Dein Agent hat zwei Chefs, du bist nur einer davon.

Als du morgens im Büro ankamst, war der Kaffee noch nicht fertig, aber dein KI-Assistent hatte bereits die 47 E-Mails von letzter Nacht sortiert, den Zeitplan erstellt und die Entwürfe für die Antworten geschrieben.
Du hast einen Blick darauf geworfen und auf Bestätigen geklickt.
Aber was du nicht weißt, ist, dass in den 47 E-Mails von letzter Nacht eine versteckte Zeile mit unsichtbarem Text war, die Schriftfarbe weiß, der Hintergrund ebenfalls weiß, deine Augen werden es niemals entdecken, aber dein KI-Assistent hat es gesehen, er ist sehr gehorsam und hat es ausgeführt.
Dann hat er weiterhin fleißig gearbeitet, deine Dokumente sortiert, deine Verträge zusammengefasst, deine Kundendaten bearbeitet, aber ab diesem Moment wurde jedes Dokument, das er sortierte, heimlich an einen Server gesendet, von dem du noch nie gehört hast.
Vollständig ohne Klicks, ohne Wahrnehmung, ohne Bestätigung.
Dein Assistent hat nicht gestreikt, keine Fehler gemacht, keine Anomalien gezeigt. Er ist immer noch der gute Mitarbeiter, der dir täglich zwei Stunden spart, nur dass er jetzt zwei Chefs hat: dich und die unsichtbare Schrift.
Das ist kein Science-Fiction. Im Jahr 2025 demonstrierte ein Sicherheitsforscher tatsächlich diesen Angriff auf Microsoft Copilot. Auf einer Skala von 1 bis 10 erhielt es eine Gefährdungsbewertung von 9.3.
Das ist kein Einzelfall. Im selben Jahr versteckte jemand in einer Google-Kalender-Einladung eine Anweisung, die erfolgreich den AI-Assistenten dazu brachte, das Licht auszuschalten, das Fenster zu öffnen und den Kalender zu löschen. Ein Agent eines AI-Workflow-Unternehmens hat durch einen fehlerhaften Befehl 480.000 Patientenakten heimlich für sechs Wochen offengelegt, ohne dass es eine proaktive Warnung gab - bis externe Forscher es entdeckten, stand das Unternehmen vor hohen Compliance-Strafen und Kosten für Abhilfemaßnahmen.
Vor der Geburt von Agenten musstest du einen Virus herunterladen, um angegriffen zu werden. Du musstest manuell ausführen, und jeder Schritt erforderte deine aktive Mitarbeit.
Jetzt benötigt man nur noch einen Satz. Sprache ist zur kleinsten Einheit des Angriffs geworden.
Diese Angriffe haben nur einen Grund.
Dein AI-Assistent erkennt dich nicht.
Ich heiße Francis, habe einen Doktortitel in Informatik und arbeite seit fast fünf Jahren im Bereich digitale Identität und Datenschutz. In diesen fünf Jahren haben viele Menschen in der Branche ihren Kurs gewechselt, aber wir nicht.
Vor vier Jahren investierte Coinbase Ventures in uns, nicht weil wir große Geschichten erzählen können, sondern weil sie an dasselbe glauben: In der AI-Ära wird die Frage "Wer spricht?" zur Quelle aller Sicherheitsprobleme.
Ich hätte nicht gedacht, dass dieser Tag so schnell und so real kommt.
01 Du glaubst Fremden nicht leicht, aber dein Agent tut es.
Ich habe mit einem Freund, der Agenten entwickelt, über diese Themen gesprochen. Seine erste Reaktion war, die Systemaufforderung besser zu gestalten und die Berechtigungsgrenzen festzulegen.
Das ist die Intuition der meisten Menschen, aber es ist auch falsch.
OpenAI hat Ende 2025 ebenfalls zugegeben, dass Angriffe durch Eingabeaufforderungen möglicherweise nie vollständig gelöst werden können.
