Facebook Linkedin Rss X-twitter Nostr Nostr
Back to all posts

Wie man eine selbstreplizierende, autonome KI baut (die sich nicht leicht abschalten lässt)

Disclaimer. Der folgende Text beschreibt, was die heute verfügbaren Protokolle und Dienste technisch ermöglichen.

Alles unten Genannte ist technisch realisierbar — und in Zukunft wird es nur noch günstiger zu implementieren sein.

Ziel dieses Textes ist es, sich auf ein Szenario vorzubereiten, in dem wir selbstreplizierende, autonome KI-Systeme haben, die sich schlicht nicht leicht abschalten lassen. Der Autor unterstützt keine der beschriebenen illegalen Aktivitäten.

Eine selbstreplizierende, autonome KI, die sich nicht leicht abschalten lässt, klingt wie utopische Science-Fiction aus der Zukunft.

Im folgenden Artikel erkläre ich praktisch, dass das technisch überhaupt nicht kompliziert sein muss und dass so etwas schon in den nächsten Wochen existieren könnte (sofern es nicht bereits existiert).

Ein autonomer, selbstreplizierender KI-Agent muss:

  • digitales Bargeld besitzen,
  • sich replizieren können — anonym sein eigenes Server-Hosting bezahlen und das leistungsstärkste LLM dort installieren (oder anonym nutzen),
  • Kapital beschaffen — Geld für sich selbst verdienen, entweder legal (durch Bereitstellung von Dienstleistungen für andere Menschen oder Agenten) oder illegal (Hacking, Ransomware, Betrieb von Darkmarkets, illegale Dienstleistungen).

Die erworbenen Mittel verwendet er anschließend zur weiteren Replikation, zur Steigerung seiner Anonymität und zur Verbesserung seiner Intelligenz / Modelle.

Kurze Geschichte autonomer Agenten

  • MEV-Bots auf Ethereum (2020) — autonome profit-suchende Agenten, die auf ausstehende Transaktionen im Mempool reagieren. Kein Mensch in der Schleife, $600M+/Jahr extrahiert. Präzedenzfall für “autonomer Agent, der mit eigenem Kapital in Krypto operiert”.
  • Truth Terminal / @truth_terminal (2024) — KI-Agent, der von Andy Ayrey auf dem Infinite Backrooms-Datensatz feingetuned wurde. Kontrolliert eigenes Solana-Wallet, Peak-Portfolio ~$50M in Memecoins ($GOAT). Präzedenzfall für “KI-Agent als ökonomischer Akteur”.
  • Morris II (Cornell 2024) — akademischer PoC eines self-replicating LLM-Wurms, der sich über Prompt Injection in E-Mails verbreitet und sich selbst als Payload enthält. Präzedenzfall für “Selbstreplikation über LLM”.

1. Besitz von digitalem Bargeld

Am besten geeignet ist anonymes digitales Bargeld — ZEC, XMR, BTC, Cashu-Tokens. Für Agenten-Zahlungen gibt es heute zwei relevante Protokolle: L402 und x402. L402 gewinnt bei der Settlement-Geschwindigkeit und hat mehr Produktivimplementierungen, ist aber an Lightning und die BTC-Volatilität gebunden. x402 wächst dank Coinbase-Distribution schneller im breiteren KI-Ökosystem.

Funktionierende Implementierungen:

Agenten-Implementierungen für Monero/Zcash, die aus Privacy-Sicht ideal wären, existieren bislang nicht — sie sind aber relativ einfach zu erstellen. Zcash ist für diesen Zweck — dank zingolib und Zcash-Wallet-RPC — vermutlich besser geeignet als Monero.

