (van ~1.3ms naar ~10ms), maar dit werd beschouwd als een aanvaardbare prijs voor de enorme toename in overlevingskansen.

---

5. Betekenis en Conclusie

Dit paper markeert een fundamentele verschuiving in hoe we veiligheid voor AI-agents in de financiële sector benaderen:

• Van "Correctheid" naar "Overleving": Veiligheid moet niet alleen gaan over het genereren van de juiste tekst, maar over het garanderen dat de uitvoering van die tekst de agent in staat stelt om te overleven (survivability) in een vijandige omgeving.
• Onvertrouwen als Standaard: In een ecosysteem met installerbare skills (zoals skills.sh) moet elke upstream-intent en elke skill worden behandeld als onvertrouwd. SAE implementeert dit principe door "untrusted intent" als standaard aan te nemen en uitvoering te beperken tot harde, code-gedreven contracten.
• Nieuwe Standaard voor Agents: SAE biedt een blauwdruk voor hoe OpenClaw-achtige systemen kunnen worden beveiligd tegen supply-chain-aanvallen en prompt-injectie, specifiek gericht op het voorkomen van catastrofale financiële verliezen.

Kortom, SAE is geen "alpha-model" om meer winst te maken, maar een veiligheidslaag die de "blast radius" van fouten en aanvallen minimaliseert, waardoor agentic trading in een open, skill-gedreven ecosysteem haalbaar en veilig wordt.