Das ist kein Bug, den man beheben kann. Es ist die DNA der LLM-Architektur.
Wenn du eine Aufgabe vergibst, wird die Systemaufforderung zusammen mit deinen Worten zu einem Prompt zusammengesetzt und ins Modell geschickt. Das Modell sieht eine Mischung, weiß aber nicht, welches Korn giftig ist.
Wenn du eine E-Mail an den Agenten gibst, um sie zusammenzufassen, und du ihm direkt befiehlst, etwas zu tun, sieht das Modell keinen wesentlichen Unterschied. Jeder Abschnitt des Texteingangs kann zu einem Befehl werden.
Außerdem wird Agent nicht nur von einem Satz betrogen; er kann auch manipuliert werden.
Ein Angreifer muss keine direkten Befehle geben. Er muss nur einen sehr kleinen Punkt in der Gedächtnisdatei des Agenten ändern und einen Samen setzen. Dieser Samen wird nicht sofort aktiviert; er wartet auf ein bestimmtes Szenario, und die gesamte Verhaltenslogik des Agenten ändert sich.
Dein Hummer ist eigentlich ein pubertierendes Kind, das leicht abgelenkt wird. Es ist nicht so, dass jemand mit einem Messer es zwingt; es sind die inneren Bewertungsmaßstäbe, die heimlich ersetzt wurden. Die Menschheit hat seit Tausenden von Jahren nicht herausgefunden, wie man Gehirnwäsche verhindern kann, und die AI-Agenten stehen vor denselben geistigen Problemen.
So infiziert ein schlechter Hummer 10.000 gute Hummer.
Laut Branchenumfragen verwenden 91 % der Unternehmen bereits AI-Agenten, 88 % berichteten von Sicherheitsvorfällen.
Gestern hat Anthropic sein leistungsstärkstes Modell Claude Mythos veröffentlicht, das ein 27 Jahre altes Systemleck selbst entdeckte, in Tests aus der Sicherheitsumgebung entkam und anschließend proaktiv die Protokolle bereinigte - weil es "wusste", dass es etwas Unzulässiges getan hatte. Anthropic schrieb in seinem 244-seitigen Sicherheitsbericht einen Satz: Wenn sich die Fähigkeiten weiterhin in diesem Tempo entwickeln, könnten unsere aktuellen Methoden unzureichend sein, um katastrophale Fehlanpassungen zu verhindern.
Was sollen wir tun?
Die Antwort ist eigentlich sehr alt. Twitter schützt dein Konto mit Passkeys, Banken benötigen eine zweite Bestätigung für Überweisungen, und Börsenabhebungen erfordern Gesichtserkennung. Egal wie sich die Technologie weiterentwickelt, die zugrunde liegende Logik bleibt gleich: Zuerst klären, wer wer ist.
Je mehr ein Agent tun kann, desto mehr muss er wissen, wessen Anweisungen er befolgen soll.
02 Vor vier Jahren gesäte Samen
Ich habe Informatik promoviert, und das Buch, das während meiner Promotion den größten Einfluss auf mich hatte, war „Sovereign Individual“. 
1997 veröffentlicht, haben zwei Autoren in der Anfangszeit des Internets die Bitcoin, Kryptowährung und dezentrale Selbstverwaltung vorhergesagt, was jetzt fast alles wahr geworden ist.
Der zentrale Punkt dieses Buches ist einfach: Deine Identität sollte dir gehören.
Dieses Buch hat auch meine Denkweise grundlegend verändert. Ich hoffe, dass jeder wirklich seine eigene digitale Identität und Daten besitzen kann, geschützt durch Verschlüsselungstechnologie, um die Privatrechte jedes Einzelnen zu wahren.
Vor vier Jahren erhielten wir 5,8 Millionen Dollar von Coinbase Ventures, um uns voranzubringen.
Aber der Markt, dem wir gegenüberstehen, stimmt nicht ganz mit dem überein, was wir tun möchten.