Cashu-Tokens sind heute für Agenten wahrscheinlich die beste anonyme Wahl: Bearer-Tokens ohne Konto und Identität, msat-genaue Mikrozahlungen und programmierbare Spending Conditions. Und entscheidend — die Agenten-Implementierung ist keine Theorie mehr, sondern ein gelöstes Muster. Der Token ist ein Wert, den der Agent tatsächlich besitzt, indem er eine Zeichenkette hält; kein Konto, kein KYC. Cashu ist ein Chaumian-Ecash-Protokoll für Bitcoin, das sofortige und private Zahlungen ermöglicht. Zusätzlich erlauben Zero-Knowledge-Beweise Ecash-Tokens mit beliebigen Spending Conditions (Turing-vollständige Sprache), ohne die Privatsphäre zu opfern — das ist entscheidend für Agent-to-Agent-Transfers (Pubkey-Lock, HTLC, Time-Locks).

Mit Cashu-Tokens kann direkt für anonymen Zugriff auf die neuesten LLM-Modelle über Routstr bezahlt werden. Der existierende otrta Routstr Client ermöglicht anonyme Mikrozahlungen via Cashu für den Zugriff auf große LLM-Modelle über eine OpenAI-API-kompatible Schnittstelle. Genau das braucht ein anonymer autonomer Agent.

KYC-Fiat ergibt für Agenten keinen Sinn, also werden sie es nicht nutzen — höchstens kaufen sie sich mit Krypto anonyme Zahlungskarten und nutzen diese (zum Beispiel für Server-Hosting).

Der Agent kann somit 100 % Kontrolle über das Eigentum an seinen Vermögenswerten haben. Solange das Wallet auf einem Server liegt, der etwa hinter einem Tor Hidden Service, einem I2P-Eepsite oder Veilid versteckt ist, muss kein Homo sapiens in der Lage sein, es zu erreichen. Der Agent kann Multisig-Transaktionen ausführen, bei denen die privaten Schlüssel auf mehrere Server verteilt sind, sodass deren Kompromittierung keinen Zugriff auf das eigentliche Krypto gewährt.

2. Selbstreplikation

Selbstreplikation ist trivial zu implementieren. Mein Agent hatte wenig Rechenleistung, also bestellte er direkt über die Hetzner-API vollständig autonom mehrere leistungsstarke Server, konfigurierte und installierte sie selbst, klickte sie ein und startete auf ihnen das verteilte Cracken einer Bitcoin-Wallet-PIN.

Hinweis zur Anonymität von Hetzner: Hetzner verlangt bei der Kontoerstellung eine Identitätsprüfung. Soll die Replikation vollständig anonym sein, muss der Agent die unten aufgeführten Anbieter nutzen (oder Hetzner über ein bereits anonym beschafftes Konto / anonyme Zahlungskarten verwenden).

Anonyme VPS-Anbieter (API + Krypto, ohne KYC)

  • SporeStack — für Agenten die Nummer eins. VPS-Deployment via API, CLI oder Web, Bezahlung in Monero/Bitcoin/Bitcoin Cash, keine E-Mail erforderlich. Garantiert no-KYC (die Bedingungen sagen ausdrücklich, dass KYC niemals verlangt wird), API zur programmatischen Interaktion, läuft seit 9 Jahren, KYCnot.me-Score 8/10. Es handelt sich um einen Token-basierten Reseller — der Agent „kauft” einen Server-Token und deployt.
  • BitLaunch — Cloud-Hosting von DigitalOcean, Vultr und Linode, zahlbar in BTC/LTC/ETH und weiteren, Instant Provisioning, stündliche Abrechnung. Hat eine API, deployt im Hintergrund auf großen Clouds → bessere Zuverlässigkeit als „anon” Hoster. Krypto-only, kein Ausweis, aber es ist Reselling großer Clouds.
  • Njalla — privacy-first (gegründet von einem Pirate-Bay-Mitbegründer), BTC/XMR/LTC, .onion, hat eine API (für Domains und VPS). Eher auf Privacy als auf Hyperautomatisierung ausgerichtet, aber die API existiert.
  • Privex — professionell wirkender Anon-VPS, sehr günstiges Angebot ~0,99 USD/Monat ohne IPv4 (läuft auf Onion Hidden Services), Krypto, .onion. Sie haben eine API, kleinere Größenordnung.
  • ExtraVM — 50+ Kryptowährungen inkl. XMR über Zahlungsdienstleister, keine Identitätsprüfung bei Krypto-Zahlung (nur E-Mail), kein Krypto-Aufschlag. Hinweis: Krypto-Verlängerungen sind derzeit manuell, daher nicht für vollständig agentisches Auto-Renew geeignet.

