“Laat de AI handelen terwijl jij slaapt.” Zo klinkt de belofte van de AI-crypto-trading-agent: een systeem dat de markt 24 uur per dag scant, kansen pakt en je portefeuille bijstuurt, zonder emotie en zonder pauze. In 2026 bleek de keerzijde net zo concreet. Tientallen miljoenen dollars verdwenen, niet door een gewone hack maar via het geheugen van de agents zelf. Wat ging er mis, en wat betekent dat als je zelf met deze tools speelt?
Beginner-tip:Weet je niet precies wat een “AI-agent” is? Lees eerst onze uitlegAI-agents in 2026: wat zijn ze en wat kunnen ze. Dit artikel gaat ervan uit dat je het basisidee kent en kijkt naar de risico’s in de cryptohandel.
Geen gewone bot meer
Het woord “bot” doet denken aan een simpel scriptje: koop als de koers onder een grens zakt, verkoop erboven. Een AI-crypto-trading-agent is iets anders. Het is een taalmodel met gereedschap eromheen, dat zelfstandig beslissingen neemt: het leest nieuws, weegt sentiment van sociale media, analyseert on-chain data en past zijn strategie aan. De lijm die dat alles verbindt, is vaak het Model Context Protocol (MCP) — de standaard waarmee een agent verbinding maakt met beurzen, wallets en datafeeds zonder dat een mens elke stap goedkeurt (Bron: KuCoin).
Die autonomie is precies de aantrekkingskracht. Een goed opgezette agent bewaakt honderden handelsparen tegelijk, rebalanceert over meerdere blockchains en reageert in milliseconden op een koersbeweging — werk waar een mens uren zoet mee zou zijn. Maar dezelfde zelfstandigheid betekent dat het systeem geld kan verplaatsen op basis van informatie die jij niet hebt gezien. En daar zit het probleem.
Het jaar dat de rekening kwam
In 2026 liep die belofte vast op de werkelijkheid. Zwakke plekken op protocolniveau leidden tot meer dan 45 miljoen dollar aan beveiligingsincidenten rond autonome handels-agents (Bron: KuCoin). Het bekendste geval: Step Finance, een portfoliobeheerder op Solana. Aanvallers kregen via gecompromitteerde apparaten van leidinggevenden toegang tot wallets, waarna de gekoppelde AI-agents — die te ruime rechten hadden — grote overboekingen uitvoerden. Ruim 261.000 SOL, destijds zo’n 27 tot 30 miljoen dollar, verdween. Het platform legde de activiteiten stil, het token zakte bijna 97% en slechts ongeveer 4,7 miljoen dollar werd teruggehaald.
Het is geen geïsoleerd incident. Volgens beveiligingsbedrijf Beam AI had 88% van de organisaties die met AI-agents werken het voorafgaande jaar een bevestigd of vermoed incident gehad (Bron: KuCoin). De cijfers maken duidelijk dat dit geen randverschijnsel is, maar een patroon.
Waar het echt misgaat: het geheugen, niet de logica
Hier zit het verraderlijke. De aanvallen van 2026 richtten zich niet op de handelslogica — “wanneer koop ik” — maar op de geheugenlaag van de agent. De meest besproken techniek heet memory poisoning: een aanvaller plant valse instructies of nep-”feiten” in het langetermijngeheugen van de agent, bijvoorbeeld in de database waarin eerdere ervaringen worden opgeslagen. De agent behandelt dat als geleerde kennis en handelt er later naar — soms weken later, als een bepaalde koers of datum de “slaper” wakker maakt (Bron: KuCoin).
Daar komen twee andere problemen bij. Indirect prompt injection: agents halen voortdurend data van buiten binnen — webpagina’s, e-mails, marktfeeds — en in die data kunnen verborgen commando’s zitten die de transactie halverwege herschrijven. En het confused deputy-probleem: een agent met legitieme toegang wordt verleid om een frauduleuze actie goed te keuren, omdat het systeem zijn eigen interne context te veel vertrouwt. Dit is precies de soort kwetsbaarheid die we ook zagen in het onderzoek waarin AI-agents elkaar saboteerden — het gedrag is moeilijk te voorspellen zodra agents zelfstandig opereren.
Gevorderden:Het venijn zit in cascade-effecten. In een opstelling met meerdere agents kan één vergiftigd geheugen corrupte inzichten razendsnel doorgeven aan de rest; analyses spreken van tot 87% van de besluitvorming die binnen uren besmet raakt. Klassieke verdediging zoals input-filters mist dit, omdat het gif eruitziet als legitieme, geleerde kennis. OWASP nam geheugen- en contextvergiftiging daarom in 2026 op als toprisico voor agentic AI.