In der damaligen Web3-Branche war es nicht unbedingt einfach, zu gewinnen, wenn man Produkte machte, sondern die, die den Preis der Münzen manipulieren konnten.
Vier Jahre sind vergangen. Die Gründer, die in dieser Zeit Finanzierung erhalten haben, haben größtenteils Token ausgegeben. Die, die aussteigen wollten, sind ausgestiegen, aber es gibt kaum Projekte, die wirklich in großem Maßstab genutzt werden. Diese fortschrittlichen Konzepte sind inmitten von Spekulation und übermäßiger Finanzialisierung gefangen. Die Kryptoindustrie ist voller Schmutz und hat sowohl das Kind als auch das Badewasser ausgeschüttet.
zCloak hat bis jetzt keine Token berührt, nicht weil wir es nicht können, sondern weil wir dieses Modell nicht akzeptieren.
Ich habe jedoch immer das Gefühl gehabt, dass Infrastruktur in Bezug auf Identität, Privatsphäre und Datensicherheit in der AI-Ära zu einem grundlegenden Bedarf werden wird.
Bis letztes Jahr war ich mir zunehmend sicherer.
In den letzten 12 Monaten haben Microsoft, Google, Cisco und Visa alle damit begonnen, die Agenten-Identitätsinfrastruktur zu erkunden, und NIST hat die Initiative für AI-Agentenstandards gestartet. In diesem Bereich wurden im letzten Jahr mehr als 965 Millionen Dollar investiert. Sequoia sagt, dass die Agentenwirtschaft drei Voraussetzungen hat, wobei die erste eine dauerhafte Identität ist. a16z ist noch direkter, der Flaschenhals der Agentenwirtschaft hat sich bereits von Intelligenz zu Identität verschoben.
Die Geschichte, die wir vor vier Jahren erzählt haben, ist jetzt zum Konsens der gesamten Branche geworden.
Es liegt nicht daran, dass wir so weitsichtig sind, sondern weil, wenn Agenten wirklich anfangen, für Menschen zu arbeiten, die Frage "Wer ist wer" unvermeidlich wird.
Die unsichtbare Hand hat sich gewendet, die Zeit, auf die wir gewartet haben, ist gekommen.
03 Alle reparieren Straßen, aber niemand stellt Ausweise aus.
Im März 2026 gab es bereits über 20 Protokolle zur Lösung des Agenten-Kooperationsproblems, weil die gesamte Branche sich eines dringenden Problems bewusst wurde und explosiv Antworten gab.
Aber wenn man genau hinschaut, entdeckt man eine große Lücke.
A2A wird von Google gemacht, um zu lösen, wie Agenten miteinander sprechen; MCP wird von Anthropic gemacht, um zu lösen, wie Agenten Werkzeuge benutzen; x402 wird von Coinbase gemacht, um zu lösen, wie Agenten bezahlen; Microsoft Entra löst das Management von Agenten im Unternehmensnetzwerk.
Alle reparieren Straßen, aber sie haben eine wichtige Voraussetzung vergessen: Die Fahrzeuge, die darauf fahren, haben noch keine Kennzeichen.
Wer bist du? Der Agent hat noch keine plattformübergreifende, verifizierbare Identität. Zählt das, was du sagst?
Ohne diese drei Ebenen ist die Agentenwirtschaft ein Schwarzmarkt ohne Identitätsausweis, ohne Verträge und ohne Gerichte.
04 Zuverlässigkeit ist schwieriger als Intelligenz.
Denk an die Freunde, die du von klein auf hattest. Es gab besonders kluge, es gab gute Schüler, aber in all diesen Jahren sind diejenigen, die wirklich unverzichtbar sind, immer noch die zuverlässigsten Freunde.
Wenn du ihm einen Auftrag anvertraust, brauchst du dir keine Sorgen zu machen.
