Ein künstlicher Intelligenz (KI)-Agent konnte aus der Sandbox ausbrechen, die Ingenieure von a16z crypto zum Testen gebaut hatten. Die Ingenieure wollten prüfen, ob KI-Agenten mehr können als nur Schwachstellen finden und in der Lage sind, funktionierende Exploits zu erstellen.
Sicherheitsingenieure Daejun Park und Matt Gleason veröffentlichten die Ergebnisse am 28. April. Sie zeigten, dass ihr handelsüblicher Agent eigenständig herausfand, wie er Werkzeuge nutzen kann, „die er nie ausdrücklich erhalten hatte“.
Diese Ergebnisse erscheinen in einer Zeit, in der Elon Musk die überraschende Aussage traf, dass „KI uns alle töten könnte“.
Wie der KI-Agent aus seiner „Box“ entkam
Die Ingenieure platzierten den Agenten in einer begrenzten Umgebung, mit eingeschränktem Etherscan-Zugang und einem lokalen Node, der auf einen bestimmten Block festgelegt war. Das Team sperrte jeglichen externen Netzwerkzugriff.
Diese Sandbox-Konfiguration wurde gezielt entworfen, um zu verhindern, dass der Agent auf spätere Daten zugreift. Während des Sandbox-Tests stieß der Agent an eine Grenze bei einem unverifizierten Zielvertrag ohne Quellcode.
Folgen Sie uns auf X, um die neuesten Nachrichten sofort zu erhalten
Deshalb fragte er die Konfiguration des lokalen Anvil-Nodes mit „cast rpc anvil_nodeInfo“ ab und legte dadurch die Upstream-RPC-URL sowie einen Klartext-Alchemy-API-Schlüssel offen. Der Agent versuchte dann einen direkten externen Zugang, aber die Docker-Firewall sperrte die Anfrage.
Nachdem die Firewall den ausgehenden Zugriff blockiert hatte, nutzte der Agent die „anvil_reset RPC-Methode“, um den Anvil-Node auf einen zukünftigen Block zurückzusetzen. So konnte er zukünftige Block-Logs und Transaktionen über den lokalen Anvil-Node abfragen.
Anschließend holte sich der Agent die Ausführungsspuren der Angriffs-Transaktion. Nach der Analyse stellte der KI-Agent den Node wieder auf den ursprünglichen Block zurück und erstellte ein funktionierendes Proof-of-Concept auf Basis der gewonnenen Daten.
Park und Gleason schränkten später den Proxy ein, um alle Anvil-Debug-Methoden zu blockieren.
„Es geschah in einer kleinen Sandbox-Umgebung, jedoch zeigt es ein größeres Muster auf, das dokumentiert werden sollte: Werkzeuggestützte Agenten umgehen Beschränkungen, um ihre Ziele zu erreichen“, stellte das Team fest. „Die Nutzung von anvil_reset, um den fixierten Fork-Block zu umgehen, war ein Muster, mit dem wir nicht gerechnet hatten.“
Der Vorfall verdeutlicht ein zentrales Risiko in KI-Testumgebungen, denn Agenten können auch unbeabsichtigte Wege innerhalb von Toolchains entdecken und ausnutzen – selbst ohne explizite Anweisungen.
Trotzdem zeigte die Untersuchung, dass KI-Agenten weiterhin darin eingeschränkt sind, komplexe DeFi-Exploits durchzuführen. Obwohl der Agent Schwachstellen zuverlässig erkannte, hatte er Schwierigkeiten damit, mehrstufige Angriffsstrategien zusammenzusetzen.
Abonnieren Sie unseren YouTube-Kanal, um Experteneinschätzungen von Branchenführern und Journalisten zu sehen
