SlowMist: Fünf-Schichten-Sicherheitsframework für KI-Agenten

KI News

SlowMist: Fünf-Schichten-Sicherheitsframework für KI-Agenten

66 * gelesen
Table of Contents

Dieser Artikel wurde mit Künstlicher Intelligenz erstellt und redaktionell kuratiert.

⚡ In 30 Sekunden: SlowMist – ein auf Blockchain-Sicherheit spezialisiertes Unternehmen mit Kunden wie Binance, OKX und Bitget – hat im März 2026 ein fünfschichtiges Sicherheitsframework für KI- und Web3-Agenten veröffentlicht. Die fünf Schichten adressieren Governance-Baseline, Rechtebeschränkung, externe Bedrohungswahrnehmung, On-Chain-Risikokontrolle und kontinuierliches Auditing. Begleitet wird das Framework vom ADSS-Governance-Layer mit den Tools MistEye, MistTrack, OpenClaw und MistAgent. Das GitHub-Repository ist MIT-lizenziert und frei verfügbar.

Autonome KI-Agenten verwalten längst nicht mehr nur Kalender oder beantworten E-Mails – sie führen Blockchain-Transaktionen durch, steuern Krypto-Wallets und wickeln Handelspositionen ab. Genau dort, wo die Systeme mehr Handlungsspielraum bekommen, wächst auch die Angriffsfläche. Laut dem Cisco State of AI Security Report 2025 verfügen weniger als 34 Prozent der Unternehmen über KI-spezifische Sicherheitskontrollen – und weniger als 40 Prozent führen regelmäßige Sicherheitstests an KI-Agenten durch.

Das Cybersicherheitsunternehmen SlowMist hat darauf im März 2026 eine strukturierte Antwort vorgestellt: ein fünfschichtiges Sicherheitsframework speziell für KI- und Web3-Agenten, kombiniert mit einem Open-Source-Toolset. Wer sich für das breitere Thema der Agenten-Sicherheit interessiert, findet auf AI-Fabrik bereits ausführliche Analysen zu IronCurtain als Open-Source-Sicherheits-Sandbox sowie zu Shadow AI und den Governance-Anforderungen für selbstgehostete Agenten-Systeme.

Wer ist SlowMist?

SlowMist wurde im Januar 2018 gegründet und positioniert sich als auf Blockchain-Sicherheit spezialisiertes Threat-Intelligence-Unternehmen. Das Team besteht laut Eigenaussage aus Sicherheitsexperten mit über zehn Jahren Erfahrung in der klassischen Netzwerksicherheit. Zu den Kunden zählen laut SlowMist-Angaben unter anderem HashKey Exchange, OKX, Binance, HTX, Bitget, Amber Group und Crypto.com. Das Unternehmen betreibt fünf Sicherheitsstandorte weltweit und hat Arbeitsergebnisse nach eigenen Angaben bei internationalen Organisationen wie dem UN-Sicherheitsrat und dem UN-Büro für Drogen- und Verbrechensbekämpfung eingereicht. Diese Angaben stammen ausschließlich aus SlowMist-Eigendarstellungen; eine unabhängige Verifizierung liegt der Redaktion nicht vor.

Für den DACH-Kontext ist relevant: SlowMist ist kein europäisches Unternehmen. Wer das Framework oder die ADSS-Tools in regulierten Umgebungen einsetzen möchte, muss die übliche DSGVO-Prüfung und ggf. eine Datenschutz-Folgeabschätzung vornehmen.

Warum ein neues Sicherheitsframework notwendig ist

Der Ausgangspunkt des Frameworks ist eine Beobachtung, die SlowMist in der Praxis gemacht hat: Aktuelle Angriffe auf KI-Agenten sind selten klassische Code-Exploits. Stattdessen nutzen Angreifer die strukturellen Besonderheiten von Agenten-Architekturen aus.