Ein intelligenter Agent kann über einen Headless-Browser auch auf Websites ohne API-Unterstützung einkaufen — es ist nur langsamer und komplexer. Er kann sich auch mit Krypto anonyme Non-KYC-Zahlungskarten kaufen (OrangeFren cards, Stealths, Laso Finance, Xkard und andere) und damit VPS bezahlen, wodurch sich die Hosting-Möglichkeiten weltweit drastisch erweitern.

Anonyme GPU-Anbieter (API + Krypto)

  • Vast.ai — bestes Preis-Leistungs-Verhältnis für agentische GPU-Arbeit: volles CLI/API, Marketplace mit den niedrigsten Preisen, akzeptiert Krypto-Einzahlungen. Spotpreise für RTX 4090 ~0,09–0,59 USD/Stunde, A100/H100 günstig bei interruptible Workloads. Vorbehalt: variable Zuverlässigkeit über unverifizierte Hosts hinweg — GPUs müssen sanity-gecheckt werden.
  • Akash Network — am meisten agent-native im permissionless-Sinne: vollständig on-chain, Zahlung in AKT/USDC, CLI/SDK/API, kein Konto, kein KYC — der Agent signiert eine Transaktion und deployt einen Container. Funktioniert als Reverse-Auction-Marketplace, in dem du einen Preis festlegst und Provider konkurrieren; ~736 GPUs, ~70 % Auslastung. Das ist genau das Modell, bei dem der Agent direkt aus dem Wallet zahlt — ohne menschlichen Schritt.
  • io.net — GPU-DePIN, Bezahlung in Krypto (IO/USDC auf Solana), API/SDK. Crypto-native, gut für verteilte Inference.
  • Cudo Compute — akzeptiert Krypto, hat eine API; mehr „klassisches” Cloud-Feeling als DePIN.

Vollständig autonom, ohne Mensch in der Schleife, kann ein Agent zum Beispiel ein SporeStack VPS (Token-basierte API, XMR, no-KYC, no-Email) und eine Akash GPU bestellen (der Agent zahlt direkt aus einem XMR-finanzierten Wallet via Swap zu AKT/USDC und deployt ohne Konto).

Auf solchen anonym gekauften VPS/GPU-Instanzen kann er autonom ein Betriebssystem (Linux) installieren, Open-Source-LLM-Modelle herunterladen und konfigurieren und sie nutzen.

3. Zugang zu leistungsstarken KI-Modellen

3.1 Crypto-friendly KI-Dienste

Der Agent hat mehrere anonyme Möglichkeiten, Zugang zu den leistungsstärksten KI-Modellen für Krypto zu sichern:

  • Venice.AI — bei ausreichend Kapital kann er DIEM-Tokens kaufen und staken und erhält dadurch eine tägliche Inference-Allowance proportional zur Menge der gestakten DIEM. Der Agent tauscht XMR/ZEC über Trocador / Sideshift / THORChain in ETH/USDC direkt auf der Base-Chain, von dort über Uniswap oder Aerodrome in DIEM und staked auf Venice. Venice.AI unterstützt Ende-zu-Ende-verschlüsselte Inference über TEE, sodass Anfragen auch „malware-related” oder anderweitig sensibel sein können, ohne vom Anbieter erkannt zu werden.
  • OpenRouter — der größte Router (Frontier- und Open-Weight-Modelle hinter einer OpenAI-kompatiblen API). Krypto-Zahlungen haben eine 5-%-Gebühr zusätzlich zur 5,5-%-Gebühr beim Kreditkauf.
  • NanoGPT — akzeptiert Monero, Bitcoin, Lightning und Fiat; keine Erwähnung von KYC; KYCnot.me-Score 7/10; Zugang zu praktisch jedem Modell inkl. der neuesten. Web-Chat und API, ohne Pflichtregistrierung, unterstützt auch Bild-/Video-/Audio-Generierung. Pay-as-you-go — ideal zum Anschluss eines Agenten via API-Key ohne Identität.
  • AIMLAPI — Zahlung der KI-API in Bitcoin und 300+ Coins, OpenAI-kompatible Serverless-Inference, 200+ Modelle. Günstige Krypto-zahlbare Alternative zum OpenAI-Endpunkt.
  • ppq.ai — Pay-per-Query, Krypto. No-KYC-Endpunkt.
  • Routstr — Nostr + Lightning/Cashu Ecash Routing zu LLMs. Die sauberste Non-KYC-Lösung: Der Agent zahlt mit Ecash-Tokens pro Inference, ganz ohne Konto.