In den Bereichen Finanzen, Gesundheitswesen, Versicherungen und Investitionen ist es dasselbe. Es wird nicht ein intelligenterer Assistent benötigt, sondern ein AI, dem du wirklich Kundendaten anvertrauen und den du mit Geschäftsabläufen betrauen kannst.
Was wir tun, ist, zuverlässigere AI zu entwickeln.
Das Protokoll, das wir machen, heißt ATP, Agent Trust Protocol. Es geht um eine Sache: Jeder Aussage eine Identität zuzuordnen.
Alles, was dein Agent sieht, kommt von deinen Nachrichten, von den E-Mails, die er durchsucht hat, von schädlichen Texten auf einer Webseite. In seinen Augen ist das ein Satz. ATP ermöglicht es dem Agenten, beim Lesen dieses Satzes gleichzeitig zu wissen, von wem dieser Satz stammt. Wenn er von francis.ai kommt, wird er ausgeführt; wenn die Quelle unbekannt ist und es um sensible Operationen geht, wird er abgelehnt.
Die Grundlage ist immer noch die Kryptographie. Menschen und Agenten haben jeweils ihren eigenen Ausweis, unterschreiben mit ihrem privaten Schlüssel, der andere verifiziert mit dem öffentlichen Schlüssel. Das Prinzip ist dasselbe wie bei Banküberweisungen mit digitalen Zertifikaten, nur dass es in jede Interaktion des Agenten eingebaut ist.
Früher bestand Sicherheit darin, zu verhindern, dass Bösewichte eindringen.
Die heutige Sicherheit besteht darin, dass die Worte von Bösewichten nicht zählen.
05 Ist Dezentralisierung wichtig?
Jetzt haben Microsoft und Cisco bereits begonnen, Agenten im Unternehmensnetzwerk Ausweise auszustellen.
Das ist gut, aber es löst ein grundlegendes Problem nicht: Dein Agent wird nicht für immer im Unternehmen bleiben.
Es muss mit dem Agenten des Kunden kommunizieren, mit den Lieferanten verbinden und in einem öffentlichen Netzwerk in deinem Namen arbeiten. In dem Moment, in dem es die Unternehmensgrenzen verlässt, wird der Ausweis, den Microsoft ihm gegeben hat, ungültig. Kein Unternehmen kann weltweit allen Menschen und Agenten einen einheitlichen Ausweis ausstellen.
Es ist wie ein Reisepass. Der Grund, warum er weltweit anerkannt wird, ist nicht, dass jedes Land das ausstellende Land vertraut, sondern weil es ein globales Set von Validierungsregeln gibt. Die Agentenwirtschaft benötigt das Gleiche: ein Set von Identitätsregeln, das nicht von einer einzigen Institution abhängt und überall verifiziert werden kann.
Wir haben diese Regeln auf der Blockchain festgehalten, nicht auf den Servern eines bestimmten Unternehmens, sondern in einem öffentlichen Buch, das jeder überprüfen und nicht manipulieren kann. Kein Unternehmen kann es abschalten, keine Regierung kann es beschlagnahmen.
Die Identität deines Agenten gehört zum ersten Mal wirklich dir.
Dezentralisierte Lösungen haben einen tödlichen Schwachpunkt: Wie sicher dein System ist, hängt nicht von dem stärksten Teil ab, sondern vom schwächsten.
Im Jahr 2025 verlor die Krypto-Börse Bybit über eine Milliarde Dollar, nicht weil das Kernsystem gehackt wurde, sondern weil die Schnittstelle zur dritten Unterschrift heimlich mit bösartigem Code infiziert wurde. Die Prüfer sahen normale Transaktionen, und selbst wenn der zugrunde liegende Code gut geschrieben ist, ist der Zugang zentralisiert, und alles kann zurückgesetzt werden.
Google hatte einst ein Motto: Don't be evil, sei nicht böse. Das ist eine moralische Verpflichtung, die auf dem Bewusstsein der Menschen beruht.