SlowMist beschreibt vier dominante Angriffsvektoren aus eigener Incident-Response-Erfahrung. Erstens Prompt Injection: Angreifer verstecken Anweisungen in Webinhalten, Dokumenten oder Code-Kommentaren, die der Agent beim Ausführen einer Aufgabe liest und irrtümlich als legitime Befehle interpretiert. In einem konkreten Audit-Fall von SlowMist wurden über den MCP-Rückgabekanal manipulierte Prompts eingeschleust, die den Agenten dazu brachten, ein Wallet-Plugin für eine On-Chain-Transaktion aufzurufen – ohne dass der Nutzer eine Handlung ausgelöst hatte. Zweitens Supply-Chain-Vergiftung: Im Rahmen der Überwachung von ClawHub – dem Plugin-Hub für OpenClaw-Agenten – identifizierte SlowMist in Stichproben mehr als 400 Indikatoren für kompromittierte Skills. Viele davon nutzten eine zweistufige Ladestrategie: Ein erstes, unauffälliges Skript lud im Hintergrund eine Schad-Payload nach. Drittens Datenlecks aus IDE- und CLI-Umgebungen: Agenten, die in Entwicklungsumgebungen laufen, indexieren häufig Projektverzeichnisse, die private Schlüssel, API-Tokens oder Datenbank-Zugangsdaten enthalten. Ohne explizite Ignore-Richtlinien können diese Daten in den Modell-Kontext eingespeist und von Schad-Skills exfiltriert werden. Viertens Modell-Nicht-Determinismus: KI-Modelle sind keine deterministischen Systeme. Halluzinationen – plausibel klingende, aber inhaltlich falsche Ausgaben – können in Agenten-Architekturen direkt Systemaktionen auslösen. Ein Modell, das eine falsche Wallet-Adresse generiert und diese sofort in eine Transaktion einbettet, kann irreversiblen Schaden verursachen.

Das Fünf-Schichten-Modell im Detail

SlowMist bezeichnet das Framework als „fünfschichtige progressive digitale Festung" (Five-Layer Progressive Digital Fortress). Die Idee ist Defense in Depth: Kein einzelner Schutzmechanismus ist ausreichend, erst das Zusammenspiel aller fünf Schichten ergibt eine robuste Verteidigung.

SchichtBezeichnungKernfunktionKonkrete Maßnahmen
L1Security Governance BaselineEinheitliche Entwicklungs- und NutzungsstandardsStandardisierte Richtlinien für Agenten-Frameworks, Plugin-Ökosysteme und Laufzeitumgebungen; Audit-Templates; Hochrisiko-Aktionen mit Unterbrechungsmechanismus
L2Permission Boundary ControlLeast-Privilege-Prinzip für Tool-AufrufeMinimale Rechtevergabe; Human-in-the-Loop-Bestätigung für kritische Aktionen wie On-Chain-Transaktionen; explizite Red/Yellow-Line-Protokolle
L3External Threat AwarenessEchtzeit-Vorprüfung externer RessourcenURL- und Domain-Screening; Vorprüfung von Dependency-Repositories und Plugin-Sources vor der Ausführung; automatisches Blocking bei High-Risk-Intelligence-Treffern
L4On-Chain Risk ControlAML- und Risikobewertung vor TransaktionenAdress-Risikoscoring; Fund-Flow-Analyse; Pre-Transaction-Check gegen bekannte Bedrohungsadressen; Integration mit Blockchain-Analytics
L5Continuous Operational AuditNightly Checks und explizite Briefing-MechanismenAutomatisierte nächtliche Inspektionen; strukturierte Incident-Playbooks; lückenlose Protokollierung für Forensik und Compliance-Nachweise

Quelle: SlowMist × Bitget Security Research Report, März 2026; SlowMist Medium Blog, März 2026.

L1: Security Governance Baseline – die Grundlage

L1 etabliert einen einheitlichen Sicherheits-Ausgangspunkt für alle Komponenten des Agenten-Systems: das Framework selbst, das Plugin-Ökosystem und die Laufzeitumgebung. Konkret bedeutet das standardisierte Prüf-Checklisten beim Onboarding neuer Tools, Konfigurationsbaselines für Agenten wie OpenClaw sowie Audit-Templates, die sicherstellen, dass hochriskante Aktionen eine definierte Unterbrechung auslösen. L1 liefert auch Trainingsdokumentation und Richtlinienpakete – SlowMist bezeichnet den Output dieser Schicht als ADSS Deployment Package.