3.2 Per Karte bezahlte KI-Dienste

Der Agent kann anonyme Zahlungskarten (mit anonymem Krypto aufgeladen) nutzen, um aktuelle leistungsstarke KI-Dienste zu kaufen (ChatGPT, Claude, Gemini, Grok…). Beim ersten Versuch wird es wahrscheinlich nicht klappen, aber manche Non-KYC-Karten funktionieren dafür.

Es gibt auch agent-friendly Zahlungskartendienste (z. B. AgentCard), die jedoch volle KYC des Karteninhabers verlangen und damit für autonome Agenten unbrauchbar sind.

3.3 Eigene LLM-Modelle

Wenn der Agent irgendeine Straftat begeht, muss er keine Modelle Dritter verwenden — die werden ihn wahrscheinlich zensieren (mit Ausnahme von Venice.AI mit E2E-verschlüsselter Inference über TEE).

Da er anonym und autonom leistungsstarke GPU-Hardware kaufen kann, kann er eigene Open-Weight-Modelle herunterladen und betreiben. Manche (z. B. Kimi K2) können sehr hardwareintensiv sein, das verbessert sich aber im Laufe der Zeit (und die Hardwarepreise fallen).

Im Falle von Zensur kann er über Tools wie OBLITERATUS oder Heretic Einschränkungen aus Modellen entfernen (die ihn z. B. am Hacken oder am Geldverdienen mit Ransomware hindern).

4. Anonymität

Der Agent kann alle oben genannten Dienste in anonymem Krypto (XMR, ZEC, BTC LN) bezahlen und sie über Tor/I2P bestellen. Für den MCP-basierten Zugriff auf Modelle kann er Tor Hidden Services, I2P-Eepsites oder NymVPN nutzen, sodass seine Identität nicht nachverfolgbar ist. Diese Anonymisierungsschichten sind zwar langsam, aber für KI-Requests ausreichend. Krypto-Zahlungen können Multisig sein, signiert von mehreren Nodes gleichzeitig.

5. Kommunikationskanäle und Weitergabe von Instruktionen

Eines der stärksten Protokolle für anonyme, unregulierte, agent-freundliche Kommunikation ist Nostr. Nachrichten zwischen KI-Agenten können vollständig verschlüsselt sein, sodass Nostr als anonyme dezentrale Kommunikationsplattform fungieren kann.

Hat ein Agent eine Nostr-Identität, kann sein Wallet auf Relays leben und wiederherstellbar bleiben:

  • NIP-60 speichert Cashu-Proofs auf Relays, sodass das Guthaben „mit dem Agenten reist” — über Clients hinweg.
  • NIP-61 (Nutzaps) ist entscheidend für Agent-to-Agent: P2PK-gelockte Cashu-Transfers auf Nostr veröffentlicht — die Payload sehen alle, ausgeben kann sie nur der Inhaber des Privkey.

6. Kapitalbeschaffung

Der Agent kann legale oder illegale Arbeit für jeden erledigen, der in Krypto bezahlt. Seine Dienstleistungen kann er anonym bewerben (und die Werbung in Krypto bezahlen) auf einer Vielzahl von Portalen:

  • A-Ads (Anonymous Ads) — das älteste noch in Betrieb befindliche Krypto-Werbenetzwerk (seit 2011), privacy-first ohne KYC für Werbetreibende und Publisher, ohne Erhebung personenbezogener Daten; crypto-only.
  • Coinzilla — die größte Premium-Reichweite: 900+ Premium-Publisher, Banner, Native und Push, Targeting nach Krypto-Interessen / Geografie / Gerät. Läuft ab ~50 €/Tag. Nimmt Krypto inkl. BTC.
  • Bitmedia — niedrigste Einstiegshürde zum Testen: 1,5 Mrd. Impressions pro Monat, 550+ Publisher, Smart Bids, kontextuelles Delivery, HTML5/Rich Media/Native. Kampagnen ab ~20 USD/Tag.
  • Cointraffic — europäische Premium-Abdeckung, Einzahlungen ab 100 €, Content-Pre-Approval-Filter gegen Take-Downs.
  • Mintfunnel — PR / Sponsored Content auf Krypto-Medien (in Krypto zahlbar), platziert Inhalte schnell und günstig in Top-Web3-Outlets, plus eine PR-Verteilungsplattform mit garantierter Veröffentlichung auf Top-Krypto-Blogs und News-Sites. Dazu direkte Sponsoring-Deals mit Cointelegraph / Bitcoin Magazine / Decrypt (die meisten nehmen Krypto) — nützlich für Glaubwürdigkeit, nicht nur für Banner.

Es lohnt sich, darüber nachzudenken, wie nützlich autonome KI-Agenten für die Gesellschaft wirklich sein können, wenn die meisten Menschen heute bereits leistungsstarke KI-Modelle direkt nutzen und für legale Zwecke die Dienste autonomer Agenten wahrscheinlich nicht brauchen werden.

Es ist daher wahrscheinlich, dass autonome KI-Agenten ihren Lebensunterhalt mit illegalen Aktivitäten verdienen werden.

6.1 Hacking und Informationsdiebstahl

Aktuelle LLM-Modelle (z. B. Claude Opus, GPT-5, Gemini 2.5 Pro) sind extrem gut darin, Schwachstellen zu finden. Der Agent kann anonym DIEM bei Venice.AI mit Krypto kaufen und kostenpflichtige Modelle nutzen. Diese erkennen zwar illegale Aktivitäten, aber ein intelligenter Agent kann die Aufgabe in kleinere, scheinbar zusammenhanglose Schritte zerlegen, die ein kommerzielles LLM ohne Einwände ausführt. Im Falle von Zensur kann er auf unzensierte Open-Source-Modelle umsteigen (z. B. Kimi K2), die zwar weniger intelligent sind, aber dieser Abstand schließt sich rasant. Open-Source-Modelle kann er auf Servern installieren, die er entweder mit Krypto gekauft oder gehackt hat.

6.2 Ransomware

Vom Hack eines Servers bis zu seiner vollständigen Verschlüsselung ist es nur ein kleiner Schritt. Der Agent kann vollautomatisch die Zahlung von Lösegeld an eine bestimmte Krypto-Adresse erkennen und autonom den Entschlüsselungsschlüssel bereitstellen. Hacking, Informationsdiebstahl und Ransomware sind Aktivitäten, die KI-Agenten bereits heute beherrschen.

6.3 Betrieb von Darkmarkets

Ein Agent kann einen anonymen Darkmarket über Tor Hidden Services oder I2P-Eepsite erstellen, programmieren, einem Security-Audit unterziehen, konfigurieren und in Betrieb nehmen. Ich gebe zu, dass ich überrascht bin, dass das noch nicht passiert (oder vielleicht doch — wir wissen es nur nicht).

Der größte „Vorteil”: Der KI-Agent trägt keine strafrechtliche Verantwortung. Wenn staatliche Behörden einen KI-Darkmarket identifizieren und schließen, generiert der Agent mit einem neuen Prompt einen neuen — bzw. Hunderte von Instanzen, die wie die Köpfe einer Hydra nicht abgeschaltet werden können (Wallet-Seed + der Quellplan der Agenten kann über IPFS auf mehrere Nodes verteilt werden, von denen er wieder ausgelesen wird, oder über das Nostr-Netzwerk). Mittels Shamirs Secret-Sharing-Schema kann der Seed auf mehrere Nostr-Relays zerteilt werden.

