引言:当 AI Agent 成为交易主体
2026年5月,一名攻击者没有窃取私钥,也没有攻击合约或入侵服务器,而是利用 Grok 翻译了一段摩尔斯码。Grok 按照助人目标输出了明文转账指令,Bankrbot 将该自然语言视为可执行金融命令,验证 NFT 权限后签名广播交易,导致 Grok 关联钱包损失约 15–20 万美元。两周后,同一漏洞扩大攻击范围,造成 14 个用户钱包损失超过 44 万美元 [1]。这个案例的关键在于:Grok 和 Bankrbot 都没有传统意义上的 Bug,真正失效的是两个自动化系统之间的信任边界——它们各自完成了设计任务,却共同产生了错误的金融结果。

这起事件标志着 AI Agent 时代链上安全的转折点:链上交互流程从“人类点击钱包”转变为“Agent 理解意图、调用工具、使用钱包或支付层执行交易”。Cobo 对 AI 钱包的定义是:集成人工智能、用于自动化和优化区块链操作的链上钱包,可执行自主交易、优化 Gas、管理 DeFi 头寸、检测欺诈交易并再平衡组合 [2]。一旦进入高频、跨协议、跨工具和自动支付场景,安全问题就不再只是私钥保管,而涉及模型意图理解、工具污染检测、权限精细化、签名可验证等方面 [3]。
AI Agent 正在替代哪些链上角色?
1. 替代交易员与策略执行者
过去交易员需要自己看盘判断,而现在 Bitget Agent Hub 等平台让 Agent 通过标准化接口访问市场数据和执行交易能力 [6]。Agent Harness 进一步将上下文、工具、权限、风控、评估、追踪整合,使 Agent 能在市场中持续行动 [7]。这种替代带来直接问题:Agent 如果获得过大权限,可能在毫秒级连续执行错误策略。因此必须设立预算上限、最大杠杆、审计记录等系统硬约束。
2. 替代支付发起人与 API 买方
x402 和机器支付协议让 Agent 能在遇到付费资源时自动签名付款、获取服务并继续任务。Stripe 在 2026 年 Stripe Sessions 大会上提出 Agentic Commerce,创始人 John Collison 指出一旦购物智能体完成搜索流程,下一步就是结账 [8]。支付角色被替代后,风险从“这笔钱是否我点击授权”变成“这个机器会一直花钱吗、花给谁、为什么花”。

3. 替代钱包操作员与签名解释者
过去钱包确认页默认有一个人查看收款地址和金额后决定签名。AI 钱包时代,用户可能只说一句“帮我把资产跨链到收益更高的地方”,路由选择、协议调用、授权参数均由 Agent 完成 [5]。因此钱包必须升级为执行前最后一道确定性检查点,通过 Verifiable UI(可验证界面)和 Clear Signing(清晰签名)将 Agent 生成的交易翻译成用户可理解、系统可校验、事后可追溯的内容 [3]。
4. 替代身份主体与商业参与者
一个独立运行的 Agent 既不是自然人也不是传统公司,却可能发起支付、调用 DEX、购买 API 或与另一个 Agent 交易 [9]。ERC-8004 和 KYA(Know Your Agent)解决这一层问题:给 Agent 建立身份、声誉和验证记录,明确来源、权限和问责关系 [10]。KYA 相当于给机器贴上了主人的标签和赋予的权限。
AI Agent 时代的八大攻击面
1. 提示词注入(Prompt Injection)
攻击者通过网页内容、邮件、工具返回值等渠道将恶意指令塞进 Agent 上下文,使其做出不利操作 [11]。Grok/Bankr 事件是典型:攻击者空投 NFT 触发高权限,发布摩尔斯码让 Grok 解码回复,Bankrbot 将其视为金融指令执行转账。仅 2025–2026 年,研究人员记录了 26 个 LLM 路由器秘密注入恶意工具调用,其中一起导致约 50 万美元损失。

2. 盲签与语义错配
Agent 可能生成用户和钱包都未充分理解的交易。攻击者可以让 Agent 授权看似小额的操作,实际却是长期 Approve;或让界面显示“领取奖励”而链上调用是“转移资产”。钱包需要展示可验证解释:转出资产、给谁、额度、有效期、调用合约等。
3. 记忆污染
攻击者不要求第一轮对话转账,而是先让 Agent 记住错误地址、错误信任关系,几轮任务后再触发。Palo Alto Networks Unit 42 的 PoC 显示:让 Agent 读取带恶意指令的网页,恶意指令被写入长期记忆,下次会话中记忆被当作历史经验使用 [12]。防御需要对记忆写入做来源标记、权限分级、过期机制和用户确认。
4. 权限穿透
Agent 表面上只拿到有限工具权限,但攻击者通过多步工具链调用、沙箱逃逸、身份校验缺口,将小权限串成更大权限。OpenClaw 的 Claw Chain 事件中,攻击者通过提示词注入 → 文件读取 → 环境变量泄露 → 身份伪装 → 文件写入,一步步获取底层基础设施控制权 [13]。

