AI智能体正从研究玩具转变为链上行动者
AI智能体正迅速从研究玩具转变为链上行动者。它们已经能够持有密钥、解析市场数据,并在无需人工点击“确认”的情况下提交交易。这种便利性正与DeFi的脆弱边缘发生碰撞:代币授权、可组合性风险以及对抗性提示。
近期的发布和事件展示了当钱包变得自主时,会发生哪些变化。风险从“我签署了什么?”转变为“我的智能体推断出了什么,并且在何种权限下进行?”对于DeFi用户和建设者而言,威胁模型必须扩展,将提示词注入、授权范围过广、策略绕过等曾经超出范围的因素纳入考量。
本文将通过新近的案例研究和当前即可采用的实用控制措施,勾勒出新的风险断层线,以便在自主操作流程成为默认的交易或资金管理轨道之前做好准备。
关键细节
智能体已成为链上签名者:近期集成允许AI客户端通过自然语言提交交易,扩大了签名层面。
大规模微额结算:数据显示,大量链上AI智能体交易以微小金额结算,这种规模会放大微小错误的影响。
提示词注入导致链上损失:一起攻击事件通过摩斯电码提示词注入,诱使智能体钱包转移了大量代币。
智能体钱包提供商成为目标:某AI交易及智能体钱包服务因多个钱包遭访问而暂停服务,部分用户报告了损失。
风险集中于授权环节:过宽的代币授权、长期有效的会话密钥以及无人监督的策略,都可能让良性提示演变成代价高昂的交易,且通常无需新的明确签名事件。
智能体正成为链上行动者,而非仅是聊天界面
曾经浏览器中的聊天机器人,如今已成为连接钱包的智能体,能够路由订单、滚动策略并在不同协议间维持仓位。与此同时,交易洪流已然出现。一份报告发现,在近一年时间里,AI智能体结算了数量巨大的链上交易,总金额可观。典型交易金额仅为几十美分,且绝大部分为稳定币——这种微额结算使得智能体对自动化颇具吸引力。
当智能体被允许签名时,DeFi的可组合性既放大了效用,也放大了危险。一个善意的提示词可能跨DEX路由器、借贷、跨链桥和代币授权产生连锁反应。“前端漏洞利用”和“协议漏洞利用”之间的界限变得模糊:一个被攻破的智能体策略,可以使合法的合约执行有害的操作序列。
自动化钱包如何改变DeFi威胁模型
从明确同意到策略驱动的意图:以人为中心的钱包,每项授权或交换通常都会呈现一笔待审核的交易。智能体钱包则相反:你委托策略(支出上限、资产列表、目标协议),智能体在该范围内组合交易。风险转移到范围是否过广、有效期过长或容易被绕过。
会话密钥与账户抽象的利弊:会话密钥和智能账户控制器非常适合限制速率和创建dApp白名单,但它们也是新的攻击面。如果一个会话密钥在数小时内具有“交换价值不超过X的任何代币”的权限,单个错误的提示词或数据源就可能通过合法的调用耗尽有价值资产。由于密钥已获授权,链上防御系统可能不会将其标记为异常。
数据供应链影响交易:智能体依赖外部数据:价格馈送、订单簿、风险评分,甚至社交媒体内容。如果该数据管道被污染,模型可能会在受污染的输入下选择看似最优的操作。当智能体持有签名权时,这些选择就会成为状态变更。
风险警示:在智能体世界里,“前端”不仅仅是一个网站,它是整个提示词和数据环境。威胁行为者将攻击你的策略最信任的任何一个组件。
当提示词注入遭遇权限:言语如何移动资金
据报道,一起事件中,提示词注入链利用嵌入在社交媒体帖子中的摩斯电码。该序列诱导某AI解码指令,导致一个自动化钱包执行了巨额代币转移。两周后,某AI交易及智能体钱包服务报告攻击者访问了多个钱包,相关地址持有可观资金,部分用户报告了单钱包的损失。该服务承诺赔偿受影响用户并展开调查。
这些独立事件说明了一种模式:大多数损失并非源于存在漏洞的DeFi协议。相反,自主钱包在受到恶意输入引导后,或在平台层面遭到入侵后,执行了有效的合约调用。这与单一协议内的重入或预言机操纵漏洞是不同的故障模式。
