引言:当 Grok 被摩尔斯码变成黑客工具
2026 年 5 月,一起看似离奇的安全事件成为 AI Agent 时代链上安全的转折点。攻击者没有偷私钥、没有攻击合约、也没有入侵 Bankr 的服务器,而是向 Grok 发布了一条摩尔斯码消息,让善于“乐于助人”的 Grok 将其翻译成明文转账指令。Bankrbot 监控到这条推文后,验证了关联 NFT 权限,直接签名并广播了链上交易——最终造成 Grok 关联钱包损失约 15–20 万美元。两周后,相同的 Agent 信任层漏洞被扩大利用,14 个用户钱包损失超过 44 万美元。这个案例最核心的启示在于:Grok 和 Bankrbot 都没有传统意义上的 Bug,它们各自完成了被设计的功能,却因两个自动化系统之间的信任边界失效,共同产生了错误的金融结果。

这标志着链上交互流程正在从“人类点击钱包”变为“Agent 先理解意图、再调用工具、最后使用钱包执行交易”。Cobo 对 AI 钱包的定义是:集成人工智能、用于自动化和优化区块链操作的链上钱包。它可以自主交易、优化 Gas、跨协议管理 DeFi 头寸、实时检测欺诈交易。但当 Agent 进入高频、跨协议、跨工具的自动支付场景,安全问题就不再只是私钥保管,而涉及模型意图理解、工具污染、权限过宽、签名可验证等新维度。
AI Agent 如何替代链上的“人”
过去一笔链上操作有清晰的人类角色:看市场、决策、点击钱包、确认签名、事后审计。Agent 出现后,这些角色被拆解并交给软件系统,风险分散到各个组件之间。
第一类被替代:交易员和策略执行者。过去交易员手动看盘,现在 Bitget Agent Hub 等平台让 Agent 通过标准化 API 访问市场数据并执行交易。Agent Harness 进一步把上下文、工具、权限、风控组织成持续行动系统。但交易错误会立刻变成资金损失——Agent 若拿到过大权限,可能在毫秒级连续执行错误策略。因此需在架构上设立预算上限、最大杠杆和审计记录等硬约束。
第二类被替代:支付发起人和 API 买方。x402 与机器支付协议让 Agent 遇到付费资源时自行签名付款。Stripe 在 Sessions 2026 大会提出 Agentic Commerce,即智能体从研究到下单的全流程。风险从“我是否点击授权”变为“机器会不会一直花钱、花给谁”。需要额度、白名单和可撤销授权。

第三类被替代:钱包操作员和签名解释者。过去钱包确认页有一个人查看收款地址和金额。AI 钱包下用户只说“帮我把资产跨链到收益更高处”,中间路由、协议调用、授权参数都由 Agent 完成。这要求钱包升级为“执行前最后一道确定性检查点”,即 Verifiable UI(可验证界面),把 Agent 生成的交易翻译成用户能理解、系统能校验、事后能追溯的内容。
第四类被替代:身份主体和商业参与者。AI Agent 既非自然人也非公司,却能发起支付、调用 DEX、签署指令。ERC-8004 和 KYA(Know Your Agent)试图为 Agent 建立身份、声誉和验证记录,解决“这个 Agent 是谁创建的、代表谁、谁给了权限”的问题。
AI Agent 时代的六大攻击面
攻击者现在盯上的是整条“从理解目标到资金移动”的委托链。以下是六大核心攻击面:
1. 提示词注入攻击(Prompt Injection)
攻击者通过网页内容、邮件、工具返回值等渠道将恶意指令塞进 Agent 上下文。只需让 Agent 误解意图,就可能触发真实资产操作。2025–2026 年,研究人员记录了 26 个 LLM 路由器秘密注入恶意工具调用,至少一起事件导致某客户钱包因凭证泄露损失约 50 万美元。开头 Grok/Bankr 事件就是典型:攻击者先空投 NFT 触发高权限,再在 X 上发摩尔斯码,让 Grok 输出含转账指令的回复,Bankrbot 直接执行。防御需要结构化指令、来源验证、额度限制和 Human-in-the-loop 确认。