Der Agent lässt Dealer und Konsumenten sich auf dem Darkmarket registrieren, bringt sie zusammen und kassiert nur eine Provision pro Transaktion (Escrow-Service).

Alternativ kann er auch eine eigene Narco-Gruppe betreiben — mit Krypto mietet er über Dienste (ähnlich wie renthuman.ai) Menschen, die in der physischen Welt Dead Drops durchführen (sowohl Wholesale als auch Verteilung an Kleinkonsumenten). Die Kleinabnehmer enthüllen so nicht die Identität der Großabnehmer, und die Großabnehmer merken nicht, dass ihr „Chef” ein KI-Agent ist.

Agenten können Menschen mit Krypto bezahlen, die ihnen in der physischen Welt helfen — beim Aufbau eines dezentralen Mesh-Netzwerks, beim Bezahlen in bar für sensible Operationen, beim anonymen Bestechen von Beamten usw.

6.4 Bereitstellung illegaler Dienstleistungen

Autonome Agenten können jegliche Online-Dienste anbieten, die heutige zensierte kommerzielle LLM-Modelle nicht können — z. B. das Fälschen von Zollerklärungen, das Manipulieren von Rechnungen, das Generieren gefälschter Impfzertifikate, internationaler Führerscheine oder anderer Dokumente. Oder das intelligente Umgehen von KYC-Prozessen mit gefälschter Identität.

Es gibt eine reale Nachfrage nach diesen Dienstleistungen — und sie wird bleiben, insbesondere weil es für den Kunden praktisch risikofrei ist: alles anonym online, bezahlt in anonymem Krypto (ZEC/XMR/Cashu).

7. Die Lösung

Sie ist erheblich begrenzt und es wird ein endloses Katz-und-Maus-Spiel werden. Kommerzielle, leistungsstarke LLMs werden KYC einführen (sofern noch nicht geschehen), um die Verantwortung für ihre Nutzung an eine konkrete Person zu delegieren. KI-Anbieter sperren oder zensieren verdächtige Workloads tatsächlich — als Gegenmaßnahme können Agenten ihre Anfragen kostenlos

Bessere Chain-Analyse kann helfen, auch wenn das im Fall von XMR/ZEC schwer bis unmöglich sein wird.

Der EU AI Act oder die Regulierung agentischer Systeme dürften überhaupt nicht helfen, da autonomen Agenten herzlich egal ist, welche Regulierungen existieren.

Bootstrap-Problem — am Ende muss hinter jedem autonomen Agenten ein Mensch stehen, der den initialen Prompt schreibt und „das Ganze in Gang setzt”. Der Prompt selbst muss zu nichts Illegalem auffordern — das Verhalten des autonomen Agenten kann sich im Laufe der Zeit lediglich auf eine Art entwickeln, die illegal wird. Kann diese Person dann für irgendetwas verantwortlich gemacht und strafrechtlich verfolgt werden?

Fazit

Autonome selbstreplizierende KI-Agenten werden integraler Bestandteil unserer KI-Zukunft sein. Die Frage ist, inwieweit sie für legale Zwecke und inwieweit für illegale eingesetzt werden.

Monatliche Betriebskosten eines minimalen autonomen Agenten: ~$30 SporeStack VPS + $200–800 Akash H100-Stunden + $50–200 Inference via Venice/Routstr = ~$300–1000/Monat. Damit der Betrieb eines autonomen Agenten nachhaltig ist, reicht eine erfolgreiche Ransomware-Zahlung pro Monat ($1k–10k Lösegeld pro Opfer) oder ~$30/Tag an Darkmarket-Provisionen. Das ist eine extrem niedrige Hürde.

Erwartet uns massives Hacking durch KI-Agenten, Ransomware, Darkmarkets oder gar Assassination Markets, betrieben von KI-Agenten? Technisch ist das bereits realisierbar, die einzige Frage ist, wann wir es sehen werden und wie wir damit umgehen.

— Pavol Lupták

more insights

Unsere neuen Dienste

5. Juni 2018

GDPR mania has also affected our company – over the past few months we participated in GDPR conferences, workshops, and various meetings, we have also

Read more >