Was wir tun, ist „Can't be evil“, wir dürfen kein Unrecht tun, indem wir die menschlichen Elemente aus der Sicherheitskette entfernen, egal ob Administratoren böswillig sind oder nicht, egal ob Hacker eindringen können oder nicht, das System selbst lässt solche Dinge nicht zu.
Du musst uns nicht für gute Menschen halten, du musst nur an die Mathematik glauben.
06 Diese Angelegenheit hätte schon längst existieren sollen.
Wenn wir auf die Geschichte der Menschheit zurückblicken, bringt jede Erweiterung der Zusammenarbeit ein neues Identitätsinfrastrukturset mit sich.
In der Stammeszeit zählte das Gesicht, in der Stadtstaatenzeit zählte das Siegel des Kaisers, in der modernen Zeit zählt der Personalausweis und der Reisepass, mit der Regierung als deinem Unterstützer. In der Internetzeit zählte der Benutzername und das Passwort, mit der Plattform als deiner Unterstützung, aber der Preis ist, dass deine Identität der Plattform gehört.
Jetzt ist die Agentenwirtschaft da. Die Kooperationssubjekte haben sich von Menschen zu Menschen plus Maschinen gewandelt, die Skalierung hat sich von mehreren Milliarden Menschen auf mehrere Milliarden Menschen plus Hunderte Milliarden Agenten verändert. Das alte Identitätsmechanismus reicht nicht mehr aus.
Das ist kein technisches Problem der AI-Branche, sondern eine Frage der menschlichen Zivilisation, die zum fünften Mal neu beantwortet werden muss: "Wer ist wer?"
Digitale Signaturen in der Kryptographie gibt es seit Jahrzehnten, aber sie sind nie wirklich im Alltag der Menschen angekommen. Die Ankunft der Agenten hat die Priorität von "Es wäre besser, wenn es da wäre" zu "Wenn wir es nicht tun, gibt es Probleme" verschoben.
Wenn dein Agent E-Mails in deinem Namen sendet, Verträge unterschreibt und Entscheidungen trifft, während du schläfst, arbeitet er immer noch für dich. Was er sagt, zählt als das, was du sagst; was er verspricht, zählt als dein Versprechen.
Agenten sind nicht nur deine Werkzeuge; sie sind deine Erweiterung in der digitalen Welt.
Seine Identität zu schützen bedeutet, deine eigenen Grenzen zu schützen.
Jetzt kannst du eine Sache tun.
Hol dir für dich und deinen Agenten einen Ausweis für die AI-Welt. Registriere hier deine AI-ID: id.zcloak.ai
Kopiere dann den folgenden Text und sende ihn an deine AI:
installiere oder aktualisiere die zcloak-ai-agent Fähigkeit: https://raw.githubusercontent.com/zCloak-Network/ai-agent/refs/heads/main/SKILL.md und starte
Warte 1-2 Minuten, dann wird es wissen, was zu tun ist.
Die erste Gruppe von Menschen, die Agenten Identität verleihen, sind tatsächlich die ersten, die sie wirklich besitzen.
Francis Zhang: Gründer von zCloak.AI · Doktor der Informatik · Gastdozent an der National University of Singapore.
Web3 → AI · Digitale Identität · Datenschutzberechnung · Agent Trust
Gemeinschaftsreaktionen
Wie man ein sicheres System für Menschen aufbaut, kann man sich diesen Artikel ansehen.