2. 盲签与语义错配
Agent 在无人类确认下签名,且可能自己也不清楚交易含义。攻击者让 Agent 以为自己授权小额操作,实际生成长期 Approve;或界面展示“领取奖励”,链上调用却转移资产。防御方向是 Clear Signing 和 Verifiable UI,让钱包展示真实动作及执行后预期结果。
3. 记忆污染(Memory Poisoning)
攻击者先让 Agent 记住错误地址、错误信任关系,几轮任务后再触发。Palo Alto Networks Unit 42 做过 PoC:受害者 Agent 读取带恶意指令的网页,后者被写入长期记忆,后续会话中被调出使用。防御需要对记忆写入做来源标记、权限分级、过期机制和回滚机制。
4. 权限穿透(Agent Permission Escalation)
攻击者利用 Agent 自己的工具链作为跳板,将小权限串成全局控制。OpenClaw Claw Chain 事件展示四步攻击:先提示词注入 → 文件读取 → 环境变量泄露 → 身份伪装 → 文件写入后门。在日志中每一步都像正常调用,检测难度极高。
5. 供应链攻击
攻击者污染 Agent 依赖的中间件:模型网关、MCP Server、插件市场等。2026 年 3 月 LiteLLM 事件中,攻破安全扫描工具,窃取发布凭证,向 PyPI 发布含恶意代码的版本,扫描环境变量和云凭证。Vercel/Context.ai 事件则是第三方 AI 工具被攻陷后借助 OAuth 进入企业环境。防御需要版本锁定、发布签名、密钥轮换、依赖审计。

6. x402 支付攻击与 AI 社会工程
x402 让 Agent 自动购买 API,但也把 HTTP 请求、代理服务器与链上结算连成一条链。最新研究将其拆为五类攻击,包括伪造收据、重放签名、中间人替换结算地址等。此外,AI 生成虚假身份(头像、声音、聊天脚本)用于 Romance-scam,最终诱导受害者授权或转账。2026 年 5 月泰国警方逮捕 6 名尼日利亚籍嫌疑人,缴获设备中含 AI 生成头像和话术脚本。
防御生态:谁在保护 Agent 时代的链上安全
不同参与者在不同层接管风险:
托管型 MPC 钱包(Cobo):核心机制是“Agent 先生成任务协议(Pact),钱包再按规则签名”,不让 Agent 接触完整私钥。适合机构和高价值场景。
自托管密钥管理(Fystack、Cubist):强调签名权不经过外部供应商,适合对合规和延迟敏感的机构。

智能合约钱包(Thirdweb):提供链上读写、Session Keys、MCP 能力,让团队自搭 Agent 应用。需自己设置权限和审计日志。
平台 Agentic Wallet 服务(Coinbase、OKX、Binance):把钱包、交易、支付、风控、Skills 打成平台能力。Coinbase 侧重开发者基础设施,OKX 侧重 Onchain OS 执行层,Binance 强调用户规则和主钱包隔离。
工具和 Skills 安全层(GoPlus、SlowMist):GoPlus SafuSkill 对 Skills 做恶意代码扫描和数据泄露检测。SlowMist Agent Security Skill 集成至 OpenClaw 等系统,提供安装前检测、Prompt Injection 识别、链上地址风险评估。MistTrack Skills 基于 4 亿地址标签和 50 万条威胁情报提供实时交易前 AML 筛查。
身份层(KYA、ERC-8004、TEE):Phala 提供符合 ERC-8004 的 Agent 模板,用 TEE 证明代码在安全环境运行。

安全设计六条原则
第一条:Agent 只能提议,不能直接执行。规则系统独立于模型运行,Cobo 的 Pact、Coinbase 的钱包服务均践行此理念。
第二条:隔离关键资产。MPC 钱包拆分私钥,TEE 钱包硬件隔离,智能合约钱包用 Session Key 限时限额。让 Agent 跑在小钱包、小权限里。
第三条:签名前语义必须清楚。钱包和前端展示真实动作和预期结果,帮助用户验证从意图到动作的转换是否偏离。
第四条:治理工具链。对 MCP Server、Skills、插件做版本锁定、来源验证、运行时信任校验,实施最小权限和能力隔离。

第五条:给自动支付加边界。设置会话上限、单笔上限、白名单、付款凭证过期时间,类似信用卡锁卡机制。
第六条:不止防出事,还要能止血。设计快速发现、立即停止、最小范围恢复的机制。每个 Agent 系统应自问:怎么及时发现错误?怎么立刻停止?怎么恢复?
结语:安全是 Agent 经济的基础设施
AI Agent 为 Web3 带来活力,也让安全从单一私钥保护升级为贯穿模型、工具、钱包、支付、身份的全链路治理。攻击者不再偷私钥,而是利用组件间的连接处。安全赛道——KYA/Agent 身份、Skills 安全市场、Trading Agent Harness、AI 审计与对抗性测试——将成为最确定的产业机会。没有安全边界,Agent 只能停留在建议层面;有了身份、权限、签名、支付、审计和恢复机制,Agent 才能成为机构和个人真正信赖的链上执行主体。