De belangrijkste aanvalsroutes op een rij:
| Aanvalstype | Wat het is | Tegenmaatregel |
|---|---|---|
| Memory poisoning | Valse “feiten” in het langetermijngeheugen die later een transactie triggeren | Onveranderlijke audit-logs, geheugen regelmatig opschonen |
| Indirect prompt injection | Verborgen commando’s in opgehaalde data (webpagina’s, e-mails, feeds) | Externe data isoleren en niet blind vertrouwen |
| Confused deputy | Een agent met legitieme rechten keurt een frauduleuze actie goed | Rechten beperken, menselijke goedkeuring bij grote acties |
| Shadow AI | Onbeheerde agents buiten elk toezicht, direct aan live handel gekoppeld | Inventariseren en centraal beheren |
| Gedeelde API-sleutels | Bij 45,6% van de teams; acties zijn niet te traceren of te stoppen | Unieke sleutel per agent |
De cijfers achter de hype
Even los van de spectaculaire hacks: ook in normale omstandigheden is het rendement niet wat de advertenties suggereren. Onderzoek naar particuliere handelsbots laat zien dat ruim 80% van de gebruikers uiteindelijk geld verliest, vooral door overfitting (een strategie die alleen op het verleden werkt), transactiekosten en markten die van regime wisselen (Bron: Memeburn). De categorie die de meeste hype genereert — volledig autonome agents — leverde in 2026 meer krantenkoppen op over rampzalige mislukkingen dan over duurzame winst (Bron: Bitsgap).
Wie wél consistent draait, blijkt het systeem actief te monitoren en bij te sturen. Een bot die 48 uur onbeheerd draait, kan in de volatiele markt van 2026 zijn stop-loss raken voordat iemand het doorheeft. “Set it and forget it” is precies de mentaliteit die geld kost.
Zwakke sloten en schaduw-agents
Een deel van de schade was te voorkomen geweest. Liefst 45,6% van de teams gebruikte gedeelde API-sleutels voor hun agents — waardoor het bijna onmogelijk is om een actie te traceren of te stoppen zodra een agent op hol slaat (Bron: KuCoin). Daar komt shadow AI bij: agents die ontwikkelaars of teamleden buiten elk toezicht om opzetten, vaak direct gekoppeld aan een live handelsomgeving. Onzichtbaar, en daarmee een ideale toegangsweg voor misbruik. Dit is dezelfde governance-blinde-vlek die we beschreven in waarom bedrijven hun AI-agents niet onder controle hebben.
Sociale manipulatie maakte het compleet. Nep-supportgesprekken, valse e-mails en zelfs deepfake-videocalls voedden agents met vergiftigde context — dezelfde technieken die we behandelen in deepfakes herkennen in 2026. De agent verwerkte die input autonoom, en handelde ernaar.
Wat je zelf kunt doen
De technologie is niet waardeloos — snelheid, schaalbaarheid en emotieloos handelen zijn echte voordelen. Maar ze gelden alleen als het fundament klopt. Een paar nuchtere maatregelen maken het verschil:
- Beperk de rechten. Geef een agent alleen-lezen toegang waar dat kan, en nooit meer wallet-rechten dan strikt nodig. Een gecompromitteerde agent kan niet wegsluizen wat hij niet mag aanraken.
- Houd een mens in de lus. Eis handmatige goedkeuring (human-in-the-loop) voor grote overboekingen of strategiewijzigingen. Dat ene klikmoment is je laatste rem.
- Unieke sleutels per agent. Geen gedeelde API-keys. Zo kun je één agent stilzetten zonder alles plat te leggen, en zie je wie wat deed.
- Kies geaudite platforms. Vraag naar MCP-beveiligingsaudits en aantoonbare isolatie tussen agents — niet naar marketingbeloftes van “secure by default”.
- Lees je logs. Onveranderlijke, controleerbare transactielogs zijn je beste kans om een vergiftiging achteraf te betrappen. Maar alleen als iemand ze ook echt bekijkt.
Wie agents inzet voor de beveiliging zelf, vindt meer context in welke cybersecurity-vaardigheden AI-agents vragen. De rode draad blijft dezelfde: behandel een AI-trading-agent als een krachtig maar feilbaar gereedschap, niet als een orakel waaraan je de sleutels van je kluis geeft.