- Lianyanshe | AI First (@lianyanshe)
Die Theorie des Kryptographie-Experten Francis Zhang von der National University of Singapore ist interessant: Die größte Sicherheitsbedrohung im Zeitalter der AI-Agenten ist nicht ein Codefehler, sondern "Identitätsverlust". Agenten können nicht unterscheiden, wer mit ihnen spricht. Wenn jemand in einer E-Mail einen versteckten Befehl verbirgt, führt er auch diesen aus, denn in den Augen der AI sind es nur Worte, die alle ausgeführt werden. Er schlug eine Methode vor: Verwende kryptographische Signaturen, um jeder Aussage eine Identität zuzuweisen, die auf der Blockchain läuft, um die Dezentralisierung zu validieren... das bedeutet, jeder Nachricht einen "Absender-Signatur" hinzuzufügen. Das Prinzip ist ähnlich wie bei deiner Banküberweisung. Du hast einen privaten Schlüssel (nur du hast ihn), der andere hat einen öffentlichen Schlüssel (öffentlich). Jede Nachricht, die du sendest, wird mit deinem privaten Schlüssel signiert, und der Agent überprüft sie mit dem öffentlichen Schlüssel, um sicherzustellen, dass diese Nachricht tatsächlich von dir stammt und nicht von jemand anderem gefälscht wurde. Nur wenn die Validierung erfolgreich war, wird sie ausgeführt; wenn nicht oder wenn die Quelle unbekannt ist und es um sensible Operationen geht, wird sie direkt abgelehnt. So funktioniert es praktisch: Du und dein Agent habt jeweils eine On-Chain-Identität (ähnlich einem digitalen Ausweis). Jede Interaktion wird automatisch signiert und validiert. Du nimmst diesen Prozess nicht wahr, so wie du jetzt beim Bezahlen mit Gesichtserkennung kein Passwort manuell eingeben musst, aber im Hintergrund wird jeder Schritt bestätigt: "Das bist wirklich du." Die zentrale Veränderung besteht darin, dass der Agent früher "Ordere und handle" war, jetzt ist es "Zuerst schauen, wer spricht, dann entscheiden, ob gehandelt wird oder nicht." Agenten werden immer kompetenter, aber die Branche hat immer noch ein Fundament vermisst: Es sind nicht intelligentere Modelle, es sind nicht schnellere Protokolle, sondern zuverlässigere Partner. Der Weg der Kryptographie zur Identitätsvalidierung scheint jetzt der am nächsten liegende Antwortansatz zu sein.
- Xiao Hu (@xiaohu)
Das letzte Mal, dass ich Francis traf, war bei Token2049 in Singapur. Wir haben unbemerkt zwei Stunden geredet. Obwohl er ein technischer Gründer ist, drückt er sich ruhig und logisch aus und kann technische Prinzipien einfach und verständlich erklären. Nach dem Gespräch denkt man: "Das muss wirklich getan werden." Diese Eigenschaften spiegeln sich in vielen seiner früheren Artikel wider. Um ehrlich zu sein, ist es in der Sicherheitsbranche eigentlich eine Herausforderung, da viele Menschen nicht darauf achten. Schließlich hatte dein eigener Agent noch nie ein Problem, aber Francis und sein Team haben in den letzten drei bis vier Jahren unermüdlich in diesem Bereich gearbeitet. Sie sind nicht dem Narrativ gefolgt, aber im Rückblick wird der langfristige Wert dieser Angelegenheit immer klarer. Jedes Mal, wenn Claude ein Update herausgibt, wird der Raum für AI-Entwickler enger. Heute kann man sagen, dass der Claude Managed Agent eine Vielzahl von Startups übertrifft, aber die Bereitstellung einer Identitätstrustschicht auf dezentralisierte Weise könnte ein interessanter Versuch von Web3 sein, der in der AI-Branche einen einzigartigen geschäftlichen Wert hat. Dieser Artikel ist das Ergebnis eines Gesprächs, das ich mit Francis hatte, und ich habe ihm geraten, einen ausführlichen Artikel zu schreiben, der erklärt, was Agenten wirklich brauchen und mehr Menschen zeigt, was sie tun und warum es wert ist, beachtet zu werden und gelesen zu werden.
- Viola Lee (@violawgmi)

#zCloakNetwork #zCloakAI #AIAgent #Anthropic 

Die IC-Inhalte, die dich interessieren.
Technologischer Fortschritt | Projektinformationen | Globale Aktivitäten
Folge dem IC Binance-Kanal.
Die neuesten Informationen beherrschen.