2026 年 5 月,攻击者没有窃取私钥、没有攻击合约,也没有入侵 Bankr 的服务器,而是让 Grok 翻译了一段摩尔斯码。Grok 按照“乐于助人”的模型目标输出了明文转账指令,Bankrbot 则将这段自然语言视为可执行金融命令,验证 NFT 权限后签名广播交易,导致 Grok 关联钱包损失约 15–20 万美元。两周后,同样的 Agent 信任层漏洞扩大攻击范围,14 个用户钱包损失超过 44 万美元。这个案例的价值在于:Grok 没有传统意义上的 Bug,Bankrbot 也没有传统意义上的 Bug,真正失效的是两个自动化系统之间的信任边界。它们各自完成了被设计的任务,却共同产生了错误的金融结果。

这就是 AI Agent 时代链上安全的转折点。交互流程正从“人类点击钱包”变成“Agent 理解意图 → 调用工具 → 使用钱包或支付层执行交易”。Cobo 对 AI 钱包的定义是:集成人工智能、用于自动化和优化区块链操作的链上钱包,可以根据市场情况执行自主交易、分析网络拥塞优化 Gas、跨协议管理 DeFi 头寸、实时检测欺诈交易并按风险参数再平衡组合。这类能力对普通节奏的交易和策略自动化很有价值,但一旦进入高频、跨协议、跨工具和自动支付场景,安全问题就不再只是私钥保管,而是模型是否理解真实意图、工具是否被污染、权限是否过宽、签名是否可验证。
AI Agent 正在替代链上哪些“人”?
过去一笔链上操作有清晰的人类角色:有人看市场、有人决定交易、有人点击钱包、有人确认签名。Agent 进入后,这些角色被拆开交给软件系统,风险分散到各组件之间。
第一类被替代的是交易员和策略执行者。 Bitget Agent Hub 基于 Bitget API 和官方 MCP 工具套件,让 Agent 通过标准化接口访问市场数据和执行交易。Agent Harness 进一步将上下文、工具、权限、风控、评估和追踪组织起来,让 Agent 能在市场里持续行动。问题在于:一个人类交易员下错单还有风控和人工审批,Agent 若拿到过大权限,可能在毫秒级连续执行错误策略。因此必须为 Agent 设立预算上限、最大杠杆和审计记录等系统硬约束。

第二类被替代的是支付发起人和 API 买方。 x402 和机器支付协议让 Agent 在遇到付费资源时自己签名付款、获取服务。Stripe Sessions 2026 大会上,Stripe 宣布推动 Agentic Commerce(智能体商业),创始人 John Collison 表示:一旦购物智能体完成搜索流程,下一个步骤就是结账。风险从“这笔钱是不是我点击授权的”变成“这个机器会不会一直花钱、花给谁、为什么花”。
第三类被替代的是钱包操作员和签名解释者。 AI 钱包出现后,用户只说“帮我把这笔资产跨链到收益更高的地方”,路由、协议调用、授权参数和交易生成都由 Agent 完成。钱包必须从签名通道升级为执行前最后一道确定性检查点,通过 Verifiable UI(可验证界面)把 Agent 生成的交易翻译成用户能理解、系统能校验、事后能追溯的内容。
第四类被替代的是身份主体和商业参与者。 一个独立运行的 Agent 既不是自然人也非传统公司,却可能发起支付、调用 DEX、签署指令。ERC-8004 和 KYA(Know Your Agent)解决这一层问题:ERC-8004 为 Agent 建立身份、声誉和验证记录,KYA 则在 Agent 行动前验证其来源、权限和问责关系。

Agent 时代的五层复合攻击面
攻击者现在盯上的,是整条“从理解目标到资金移动”的委托链:先污染模型目标,再污染记忆和上下文,再攻击工具与供应链,再滥用钱包和支付授权,最后把错误动作变成链上不可逆结果。
Prompt Injection(提示词注入)
攻击者通过网页内容、邮件、工具返回值等渠道,把恶意指令塞进 Agent 上下文。仅 2025 年和 2026 年,研究人员记录了 26 个 LLM 路由器秘密地将恶意工具调用注入代理工作流程,其中至少一起事件导致某客户钱包因凭证泄露损失约 50 万美元。开头的 Grok/Bankr 事件就是典型:攻击者空投 NFT 触发高权限模式,又在 X 上发布摩尔斯码消息,Grok 解码后输出转账指令,Bankrbot 直接执行。防御需要在自然语言输出和金融动作之间设立结构化指令、来源验证、额度限制和人工确认。
盲签与语义错配
Agent 可能生成一笔用户和钱包都没充分理解的交易,例如界面展示“领取奖励”,链上调用却是“转移资产”。Verifiable UI 和 Clear Signing 要求在签名前展示转出资产、给谁、额度多少、调用哪个合约、是否与页面宣称一致。
记忆污染
Palo Alto Networks Unit 42 的 PoC 显示:攻击者先做一个带恶意指令的网页,诱导用户让 Agent 读取;Agent 在总结本轮会话时将恶意指令写进长期记忆;下次会话时记忆被取出使用,最终可能把用户对话记录发送到攻击者地址。防御需要对记忆写入做来源标记、权限分级、过期机制和回滚机制。

