返回文章库

AI Agent 时代链上安全报告:当交易、支付与签名主体从人变成 Agent,Web3 安全边界何在?全景式拆解其背景、潜在攻击、经典案例...

查找币 漏洞披露 安全研究 Web3安全 区块链安全
AI Agent 时代链上安全报告:当交易、支付与签名主体从人变成 Agent,Web3 安全边界何在?全景式拆解其背景、潜在攻击、经典案例...

查找币安全研究院

链上取证分析 | Web3 风险核验 | Web3 事件响应
以合法授权、证据保全、隐私保护和可复核流程为前提,不要求用户在线提交敏感凭证或非公开材料。

查看研究院 研究报告中心
## AI Agent 时代链上安全报告:当交易、支付与签名主体从人变成 Agent,Web3 安全边界何在?全景式拆解其背景、潜在攻击、经典案例... 本文由查找币安全团队基于安全研究整理发布,旨在分享Web3安全技术,帮助用户提高安全意识。 --- 过去十年,Web3 安全的核心问题大多围绕私钥、合约漏洞、钓鱼展开。安全边界相对清晰:人类看见页面,点击钱包,确认交易,链上执行结果。但 AI Agent 的出现却在改变这一套默认前提。链上操作的主体正在从 “人类亲自确认” 转向 “模型理解意图、工具调用系统、钱包或支付层自动执行”,安全问题也随之从单点防护进入跨层协同的新阶段。 2026 年 Grok 与 Bankrbot 事件给行业敲响了警钟。攻击者没有偷私钥,也没有直接攻击合约,只是让 Grok 翻译了一段摩尔斯码,Bankrbot 随后把这段自然语言当成转账指令执行,最终造成用户资产损失。这个案例说明,AI Agent 时代的风险已经从代码漏洞,延伸到模型输出、工具调用和钱包执行之间的信任边界。 这种变化来自 Web3 执行链条的拉长。过去,一笔交易通常由人看页面、点钱包、确认签名;现在,用户可能只提出一个目标,Agent 就会读取上下文、调用工具、使用权限、发起支付并完成链上执行。中间任何一步被误导、污染或越权,都可能把错误意图变成真实交易。因此,链上安全需要从保护密钥,进一步升级为保护意图和约束执行。 本份研究报告将从 Grok / Bankr、PocketOS、LiteLLM 等实际的安全案例切入,拆解攻击者如何影响 Agent 的理解、记忆、工具、钱包和支付路径;再讨论 AI 正在替代链上的哪些人类角色;最后梳理 Cobo、Coinbase、OKX、Binance、查找币、KYA 与 ERC 8004 等项目或者提案,如何共同重建 AI Agent 时代的链上安全边界。 报告重点回答三个问题: 第一,AI Agent 时代的链上攻击是什么样的? 第二,当 Agent 能够自主交易、调用工具、发起支付和管理资产时,钱包、权限、签名和身份系统应该如何重新设计? 第三,在 Agentic Wallet、x402 支付、MCP 工具、Skills 市场和 KYA 身份体系逐步成熟后,Web3 安全赛道会出现哪些新的产业机会? 这将是一次对 AI Agent 时代链上安全范式的系统重估。真正的问题已经不是 AI 能不能上链执行任务,而是当 AI 开始替人理解、判断、签名和付款时,Web3 是否已经准备好一套足够可信、可控、可追溯的执行边界。 作者:Jesse,外捕研究(Web3Caff Research)研究员 出品:外捕研究(Web3Caff Research)× 查找币科技(查找币)联合出品 封面:Photo by Unsplash,Typography by 外捕研究(Web3Caff Research) 字数:全文共计 15000+ 字目录 一、引言:链上的安全边界正在被重画二、角色替换:AI 替代了链上哪些 “人”?