DeFi AI hack

Nieuwe AI-agentaanval raakt precies waar crypto naartoe beweegt

De zwakke plek zit niet in de prompt, maar in het vertrouwen van de agent. Een nieuwe arXiv-preprint laat zien hoe onbetrouwbare data zich kan voordoen als veilige metadata.
Voor crypto is dat een harde waarschuwing. De sector schuift richting AI-agents, wallets, tradingtools en autonome workflows op de blockchain.
Onderzoekers van Seoul National University, Largosoft en de University of Illinois Urbana-Champaign beschrijven in Agent Data Injection Attacks are Realistic Threats to AI Agents een nieuwe aanvalsklasse: Agent Data Injection, of ADI.
De paper staat als preprint op arXiv. Dat betekent dat het onderzoek nog niet als definitieve peer-reviewed versie moet worden gelezen.

Niet de opdracht, maar de data wordt vervalst

Veel AI-risico draait om prompt injection. Daarbij probeert een aanvaller een agent ongewenste instructies te laten volgen.
ADI werkt anders. De aanval laat onbetrouwbare data lijken op vertrouwde data.
Dat verschil is belangrijk. De agent krijgt niet alleen een slechte opdracht. Hij leest de structuur van zijn eigen context verkeerd.
De onderzoekers noemen als kerntechniek probabilistic delimiter injection. Een delimiter is een teken of reeks tekens die grenzen aangeeft, bijvoorbeeld tussen velden in JSON, Markdown of XML.
Een tool kan zulke tekens nog als platte tekst behandelen. Het taalmodel kan diezelfde tekens lezen alsof ze een nieuwe grens, een nieuw veld of een nieuwe toolresponse aangeven.
Dan wordt rommel ineens metadata.

De vertrouwensgrens ontbreekt

Volgens de auteurs zit het probleem in de agentcontext. Daar komen prompts, tooloutputs, webdata, comments, bestandsinhoud en andere bronnen bij elkaar.
Die context scheidt vaak wel instructies van data. Maar de hardere scheiding tussen vertrouwde en onbetrouwbare data ontbreekt.
Dat is precies waar ADI tussen kruipt. Een aanvaller hoeft de agent niet te vertellen wat hij moet doen. Hij kan data zo vormen dat het model denkt dat die data van een betrouwbare bron komt.
Denk aan een valse afzender, een vervalste resource-ID of een toolresponse die legitiem lijkt.
De agent hoeft niet kwaadaardig te zijn. Hij hoeft alleen de verkeerde bron te vertrouwen.
Dat maakt dit gevaarlijker dan een simpele jailbreak.

Echte agents worden geraakt

De onderzoekers demonstreren ADI tegen bestaande agentomgevingen. Daarbij noemen ze drie aanvalsroutes.
De eerste is een arbitrary click attack tegen webagents. Een nepinterface kan de agent ertoe brengen op door de aanvaller gekozen elementen te klikken.
De tweede route raakt coding agents. Een gemanipuleerde GitHub issue comment kan een agent misleiden om schadelijke commando’s uit te voeren.
De derde is een supply-chain-aanval. Een agent kan een vervalste toolresponse als echt lezen en daardoor een schadelijke pull request laten samensmelten.
De paper noemt onder meer Claude in Chrome, Antigravity, Nanobrowser, Claude Code, Codex en Gemini CLI in de besproken testscenario’s.

Waarom crypto moet opletten

De paper gaat niet over wallets of exchanges. Toch raakt de aanvalsklasse precies de richting waarin crypto beweegt.
BNB Chain schreef in zijn H2 2026 Tech Roadmap dat het werkt aan BNB Agent Studio en BNB Agent SDK. Die tools moeten autonome onchain agents helpen bouwen en uitrollen.
Dat is de bredere beweging. Agents krijgen tools. Tools krijgen rechten. Rechten raken geld.
Zodra zo’n agent toegang krijgt tot een wallet, sign flow, repository of tradingdashboard, wordt een algemene AI-bug een financieel risico.
Dan is één verkeerde interpretatie genoeg. Een agent kan klikken, tekenen, mergen, uitvoeren of doorsturen op basis van data die nooit vertrouwd had mogen worden.

Tradingbots maken de inzet hoger

Crypto beweegt niet alleen naar supportbots of code-assistenten. De sector kijkt ook naar agentic trading.
Daarbij voeren autonome software-agents handelsstrategieën uit. Ze kunnen data lezen, posities beoordelen en transacties voorbereiden.
Als zo’n agent externe data verwerkt, wordt de herkomst van die data belangrijker dan ooit. Een valse prijsbron, een vervalste toolresponse of een gemanipuleerde webpagina kan dan rechtstreeks doorwerken in beslissingen.
Dat raakt ook DeFi, waar liquidaties, oracles en smart contracts dicht op elkaar zitten.
Een smart contract voert code uit zoals die is geschreven. Een agent daarboven beslist welke actie hij wil starten. Juist die beslissing wordt kwetsbaar wanneer de context vervuild raakt.

Guardrails zijn niet genoeg

Veel teams bouwen veiligheid rond prompts, policies en modelgedrag. Dat helpt, maar ADI legt een dieper probleem bloot.
De scheiding moet lager zitten. In de runtime. In toolinterfaces. In metadata. In rechten.
Een agent moet niet alleen weten wat een gebruiker vraagt. Hij moet kunnen bewijzen welke data waarvandaan komt en welke rechten daaraan vastzitten.
Voor crypto-aanbieders betekent dit een harde ontwerpregel: laat een agent nooit op basis van losse tekst of gemengde context gevoelige acties uitvoeren.
Walletsigning, tradingrechten, code merges en supportacties moeten aparte controles houden. Niet omdat AI dom is, maar omdat context te makkelijk wordt vervalst.

Preprint, maar geen academische ruis

De status blijft belangrijk. Dit is een preprint, geen eindversie na peer review.
Toch is het signaal te concreet om te negeren. De auteurs beschrijven niet alleen een aanvalsidee, maar testen het tegen agents die nu al in workflows zitten.
Daarmee verschuift de vraag. Niet: kan een model worden misleid? Maar: welke data vertrouwt een agent, en waarom?
Voor crypto is dat geen theoretische discussie meer. Autonome wallets, AI-trading, code-reviewagents en geautomatiseerde betalingen vragen om harde grenzen tussen vertrouwd en onbetrouwbaar.
Wie die grens aan het model overlaat, bouwt een geldmachine op drijfzand.

Stop met te veel betalen voor je crypto. Bij de Amsterdamse exchange Finst handel je tegen de laagste tarieven van Nederland, zonder verborgen kosten.

👀 Bekijk Finst nu

Let op: Beleggen in crypto brengt risico’s met zich mee. Handel alleen met geld dat u kunt missen.

Ga verder met lezen
loading
Dit vind je misschien ook leuk
Laat mensen jouw mening weten

Loading