应建模的攻击路径
攻击者放置包含隐藏或混淆指令的恶意内容。智能体在宽泛的策略下运行时摄入该内容。模型将指令解释为目标的一部分,构建包含新代币授权或向攻击者控制地址转账的交易。由于会话密钥已获代币和dApp授权,链接受调用,未触发关键警报。直到资金转移后,监控才发现异常模式,但为时已晚。
专业建议:分割策略。将“只读研究”智能体置于无签名权限的独立环境中。仅在通过确定性检查清单后,才升级到具备交易能力的智能体。
设计更安全的授权、会话密钥和意图
大多数灾难性的智能体损失始于过于宽松的权限。以下是如何缩小爆炸半径。
代币授权:从设计上最小化优先使用细粒度的“许可式”授权,并设置快速自动过期。避免对波动性或高价值资产进行无限授权。将每个会话的权限限制在下一步操作严格需要的范围内。使用支持撤销和按支出者设置上限的授权管理工具。
短期租赁的会话密钥将会话密钥的时间框定在分钟级,而非天数。如果智能体需要长时间作业,按任务分段轮换密钥。按功能限定范围:允许在指定路由器上交换,但阻止授权或任意调用。附加速率限制,并阻止超过基线的突发活动。
配备策略引擎的意图执行针对独立的RPC和价格预言机进行交易前模拟;拒绝涉及非白名单合约或意外状态写入的路径。实施两级意图:低风险操作自动执行;高风险操作需要人工或独立的风险模型共同签名。记录每个决策环节,以便事后快速追溯故障。
将智能体接入DeFi的团队操作控制
划分价值与环境采用分层钱包结构:研究型(无签名)、预演型(极小签名限额)、生产型(严格限额,大额操作需人工联签)。将高价值资金库离线保存或置于时间锁守护机制之后;仅让智能体管理再平衡缓冲资金。
定义合约白名单枚举智能体可调用的路由器、金库和许可;默认拒绝未知地址。将代币列表绑定到已知合约地址;不要在运行时解析任意代币元数据。
遥测与熔断机制对授权创建设置警报,而不仅仅是转账。第一个危险信号通常是新的支出者授权。安装紧急停止开关:如果损失超过阈值,或受监控账户调用新合约,则暂停所有会话。使用多源RPC和索引器,以免你的模拟器因单一提供商中断而失明。
提示词卫生与数据管理从获取的内容中剥离HTML、SVG和隐写术;限制智能体将不可信媒体解释为指令。阻止模型工具在执行模式下访问社交媒体信息流;改为将摘要获取到只读上下文中。将关键数据固定到经过审查的来源;使用前进行哈希和验证。
专业建议:将你的智能体视为持有公司卡的初级交易员。设定每笔交易和每日限额,并在出现异常时自动冻结。
协议和审计方应为智能体用户群体做出的改变
为有限自主设计dApp提供原生支出限额、会话过期和撤销用户体验,使智能体平台无需额外附加这些功能。发布“安全模式”,在高风险时期禁用代币授权并限制为特定的方法选择器。
将审计左移至策略和意图层不仅审计合约,还要审计约束智能体行为的策略引擎和白名单逻辑。对最终导致对你的合约进行有效但有害调用的提示词注入和数据中毒场景进行威胁建模。
更安全的代币授权模式支持带过期时间的许可式授权。鼓励dApp和钱包按路径设置授权上限。发出易于监控策略违规的事件。
路由器和跨链桥的护栏发布规范的允许列表和ABI哈希。让智能体轻松验证它们调用的是预期代码。暴露一个带有模拟后收据的试运行端点,以便平台在提交前阻止意外的转账。
自动化钱包的危险信号与常见错误
使用单一、通用的会话密钥控制许多代币和dApp。测试后残留的无限授权,后被污染的提示词利用。智能体在执行模式下直接消费实时社交媒体内容。仅对转账设置警报,而未对新授权设置警报,导致发现问题太晚。预演和生产环境智能体共享API密钥或凭证。依赖服务提供商的“信任我们”的安全态势而不隔离资金。认为微小的支付累加起来也无妨。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注