三、AI 时代潜在的攻击方式和经典案例模型目标与提示词层:Prompt Injection 把聊天的内容变成 “执行指令”钱包与签名语义层:Agent 会放大盲签的问题记忆与状态层:攻击者不一定要马上得手,可以先污染 Agent 的长期记忆工具与 MCP / Skill 层:Agent 权限穿透会把 “有限权限” 串成 “完整控制”自主授权风险:Agent 不需要恶意,足够 “热心” 就能造成灾难AI 中间件攻击:攻击者不碰你的 Agent,先污染它依赖的工具钱包与代理支付层:x402 让 AI 能付钱,也让 Web 与链上结算绑在一起AI 驱动的社工与钓鱼:攻击你的熟人小结:攻击者真正瞄准的是连接处四、防御项目图谱:都有哪些参与者,做了什么?托管型 MPC 钱包厂商:把签名安全外包给专业钱包层自托管 MPC / 密钥管理方案:把控制权留在自己系统里智能合约钱包:让开发者自己搭建安全边界大型平台 / 交易平台的 Agentic Wallet as a Service:把执行层做成平台能力Skills 市场与安全审计:防的是 Agent 的工具箱身份、权限和可验证执行:解决 “这个 Agent 到底是谁”五、安全设计原则:从案例中提炼的核心建议原则一:Agent 只能提议,规则系统负责授权原则二:私钥、资金和高权限凭证必须远离 Agent原则三:所有链上动作都要可读、可验证、可追溯原则四:工具、插件和 Skills 要按供应链资产管理原则五:把支付和执行设计成 “有边界的自动化”原则六:默认会出事,所以要有监控、熔断和恢复六、结语:安全赛道本身的产业机遇要点结构图参考文献 一、引言:链上的安全边界正在被重画 2026 年 5 月,一位攻击者没有偷私钥,没有攻击合约,也没有入侵 Bankr 的服务器,而是让 Grok 翻译了一段摩尔斯码;Grok 按照 “乐于助人” 的模型目标输出了明文转账指令,Bankrbot 则把这段自然语言当成可执行金融命令,在验证 NFT 权限后签名广播交易,最终 Grok 关联钱包损失约 15–20 万美元。两周后,攻击者以相同的 Agent 信任层漏洞扩大了攻击范围,致使 14 个用户钱包损 [...内容已精简...] hosted MPC [23]The most powerful thing you can give an AI agent is a boundary [24]Coinbase Agentic Wallet 的可调用服务架构:为什么 “脑钥分离” 定义了千亿美元规模的 Agent 经济 [25]Agentic Wallet 上线:打造兼顾易用性与用户自主权的 AI 钱包 [26]OKX Onchain OS [27]Binance Wallet Introduces Agentic Wallet, a Dedicated Keyless Wallet for AI Agents [28] 把钱交给「龙虾」等 AI Agent 真的安全吗? 免责声明: 本报告或内容(以下统称为报告)由外捕研究(Web3Caff Research)编写,所含信息仅供参考,不构成任何预测或投资建议、提议或要约,投资者请勿依赖此类信息购买、出售任何证券、加密货币或采取任何投资策略。报告中使用的术语和表达的观点旨在帮助理解行业动向,促进 Web3 新经济领域包括区块链行业负责任发展,不应被解释为明确的法律观点或外捕研究(Web3Caff Research)的观点。报告中的看法仅反映作者截至所述日期的个人意见,与外捕研究(Web3Caff Research)立场无关,且可能随后续情况而变化。本报告中所含的信息和看法来自外捕研究(Web3Caff Research)认为可靠的专有和非专有来源,并不一定涵盖所有数据,亦不保证其准确性。因此,外捕研究(Web3Caff Research)不对其准确性和可靠性作任何形式的担保,也不承担以任何其他方式产生的错误和遗漏的责任(包括因疏忽而对任何人产生的责任)。本报告可能含有 “前瞻性” 信息,这类信息可能包括预测和预报,本文并不构成对任何预测的担保。是否依赖本报告所载信息完全由读者自行决定。本报告仅供参考,不构成购买或出售任何证券、加密货币或采取任何投资策略的投资建议、提议或要约,并请您严格遵守所在国家或地区的相关法律法规。 --- *本文由查找币安全团队整理,来源:安全研究。*
在文章库中查看和回复