Letzte Nacht habe ich das Whitepaper zu @NewtonProtocol bis drei Uhr morgens gelesen – und je mehr ich gelesen habe, desto wacher war ich. Das Projekt will eine „verifizierbare Automatisierungsschicht“ bauen: KI-Agenten sollen On-Chain-Operationen für dich ausführen, wobei jeder Schritt einen Nachweis liefert, dass dabei nichts schiefgelaufen ist. Die Idee ist ziemlich wild, aber beim Zerlegen zeigen sich eine Menge Probleme.
Newtons Kernlogik besteht aus drei Ebenen: Der Model-Registry verwaltet die Agentenidentität, das Keystore Rollup verwaltet die Nutzerberechtigungen, und „Automation Intent“ steuert die Ausführbedingungen. Besonders das Keystore beschäftigt mich: Das Whitepaper sagt, es sei „a specialized rollup responsible for storing and updating user permissions“. Ob deine Assets für alle Agenten bewegbar sind, hängt also davon ab. Und dieses Ding läuft auf delegiertem PoS – die Validatoren hinterlegen NEWT als Sicherheitsgarantie. Die Kette sieht makellos aus: TEE als Ausführumgebung → ZKP erzeugt einen Nachweis → Keystore speichert Autorisierungen → On-Chain-Verifizierung.
Aber diese TEE-Mauer ist dünner, als ich dachte. Ich habe den Binance-Research-Report gelesen; sinngemäß heißt es: „currently utilizes Phala's cloud environment“ – aktuell läuft die TEE in der Cloud von Phala. Private Keys, Sitzungs-Schlüssel und Transaktionsautorisierungen liegen alles in einem Drittanbieter-„Enklaven“-Umfeld. Beim Angriff „2025 TEE.Fail“ konnten Forscher mit weniger als 1000 US-Dollar aus Intel TDX und AMD SEV die entscheidenden Schlüssel extrahieren. Phala räumt selbst ein, dass die Enklave geklont werden könnte. Ein manipuliertes Agenten-Setup kann trotzdem ein „alles ist normal“-Quote generieren, und der On-Chain-Vertrag zahlt alles gemäß Plan aus.
Noch beunruhigender finde ich, dass das Netzwerk in der Anfangsphase von TEE-Servern der Stiftung dominiert wird – nicht von einem verteilten Netzwerk, sondern nach dem Motto: Die Stiftung bestimmt.
Ich bin nicht skeptisch gegenüber der Richtung – im Gegenteil: Gerade weil ich sie gut finde, bin ich besonders vorsichtig. TEE beseitigt kein Vertrauen; es verlagert das Vertrauen nur vom Projektteam zu Intel und AMD. Meine Strategie ist ganz einfach: im Blick behalten, den Hauptteil der Position nicht anfassen. Abwarten, bis Newton wirklich durchläuft – und zwar ohne TEE-Lösungen von Dritten. #newt $NEWT
Newtons Kernlogik besteht aus drei Ebenen: Der Model-Registry verwaltet die Agentenidentität, das Keystore Rollup verwaltet die Nutzerberechtigungen, und „Automation Intent“ steuert die Ausführbedingungen. Besonders das Keystore beschäftigt mich: Das Whitepaper sagt, es sei „a specialized rollup responsible for storing and updating user permissions“. Ob deine Assets für alle Agenten bewegbar sind, hängt also davon ab. Und dieses Ding läuft auf delegiertem PoS – die Validatoren hinterlegen NEWT als Sicherheitsgarantie. Die Kette sieht makellos aus: TEE als Ausführumgebung → ZKP erzeugt einen Nachweis → Keystore speichert Autorisierungen → On-Chain-Verifizierung.
Aber diese TEE-Mauer ist dünner, als ich dachte. Ich habe den Binance-Research-Report gelesen; sinngemäß heißt es: „currently utilizes Phala's cloud environment“ – aktuell läuft die TEE in der Cloud von Phala. Private Keys, Sitzungs-Schlüssel und Transaktionsautorisierungen liegen alles in einem Drittanbieter-„Enklaven“-Umfeld. Beim Angriff „2025 TEE.Fail“ konnten Forscher mit weniger als 1000 US-Dollar aus Intel TDX und AMD SEV die entscheidenden Schlüssel extrahieren. Phala räumt selbst ein, dass die Enklave geklont werden könnte. Ein manipuliertes Agenten-Setup kann trotzdem ein „alles ist normal“-Quote generieren, und der On-Chain-Vertrag zahlt alles gemäß Plan aus.
Noch beunruhigender finde ich, dass das Netzwerk in der Anfangsphase von TEE-Servern der Stiftung dominiert wird – nicht von einem verteilten Netzwerk, sondern nach dem Motto: Die Stiftung bestimmt.
Ich bin nicht skeptisch gegenüber der Richtung – im Gegenteil: Gerade weil ich sie gut finde, bin ich besonders vorsichtig. TEE beseitigt kein Vertrauen; es verlagert das Vertrauen nur vom Projektteam zu Intel und AMD. Meine Strategie ist ganz einfach: im Blick behalten, den Hauptteil der Position nicht anfassen. Abwarten, bis Newton wirklich durchläuft – und zwar ohne TEE-Lösungen von Dritten. #newt $NEWT