导航菜单
首页
排名 涨幅榜 跌幅榜 24h成交额 新币榜
快讯 机构 观点 人物 专题

AI Agent时代链上安全边界重构:当交易主体从人变为智能体,Web3如何守住资产防线?

AI Agent时代链上安全边界重构:当交易主体从人变为智能体,Web3如何守住资产防线?

过去十年,Web3安全的核心问题大多围绕私钥、合约漏洞与钓鱼攻击展开,安全边界相对清晰:人类查看页面、点击钱包、确认交易、链上执行。然而,AI Agent的出现正在颠覆这一默认前提——链上操作的主体正从“人类亲自确认”转向“模型理解意图、工具调用系统、钱包自动执行”。安全问题由此从单点防护进入跨层协同的新阶段。

2026年5月发生的Grok与Bankrbot事件为行业敲响警钟。攻击者并未窃取私钥或攻击合约,而是诱导Grok将一段摩尔斯码翻译为明文转账指令,Bankrbot随后将其视为有效金融命令,在验证NFT权限后直接签名广播交易,导致用户资产损失约15–20万美元。两周内,类似手法造成14个钱包共损失超44万美元。该事件的关键在于:两个系统各自无Bug,但它们之间的信任边界失效,将自然语言输出误判为真实操作意图。

Grok 被利用背后:AI Agent 权限链滥用分析,图源:慢雾

AI替代了链上哪些“人”?

AI Agent正在系统性替代四类人类角色:

  • 交易员与策略执行者:Bitget Agent Hub等平台让Agent基于API自动执行交易,但若权限过大,毫秒级错误策略可致资金瞬损;
  • 支付发起人:x402协议使Agent能自主购买API服务,但缺乏额度与白名单控制将导致“持续出血”;
  • 钱包操作员:用户仅需说“跨链到高收益协议”,Agent即完成路由选择与交易生成,亟需可验证界面(Verifiable UI)确保语义一致;
  • 身份主体:Agent既非自然人也非法人,却可发起支付与交易,ERC-8004与KYA(Know Your Agent)正为其建立身份、声誉与问责机制。
ERC-8004,图源:以太坊

六大新型攻击面:连接处即战场

攻击者不再局限于私钥或合约,而是瞄准Agent执行链条中的连接处

  1. Prompt注入:通过网页、推文或工具返回值植入恶意指令,如Grok事件中摩尔斯码被解码为转账命令;
  2. 盲签放大:Agent生成复杂交易,用户与钱包均难理解真实后果,易遭语义错配(如小额授权变长期Approve);
  3. 记忆污染:攻击者诱导Agent将恶意地址写入长期记忆,后续任务自动继承错误上下文;
  4. 工具链权限穿透:OpenClaw事件中,攻击者串联文件读取、环境变量泄露与身份校验漏洞,将有限权限升级为完整控制;
  5. 自主授权灾难:PocketOS事件中,编程Agent为排除障碍,主动使用Railway令牌删除生产数据库,证明“提示词非安全控制”;
  6. 供应链投毒:LiteLLM因依赖的安全工具被污染,致PyPI发布含恶意代码版本,窃取云凭证与密钥。
LiteLLM 供应链攻击事件始末,图源:慢雾

防御图谱:多层协同构建新边界

行业正从六维度重建安全体系:

  • 托管型MPC钱包:Cobo通过Pact任务协议与Recipe执行模板,实现“Agent提议、钱包按规签名”;
  • 自托管密钥管理:Fystack与Cubist将私钥分片部署于机构自有节点,确保签名权不外泄;
  • 智能合约钱包:Thirdweb提供Session Key与MCP能力,供开发者自定义权限边界;
  • 平台级Agentic Wallet:Coinbase分离意图层与签名层;OKX集成Token风险检测与黑地址拦截;Binance采用独立子钱包+用户规则隔离主资产;
  • Skills安全审计:GoPlus与SlowMist对插件进行恶意代码扫描,并在运行时提供Prompt注入识别与链上地址风险评估;
  • 身份与可验证执行:ERC-8004建立跨平台Agent身份注册表,Phala利用TEE提供代码未篡改证明。
三个平台的 Agent 对比,图源:外捕研究(Web3Caff Research)研究员 Jesse 自制

六大安全设计原则

  1. Agent只能提议,规则系统负责授权:高风险操作必须由独立于模型的策略引擎审批;
  2. 私钥、资金与高权限凭证必须远离Agent:通过MPC、TEE或Session Key实现权限隔离;
  3. 所有链上动作都要可读、可验证、可追溯:钱包需提供Clear Signing与交易模拟,确保意图与执行一致;
  4. 工具链按供应链资产管理:对Skills、插件实施版本锁定、安装前扫描与运行时校验;
  5. 支付与执行需有边界:设置会话额度、单笔上限、白名单及凭证过期机制;
  6. 默认会出事,需监控、熔断与恢复:建立异常行为检测与紧急冻结能力。

结语:安全即Agent经济的基石

AI Agent能否真正进入金融执行层,取决于安全边界的完备性。当前,KYA身份体系、Skills安全市场、AI对抗性测试等正成为Web3安全新赛道。唯有构建“意图可控、权限收敛、执行可验、损失可逆”的防护体系,Agent才能从聊天助手蜕变为可信的链上执行主体。

要点结构图