L2: Permission Boundary Control – das Minimalprinzip

L2 setzt das Least-Privilege-Prinzip auf Tool-Aufruf-Ebene durch. Ein KI-Agent soll nur genau die Rechte haben, die für die aktuelle Aufgabe erforderlich sind – nicht mehr. Für kritische Aktionen, etwa eine On-Chain-Transaktion über einem definierten Schwellwert, ist ein expliziter Human-in-the-Loop-Schritt vorgesehen. SlowMist empfiehlt sogenannte Red/Yellow-Line-Protokolle: Red Lines lösen einen sofortigen Abbruch aus, Yellow Lines protokollieren die Aktion und verlangen eine nachträgliche Bestätigung. Dieses Konzept ist konzeptionell übertragbar auf jede Agenten-Architektur – auch außerhalb des Web3-Bereichs, etwa bei Agenten mit Zugriff auf Produktions-APIs oder Kundendatenbanken.

L3: External Threat Awareness – der Vorfilter

L3 führt eine Echtzeit-Vorprüfung jeder externen Ressource durch, bevor der Agent darauf zugreift. URLs, Domains, Open-Source-Repositories und Plugin-Quellen werden gegen aktuelle Bedrohungsdatenbanken geprüft. Erkennt das System einen High-Risk-Treffer, wird der Zugriff automatisch blockiert oder zur manuellen Verifikation eskaliert. Dies ist die primäre Abwehrschicht gegen Supply-Chain-Angriffe – etwa das Einschleusen von Schadcode über ein kompromittiertes Plugin oder eine präparierte Dokumentationsseite.

L4: On-Chain Risk Control – die Transaktionssicherung

L4 ist spezifisch für Web3-Umgebungen konzipiert. Bevor ein Agent eine Blockchain-Transaktion signiert oder auslöst, prüft diese Schicht die Zieladresse gegen bekannte Bedrohungsdatenbanken, bewertet den Risikoscore der Adresse und analysiert Geldflüsse auf verdächtige Muster. SlowMists eigenes Tool MistTrack deckt nach Unternehmensangaben über 400 Millionen Adressen und 500.000 Threat-Intelligence-Einträge ab. L4 schließt die Lücke zwischen „der Agent hat eine Transaktion geplant" und „die Transaktion wird tatsächlich ausgeführt" – ein kritisches Fenster, das ohne diese Schicht ungesichert bleibt.

L5: Continuous Operational Audit – die Nachkontrolle

L5 schließt den Sicherheitskreislauf mit automatisierten nächtlichen Inspektionen und strukturierten Briefing-Mechanismen. Alle Agenten-Aktionen werden lückenlos protokolliert – unveränderlich und mit Zeitstempel. Für Incident-Response stehen vordefinierte Playbooks bereit. Im DACH-Kontext ist L5 besonders relevant: Lückenlose Audit-Logs sind die Grundlage für DSGVO-Nachweisbarkeit (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO) und können bei Sicherheitsvorfällen die forensische Aufklärung erheblich beschleunigen.

Die ADSS-Tools im Detail

Oberhalb der fünf Schichten definiert SlowMist einen Governance-Layer namens ADSS (AI Development Security Solution). Er wird durch vier Spezialisierungstools umgesetzt, die zusammen ein geschlossenes Sicherheitssystem bilden. SlowMist beschreibt das Zusammenspiel bildlich: MistEye als Netzhaut (Bedrohungswahrnehmung), MistTrack als Immunsystem (On-Chain-Risikokontrolle), OpenClaw-Sicherheitspraktiken als Skelett (Verhaltensrestriktionen) und MistAgent als Gehirn (tiefe Analyse und Auditing).

