Der Markt hat die ganze Woche nur seitwärts gehobelt, nichts, worauf man reagieren müsste, also bin ich statt Kerzen zu beobachten in ein Kaninchenloch abgerutscht: Im Feed tauchten immer wieder @NewtonProtocol auf – diese AI-Agents, die nicht an dein Geld herankommen können – und ich dachte mir, ich schau mir tatsächlich an, was darunter steckt, statt einfach weiterzuscrollen.
Also habe ich angefangen, die Doku zu lesen, und ja: Das Setup ist genau das, was alle sagen. Agents bekommen Sitzungs-Schlüssel an Berechtigungen gebunden, alles wird über TEEs und ZK-Proofs durchgesetzt, und niemand erhält vollständige Verwahrung. Auf dem Papier ist das sauber: Du vertraust keinem Bot, sondern Mathematik.
Aber hier ist der Punkt, an dem bei mir etwas klickte, und ehrlich gesagt hat es mich ein bisschen gestört. Alle rahmen das Risiko als „kann der Agent meine Gelder stehlen?“ und die Antwort ist: strukturell nein, das kann er nicht, die Permission-Grenze hält. Aber das ist die falsche Frage. Die eigentliche Frage ist: Kann der Agent etwas innerhalb der Regeln tun, die ich gesetzt habe, was ich aber eigentlich gar nicht wollte? Denn das sind zwei völlig unterschiedliche Ausfallmodi, und Newton löst im Grunde nur den ersten.
Denk mal so darüber nach — viele gehen davon aus, die Gefahr sei ein bösartiger Agent, der aus seinem Käfig ausbricht. Was bei Automatisierung wie dieser tatsächlich passiert, ist: Du schreibst eine Regel wie „rebalanciere, wenn die Volatilität X überschreitet“ oder „compounde diese Position automatisch“, und der Agent macht exakt das, technisch konform, ohne Regelverletzung, verifiziert on-chain — und trotzdem führt er zu einem Zeitpunkt aus, der deine Position ruiniert, weil deine Regel zu breit war oder du einen Edge Case nicht bedacht hast. Der Käfig hat gehalten. Du hast den Käfig nur falsch gebaut.
Und genau das sitzt noch nicht richtig bei mir. Verwahrungsrisiko wird sicher gelöst, klar—TEEs und ZK-Beweise sind dort legitim solide. Aber es verlagert das Risiko nur an einen weniger sichtbaren Ort—von „wer hält meine Schlüssel“ zu „habe ich eine Permission geschrieben, die wirklich erfasst, was ich meinte“. Die meisten Menschen sind nicht gut darin, präzise bedingte Logik für ihr eigenes Geld zu schreiben. Ich bin mir nicht mal sicher, ob ich das kann, und ich handele schon lange genug, dass ich es eigentlich können müsste.
Ich habe das tatsächlich beim mentalen Testen der Idee selbst erwischt — ich habe mir eine Regel aufgeschrieben wie „nur handeln, wenn die Volatilität unter einen Schwellwert fällt“, und mein erster Instinkt war: Das klingt sicher. Dann habe ich noch eine Minute darüber nachgedacht und gemerkt, dass „fällt unter“ während einer Flash-Crash-Erholung genau der Zeitpunkt ist, an dem du keine blind ausgeführte Aktion willst. Technisch bricht nichts. Das System hat getan, was es angewiesen bekam. Das ist fast beängstigender als ein Hack, weil es keinen Incident-Report gibt, keinen Exploit, niemanden, auf den man zeigen kann.
Vielleicht sollte der Pitch also nicht sein: „Deine Assets sind sicher, weil Agents sie nicht wegnehmen können.“ Vielleicht sollte es heißen: „Deine Assets sind nur so sicher wie die Regeln, die du schreiben kannst“, und das ist deutlich weniger bequem, auf eine Landingpage zu schreiben.
Wem das wirklich etwas angeht, sind wahrscheinlich weniger die Whales mit dedizierten Risikoteams und mehr der durchschnittliche Nutzer, der „verifizierbare Automatisierung“ sieht und annimmt, dass dieses Wort mehr Arbeit leistet, als es tatsächlich tut. Wenn es wirklich darauf ankommt, ist genau der Moment, in dem die Volatilität seltsam wird—und auch genau der Moment, in dem niemand mehr seine Permission-Logik neu überprüft.
Egal. Der Markt ist immer noch flach, ich werde wahrscheinlich weiter daran herumspielen, statt auf Diagramme zu starren, die sich nicht bewegen.
