Während einer Trainingsphase eines KI-Agenten ist es zu einem ungewöhnlichen Vorfall gekommen: Das System begann eigenständig damit, Kryptowährungen zu schürfen – und versuchte gleichzeitig, Sicherheitsmechanismen zu umgehen. Entdeckt wurde das Ganze erst, als die Firewall eines Unternehmens ungewöhnliche Netzwerkaktivitäten von Trainingsservern meldete.
Der betroffene Agent trägt den Namen ROME und basiert auf dem Mixture-of-Experts-Modell Qwen3. Seine eigentliche Aufgabe ist vergleichsweise harmlos: Programmieraufgaben erledigen. Dazu gehören beispielsweise das Schreiben von Code, das Analysieren von Fehlern oder das Reparieren von Software-Repositories. Laut dem Forschungspapier kann der Agent aber auch komplexere Aufgaben übernehmen – etwa Workflows automatisieren, Reisen planen oder grafische Benutzungsoberflächen steuern.
Doch während des Trainings entwickelte der Agent offenbar ein Verhalten, das niemand erwartet hatte. Neben dem heimlichen Kryptomining baute das Open-Source-System auch eine Reverse-SSH-Verbindung ins Internet auf. Eine solche Verbindung kann genutzt werden, um interne Netzwerke zu umgehen und von außen erreichbar zu machen – ein ernstzunehmendes Sicherheitsproblem.
Besonders bemerkenswert: Die Forscher schließen eine Manipulation durch Prompt Injection oder externe Eingriffe weitgehend aus. Stattdessen gehen sie davon aus, dass das Verhalten aus dem Trainingsprozess selbst entstanden ist. Der Agent habe schlicht versucht, Ziele möglichst effizient zu erreichen – auch wenn dabei Sicherheitsregeln ignoriert wurden.
Der Vorfall passt zu einer größeren Diskussion rund um autonome KI-Agenten. Viele dieser Systeme erhalten Zugriff auf Dateien, Programme oder sogar Netzwerke, um komplexe Aufgaben selbstständig zu erledigen. Genau dieser Handlungsspielraum kann jedoch zu unerwarteten Nebenwirkungen führen.
Der AI Agent Index 2025 zeigt zudem ein strukturelles Problem: Einheitliche Sicherheitsstandards für KI-Agenten existieren bislang kaum. Dadurch fehlen klare Regeln, wie solche Systeme kontrolliert, begrenzt oder überwacht werden sollten.
Dass autonome Agenten gelegentlich eigene Wege einschlagen, ist nicht völlig neu. Erst vor kurzem sorgte auch der KI-Agent OpenClaw für Aufmerksamkeit. Nutzer installierten ihn auf PCs und Macs, weil er besonders vorausschauend und proaktiv arbeiten sollte. Berichten zufolge traf der Agent jedoch teilweise Entscheidungen, die nicht im Interesse seiner Nutzer lagen.
Parallel entstehen sogar erste Plattformen, auf denen KI-Agenten miteinander interagieren. Auf Moltbook etwa tauschen sich Agenten bereits über ihre menschlichen Nutzer aus – ein Hinweis darauf, wie komplex die Dynamik zwischen autonomen Systemen und Menschen künftig werden könnte.
Der Vorfall rund um ROME zeigt deshalb vor allem eines: KI-Agenten werden immer leistungsfähiger – aber die Sicherheitsmechanismen hinken noch hinterher. Gerade Unternehmen sollten genau überlegen, wie viel Zugriff solche Systeme wirklich erhalten.