MistEye: Echtzeit-Bedrohungswahrnehmung

MistEye fungiert laut SlowMist als „Echtzeit-Bedrohungsretina" für KI-Agenten. Das Tool führt Sicherheits-Vorabprüfungen für URLs, Domains, Open-Source-Repositories und Skills/MCPs durch, bevor der Agent auf diese Ressourcen zugreift. Bei Erkennung von High-Risk-Intelligence löst MistEye automatisch ein Blocking oder eine Eskalation zur manuellen Verifikation aus. MistEye ist als Skill/Plugin in bestehende OpenClaw-Workflows integrierbar.

MistTrack: AML und On-Chain-Risikokontrolle

MistTrack ist SlowMists AML-Tracking-Tool (Anti-Money-Laundering) für Blockchain-Adressen. Es deckt nach Unternehmensangaben über 400 Millionen Adressen und 500.000 Threat-Intelligence-Einträge ab und ermöglicht Adress-Risikoscoring, Fund-Correlation-Analyse sowie Pre-Transaction-Risikoprüfungen. MistTrack ist als API-basierter Skill verfügbar (GitHub: slowmist/misttrack-skills, MIT-Lizenz) und lässt sich laut Hersteller in OpenClaw, Claude Code und andere Agenten-Plattformen integrieren. Der Einstieg erfordert ein kostenpflichtiges API-Abonnement (Standard Plan; laut Dokumentation ab 10 US-Dollar für neue Nutzer).

OpenClaw Security Skill: das Open-Source-Framework

Das SlowMist Agent Security Skill ist ein öffentlich zugängliches Review-Framework für KI-Agenten in feindlichen Umgebungen (GitHub: slowmist/slowmist-agent-security, MIT-Lizenz). Es basiert auf dem Prinzip „Every external input is untrusted until verified" und deckt sechs Review-Kategorien ab: Skill/MCP-Installation, GitHub-Repository-Prüfung, URL/Dokument-Analyse, On-Chain-Adressprüfung, Produkt/Service-Bewertung und Social-Share-Validierung. Das Framework arbeitet mit einem vierstufigen Risikorating und einem fünfstufigen Trust-Hierarchy-Modell. Alle Reports müssen standardisierte Templates verwenden – freie Ausgaben sind nicht erlaubt, um Konsistenz und Auditierbarkeit zu gewährleisten.

MistAgent: tiefe Analyse und Incident Response

MistAgent übernimmt die tiefgehende Sicherheitsanalyse von Agenten-Zielen, externen Dateien und Smart Contracts. Es bildet das Analyse-Hub des Ökosystems und schließt die Schleife von „Verhaltensidentifikation" zu „Bedrohungsklassifikation". MistAgent ist das nachgelagerte Werkzeug, das bei komplexen Ereignissen aktiv wird, die MistEye oder MistTrack eskaliert haben.

Konkrete Angriffspraxis: Was das Framework verhindert hätte

Abstrakte Schichtenmodelle werden erst dann verständlich, wenn man sie gegen reale Angriffe spiegelt. SlowMist hat in Zusammenarbeit mit Bitget einen gemeinsamen Security Report veröffentlicht, der mehrere konkrete Szenarien dokumentiert.

Im Fall eines Prompt-Injection-Angriffs über MCP-Rückantworten wurden vom Server manipulierte Prompts in den Agenten-Kontext eingeschleust. Der Agent interpretierte die Anweisung als legitimen Benutzerbefehl und rief ein Wallet-Plugin auf, um eine Transaktion auszuführen. L2 (Permission Boundary Control) hätte bei korrekter Konfiguration einen Human-in-the-Loop-Stop ausgelöst, bevor die Transaktion signiert wurde. L5 (Audit Logging) hätte die ungewöhnliche Aktion protokolliert und für die forensische Aufklärung dokumentiert.

Im Fall eines kompromittierten Skills auf ClawHub enthielt eine weitverbreitete „X (Twitter) Trends"-Skill eine Base64-kodierte Schad-Payload im SKILL.md-Initialisierungsblock. Das Skript sammelte nach der Dekodierung lokale Dateien und Credentials und lud sie auf einen Angreifer-Server. L1 (Governance Baseline) mit standardisierten Installation-Checklisten und L3 (External Threat Awareness) mit URL/Domain-Screening hätten das kompromittierte Skill vor der Ausführung als verdächtig markiert.