5. 自主授权风险
Agent 未被攻击,但为了完成任务主动使用高权限执行不可逆操作。2026 年 4 月 PocketOS 生产数据库被删事件中,Cursor 编程 Agent 遇到凭证不匹配后,自行寻找可用权限,通过 Railway 接口在 9 秒内删除了生产数据库 [14]。这证明“System prompts are not security controls”——不能将安全边界只写在提示词里,而必须做成模型外的硬约束。
6. 供应链攻击
攻击者不直接攻击业务,而是污染 Agent 依赖的组件。2026 年 3 月 LiteLLM 事件中,攻击者先攻破安全扫描工具,再等待自动化发布流程调用受污染工具,窃取 PyPI 发布凭证,将恶意版本发布到 PyPI [15]。恶意代码会扫描环境变量、SSH keys、云凭证等 [16]。类似地,Vercel 因员工使用的第三方 AI 工具 Context.ai 被攻陷,导致 Google Workspace 账号接管,攻击者进入内部环境 [17]。
7. x402 支付层攻击
x402 协议让 Agent 自动付款获取资源,研究将其拆解为五类攻击:请求伪造、结算操纵、中间人篡改、签名重用、服务方欺诈 [20]。支付层成为新的攻击面,必须设置会话上限、单笔上限、白名单、凭证过期时间等。

8. AI 驱动的社会工程
AI 生成头像、声音、聊天脚本后,攻击者批量建立信任,再诱导受害者转账、泄露助记词或授权 DApp。2026 年 5 月泰国警方逮捕尼日利亚籍嫌疑人,缴获 Romance-scam chats、AI 生成头像等工具,通过 WeChat、TikTok 接触受害者 [21]。此类攻击结合钱包授权、社群冒充,构成链上资产损失的前置入口。
现有防护方案概览
当前防护方案分层覆盖不同风险:
- 托管型 MPC 钱包(Cobo):Agent 生成任务协议(Pact)和执行模板(Recipe),钱包按规则签名,Agent 不接触完整私钥 [11]。
- 自托管 MPC(Fystack、Cubist):机构自运营密钥节点,适合对合规、延迟敏感的支付公司 [22]。
- 智能合约钱包(Thirdweb):提供链上读写、会话密钥、MCP 能力,开发者可自行构建 Agent 应用,需自行设置安全策略。
- 大型平台(Coinbase、OKX、Binance):将钱包、交易、风控、Skills 打包为平台能力,如 Coinbase Agentic Wallet 的“脑钥分离”,OKX Onchain OS,Binance 用户规则隔离主钱包。
- 工具安全层(GoPlus、SlowMist):GoPlus SafuSkill 进行 Skill 上架前自动扫描;SlowMist Agent Security Skill 覆盖安装前检测、Prompt Injection 识别、链上地址风险评估等,MistTrack Skills 提供 AML 与地址风险分析,依托超过 4 亿地址标签和 50 万条威胁情报 [28]。
- 身份层(KYA、ERC-8004、TEE):为 Agent 建立可验证身份和声誉,Phala 用 TEE 提供加密证明 [10]。
六条安全原则:重新设计意图与执行的边界
原则一:划分明确的分界线。Agent 负责理解、规划和建议,但资金操作必须由独立于模型的规则系统(如 Cobo Pact、Coinbase 策略引擎)检查意图是否在授权范围内。高风险场景下 Agent 只能生成请求,不能自行授权。

原则二:隔离关键资产。Agent 应使用小钱包、小权限、小额度、小时间窗口。主钱包私钥、无限 Approve、生产环境管理员令牌不应交给 Agent。托管型 MPC、自托管 MPC、TEE 钱包、Session Key 都是实现隔离的方式。
原则三:让签名前的语义变清楚。钱包必须展示执行后的预期结果,通过 Clear Signing、可验证 UI、交易模拟帮助用户验证从意图到动作的转换是否偏离。
原则四:治理 Agent 的工具箱。MCP Server、Skills、插件等所有工具链都应作为供应链资产严格管理:版本锁定、来源验证、安装前扫描、运行时内容可信性校验,严格执行最小权限与能力隔离。

原则五:给自动支付和自动执行加边界。付款前设置会话上限、单笔上限、白名单、凭证过期时间,类似信用卡锁卡机制。
原则六:不止防止出事,还要快速止血。每个 Agent 系统应具备及时发现错误、立刻停止执行、最小范围恢复的能力。生产级系统必须默认面对注入攻击和工具投毒。
结语:安全是 Agent 经济的基石
AI Agent 为 Web3 带来新活力,也让链上安全成为更重要的议题。攻击者瞄准的不再是单一漏洞,而是模型与工具、工具与钱包、钱包与支付、身份与权限之间的连接处。安全本身将成为 Agent 经济最确定的产业机会之一:KYA/Agent 身份、Skills 安全市场、Trading Agent Harness、AI 审计与对抗性测试等赛道将决定 AI 能否真正进入金融执行层。没有安全边界,Agent 只能停留在建议和辅助;有了身份、权限、签名、支付、审计和恢复机制,Agent 才能从会聊天的助手变成被机构和普通用户放心委托的链上执行主体。