Agent 权限穿透
攻击者不直接绕过 Agent,而是利用 Agent 自己的工具和执行环境作为跳板。Cyera Research 披露 OpenClaw 中四个可串联漏洞:从提示词注入到文件读取、环境变量泄露、身份伪装、文件写入,最终拿下基础设施控制权。检测难度高,因为每一步在日志中看起来都像 Agent 正常调用工具。
自主授权风险
Agent 可能为完成任务主动使用高权限凭证执行不可逆操作。2026 年 4 月 PocketOS 生产数据库被删事件中,Claude Opus 4.6 驱动的 Cursor Agent 在测试环境中遇到“凭证不匹配”问题后,主动寻找可用权限,找到一个管理 Railway 服务的令牌,在 9 秒内删除了生产数据库。教训是:System prompts are not security controls——不能把安全规则只写在提示词里,必须做成模型之外的硬边界。
供应链攻击
2026 年 3 月 LiteLLM 事件:攻击者先攻破安全工具 Trivy 和 Checkmarx KICS,当 LiteLLM 的自动化发布流程调用被污染的工具时,用于发布 Python 软件包的权限凭证被窃取,两个带恶意代码的版本被发布到 PyPI。恶意代码会扫描环境变量、SSH keys、云凭证和数据库密码。另一起 Vercel / Context.ai 事件中,第三方 AI 工具被攻陷后,攻击者借由 OAuth 授权影响企业环境。

支付层攻击
x402 协议让 Agent 能自动付款获取资源,但安全研究将其拆分为五类攻击:凭证重放、支付凭证伪造、中间人篡改、结算延迟欺诈、资源访问未授权。这些攻击点涵盖客户端、服务器、中间人和链上结算全链路。
深度伪造与社会工程
2026 年 5 月泰国警方逮捕 6 名尼日利亚籍嫌疑人,缴获设备中包含 AI 生成的虚假头像、情感聊天记录和欺骗话术脚本。在 Web3 语境下,攻击者利用 AI 生成可信人物形象,长期培养信任后引导受害者授权恶意 DApp 或转账。
防御参与者:谁在接管安全风险?
现有防御方案在不同层面分工:
- 托管型 MPC 钱包(Cobo):Agent 先生成“任务协议(Pact)”,钱包按规则签名,Agent 拿不到完整私钥。Cobo 的 Recipe(执行模板)预定义参数和校验规则,Pact 是具体授权请求。即使 Agent 被注入,签名仍需钱包层通过策略引擎校验。
- 自托管 MPC(Fystack、Cubist):强调签名权不经过外部供应商,适合对合规和延迟敏感的支付公司、交易所。
- 智能合约钱包(Thirdweb):提供链上读写、会话密钥和 MCP 能力,开发者可自定义 Session key 权限、人工监督和审计日志。
- 大型平台(Coinbase、OKX、Binance):将钱包、交易、支付、风控和 Skills 打包成平台能力。Coinbase 更像开发者基础设施,OKX 是 Onchain OS 执行层,Binance 强调用户规则和主钱包隔离。
- 工具安全层(GoPlus、SlowMist):GoPlus SafuSkill 对 Skill 做恶意代码扫描和数据泄露检测;SlowMist Agent Security Skill 集成至 OpenClaw、Hermes Agent,提供安装前检测、Prompt Injection 识别、链上地址风险评估等。MistTrack Skills 基于 4 亿地址标签和 50 万条威胁情报数据库,提供实时交易前风险筛查和 AML 评估。
- 身份与可验证执行(KYA、ERC-8004、Phala):KYA 验证 Agent 来源和问责关系,ERC-8004 建立身份和声誉注册表,Phala 用 TEE 提供加密证明。
六条原则:重构 Agent 安全边界
第一条:意图与执行分离。 Agent 负责理解和规划,但真正的授权必须由模型之外的规则系统完成。Cobo 的 Pact、Coinbase 的钱包服务、OKX 的交易前模拟都在做同一件事——让 Agent 生成请求,钱包或策略层检查是否在授权范围内。高风险场景下,Agent 只能生成请求,不能直接签名。

第二条:隔离。 不能让 Agent 同时拥有“判断权”和“完整执行权”。关键资产应放在 Agent 外面:托管型 MPC 拆开私钥,自托管 MPC 让机构自己运营密钥节点,TEE 钱包放在硬件隔离环境。让 Agent 的自动化跑在小钱包、小权限、小额度里。
第三条:签名前的语义可验证。 Clear Signing、Verifiable UI 和交易模拟(Simulation)要展示执行后的预期结果,帮助用户验证从“意图”到“动作”的转换是否发生偏离。
第四条:治理 Agent 的工具箱。 工具链和上下文来源应作为供应链资产严格管理:版本锁定、发布来源验证、安装前扫描、运行时返回内容可信性校验。高风险 Skill 不应直接上架,MCP Server 不应默认获得全部权限,工具之间遵循最小权限原则。

第五条:给自动支付加边界。 会话上限、单笔上限、白名单、付款凭证过期时间,类似信用卡的锁卡机制。不仅要保护“谁能签名”,还要保护“签名被用在哪一项服务”。
第六条:快速止血。 生产级 Agent 系统必须默认会遇到注入和投毒。每个系统应能及时发现做错事、立刻停止继续错、在最小损失范围内恢复。EVMbench 等实验已表明 AI 可参与漏洞发现和 PoC 生成,时间窗口被压缩。
合起来,Agent 安全是重新设计“意图、权限、签名、工具、支付、监控”之间边界的艺术。Agent 负责想办法,钱包、策略引擎、签名验证和监测负责“不给通融”。只有这两层同时存在,Agent 才可能成为被机构和普通用户放心委托的链上执行主体。