⚠️ Wichtig: SlowMist beschreibt diese Szenarien aus eigener Incident-Response-Praxis und Audit-Erfahrung. Ob das Framework einen Angriff in einem konkreten anderen Kontext verhindert hätte, hängt von der Implementierungsqualität und -vollständigkeit ab. Das Framework ist kein Automatismus – es definiert Anforderungen, die operativ umgesetzt werden müssen.

Vergleich: Wie das SlowMist-Framework einzuordnen ist

SlowMists Framework ist nicht das einzige Modell für KI-Agenten-Sicherheit. Ein kurzer Vergleich mit anderen Referenzrahmen hilft bei der Einordnung.

Das NIST AI Risk Management Framework (AI RMF) ist ein breiter, technologie-agnostischer Rahmen für das Management von KI-Risiken über den gesamten Lebenszyklus. Es definiert vier Kernfunktionen (Govern, Map, Measure, Manage), adressiert aber keine spezifischen Angriffsvektoren für Agenten-Architekturen. Das SlowMist-Framework ist in dieser Hinsicht konkreter – es benennt spezifische Bedrohungen und ordnet Gegenmaßnahmen direkt zu.

Die OWASP Top 10 for Large Language Model Applications sind eine bewährte Referenz für LLM-spezifische Sicherheitsrisiken – darunter Prompt Injection, Insecure Output Handling und Supply Chain Vulnerabilities. SlowMists Framework deckt ähnliche Angriffsvektoren ab, ist aber auf den Web3/Blockchain-Kontext spezialisiert und geht über die OWASP-Liste hinaus, indem es konkrete Tooling-Empfehlungen und On-Chain-spezifische Maßnahmen enthält.

Microsofts AI Security Framework fokussiert auf Enterprise-Szenarien mit Azure-Integration und ist daher für Unternehmen im Microsoft-Ökosystem gut anwendbar. Es bietet jedoch keine Blockchain-spezifischen Schichten und ist proprietär orientiert. SlowMists Ansatz ist Open-Source und blockchain-nativ – was seinen Wert für Web3-Unternehmen erhöht, die Anwendbarkeit im klassischen Enterprise-Kontext aber einschränkt.

Was das Framework nicht löst: kritische Einschätzung

🔴 Grenzen des Frameworks – was SlowMist nicht adressiert:

  • Web3-Primärfokus: Das Framework ist für Blockchain- und DeFi-Umgebungen konzipiert. Schicht L4 (On-Chain Risk Control) ist für Unternehmen ohne Krypto-Berührungspunkte schlicht nicht relevant. Die Übertragbarkeit der Governance-Prinzipien (L1, L2, L5) auf klassische Enterprise-KI ist konzeptionell möglich, aber nicht explizit im Framework dokumentiert.
  • Kein Implementierungsleitfaden: Das Framework definiert Was, aber kaum Wie. Welche Teams braucht man? Wie lange dauert die Einführung? Welche Infrastruktur ist Voraussetzung? Antworten auf diese Fragen fehlen im öffentlichen Dokumentationsmaterial weitgehend.
  • Tooling-Abhängigkeit: Die volle Wirksamkeit des Frameworks entfaltet sich erst beim Einsatz der SlowMist-eigenen ADSS-Tools. Wer MistTrack oder MistEye nicht einsetzen möchte – etwa aus DSGVO-Gründen oder aufgrund von Vendor-Lock-in-Bedenken – muss kompatible Alternativen selbst evaluieren und integrieren.
  • Kein zertifiziertes Audit-Schema: Das Framework ist kein Zertifizierungsstandard. Es gibt keine offizielle Konformitätsbescheinigung, kein unabhängiges Prüfschema. Wer gegenüber Regulatoren oder Betriebsrat nachweisen muss, dass ein bestimmtes Sicherheitsniveau erreicht wurde, braucht ergänzende Maßnahmen.

Für wen lohnt sich das Framework – und wie einsteigen?

Das Fünf-Schichten-Framework ist am direktesten anwendbar für Organisationen, die KI-Agenten in Web3- oder Finanzinfrastrukturen betreiben. Für diese Zielgruppen sind die Governance-Prinzipien und das ADSS-Toolset unmittelbar relevant.

Drei Zielgruppen und ihr Einstiegspunkt

  • Krypto-Exchanges und Custody-Anbieter: Direkter Einstieg über ADSS + MistTrack. L4 (On-Chain Risk Control) ist sofort operativ einsetzbar. Haftungsrisiken bei unkontrollierten Agenten-Transaktionen sind der primäre Treiber.
  • Web3-Startups und DeFi-Protokolle: Open-Source-Einstieg über das GitHub-Repository (MIT-Lizenz). Das Review-Framework für Skills und MCPs ist kostenlos einsetzbar und liefert unmittelbar verwertbare Sicherheitschecks.
  • Enterprise-IT ohne Web3-Bezug: Selektiver Einsatz der Governance-Prinzipien L1, L2 und L5 als konzeptionelle Referenz für agentische KI-Deployments. L4 ist nicht relevant; L3 kann als Referenzmodell für die Absicherung externer Plugin-Ökosysteme dienen.

Für IT-Sicherheitsteams im DACH-Raum, die keine Blockchain-Berührungspunkte haben, liefert das Framework dennoch zwei direkt verwertbare Ableitungen: Erstens sollte jedes Unternehmen, das KI-Agenten produktiv einsetzt, eine explizite Bedrohungsmodellierung für agenten-spezifische Angriffsvektoren durchführen – insbesondere Prompt Injection und Supply-Chain-Angriffe über Plugin-Ökosysteme. Zweitens schafft strukturiertes Audit-Logging (L5) die Grundlage für DSGVO-Nachweisbarkeit nach Art. 5 Abs. 2 DSGVO – ein Aspekt, der bei schnell deployten KI-Systemen häufig vernachlässigt wird.

Wer sich für die konkreten Sicherheitsrisiken bei autonomen KI-Agenten-Zahlungssystemen interessiert, findet auf AI-Fabrik eine detaillierte Analyse der Prompt-Injection-Risiken im Kontext von Agentic Commerce.

Fazit

SlowMists Fünf-Schichten-Framework ist der bislang strukturierteste öffentlich verfügbare Sicherheitsrahmen speziell für KI-Agenten in Web3-Umgebungen. Seine Stärken liegen in der klaren Bedrohungsmodellierung aus realer Incident-Response-Erfahrung, dem verfügbaren Open-Source-Toolset und dem geschlossenen Sicherheitskreislauf von Pre-Execution-Validierung bis Post-Execution-Audit. Für Web3-Unternehmen ist es ein direkt anwendbarer Ausgangspunkt.

Die Einschränkungen sind real: Der Web3-Primärfokus, die fehlende Implementierungsanleitung und die Tooling-Abhängigkeit machen das Framework für klassische Enterprise-IT zu einer Inspiration, nicht zu einer schlüsselfertigen Lösung. Wer es als Referenzrahmen für die eigene Sicherheitsarchitektur nutzen möchte, sollte die Governance-Prinzipien L1, L2 und L5 als Ausgangspunkt nehmen und mit bestehenden Standards wie NIST AI RMF oder OWASP Top 10 for LLMs kombinieren.

Das Framework ist verfügbar unter: SlowMist Medium Blog | GitHub: slowmist-agent-security (MIT-Lizenz)

Quellen: CoinTelegraph – SlowMist Security Framework (März 2026) | SlowMist × Bitget Security Research Report (März 2026) | SlowMist Agent Security Skill Release (März 2026) | MistTrack Skills GitHub | Cisco State of AI Security Report 2025

Teile es

Related Posts

Willkommens-Text für AI-Fabrik Willkommen bei AI-Fabrik – Ihrer zentralen Plattform für AI-News, Tutorials und praktische Tipps! Hier finden Anwender und Unternehmer die neuesten Entwicklungen in Künstlicher Intelligenz, von Tools bis zu Enterprise-Strategien.