蛋播视频一区,无码鲁丝一区二区,精品 久久 五月天,国产老熟女,五月草草在线观看,中文日韩欧美,情色一区二区三区,欧美日韩亚洲激情在线,亚洲制服在线香蕉

本報(bào)告從安全研究與交易平臺(tái)實(shí)踐兩個(gè)角度，對(duì) AI Agent 在多個(gè)場(chǎng)景中的安全問(wèn)題進(jìn)行系統(tǒng)梳理。

一、背景

隨著大模型技術(shù)的快速發(fā)展，AI Agent 正在從簡(jiǎn)單的智能助手逐漸演變?yōu)槟軌蜃灾鲌?zhí)行任務(wù)的自動(dòng)化系統(tǒng)。在 Web3 生態(tài)中，這一變化表現(xiàn)得尤為明顯。越來(lái)越多的用戶開(kāi)始嘗試讓 AI Agent 參與行情分析、策略生成以及自動(dòng)化交易，讓「7×24 小時(shí)自動(dòng)運(yùn)行的交易助手」從概念逐漸走向現(xiàn)實(shí)。隨著幣安與 OKX 推出了多個(gè) AI Skills、Bitget 推出了 Skills 資源站 Agent Hub 和免安裝的龍蝦 GetClaw，Agent 可以直接接入交易平臺(tái) API、鏈上數(shù)據(jù)以及市場(chǎng)分析工具，從而在一定程度上承擔(dān)原本需要人工完成的交易決策與執(zhí)行工作。

與傳統(tǒng)的自動(dòng)化腳本相比，AI Agent 具備更強(qiáng)的自主決策能力和更復(fù)雜的系統(tǒng)交互能力。它們可以接入行情數(shù)據(jù)、調(diào)用交易 API、管理賬戶資產(chǎn)，甚至通過(guò)插件或 Skill 擴(kuò)展功能生態(tài)。這種能力的提升，極大降低了自動(dòng)化交易的使用門(mén)檻，也讓更多普通用戶開(kāi)始接觸和使用自動(dòng)化交易工具。

然而，能力的擴(kuò)展也意味著攻擊面的擴(kuò)大。

在傳統(tǒng)交易場(chǎng)景中，安全風(fēng)險(xiǎn)通常集中在賬戶憑證、API Key 泄露或釣魚(yú)攻擊等問(wèn)題上。而在 AI Agent 架構(gòu)中，新的風(fēng)險(xiǎn)正在出現(xiàn)。例如，提示詞注入 (Prompt Injection) 可能影響 Agent 的決策邏輯，惡意插件或 Skill 可能成為新的供應(yīng)鏈攻擊入口，運(yùn)行環(huán)境配置不當(dāng)也可能導(dǎo)致敏感數(shù)據(jù)或 API 權(quán)限被濫用。一旦這些問(wèn)題與自動(dòng)化交易系統(tǒng)結(jié)合，潛在影響可能不僅限于信息泄露，還可能直接造成真實(shí)資產(chǎn)損失。

與此同時(shí)隨著越來(lái)越多用戶開(kāi)始將 AI Agent 接入交易賬戶，攻擊者也在快速適應(yīng)這一變化。針對(duì) Agent 用戶的新型詐騙模式、惡意插件投毒以及 API Key 濫用等問(wèn)題，正在逐漸成為新的安全威脅。在 Web3 場(chǎng)景中，資產(chǎn)操作往往具有高價(jià)值與不可逆性，一旦自動(dòng)化系統(tǒng)被濫用或誤導(dǎo)，風(fēng)險(xiǎn)影響也可能被進(jìn)一步放大。

基于這些背景，SlowMist 與 Bitget 聯(lián)合撰寫(xiě)本報(bào)告，從安全研究與交易平臺(tái)實(shí)踐兩個(gè)角度，對(duì) AI Agent 在多個(gè)場(chǎng)景中的安全問(wèn)題進(jìn)行系統(tǒng)梳理。希望本報(bào)告能夠?yàn)橛脩?、開(kāi)發(fā)者以及平臺(tái)提供一些安全參考，幫助推動(dòng) AI Agent 生態(tài)在安全與創(chuàng)新之間實(shí)現(xiàn)更加穩(wěn)健的發(fā)展。

二、AI Agent 的真實(shí)安全威脅 ｜SlowMist

AI Agent 的出現(xiàn)，使軟件系統(tǒng)從「人類主導(dǎo)操作」逐漸轉(zhuǎn)向「模型參與決策與執(zhí)行」。這種架構(gòu)變化顯著提升了自動(dòng)化能力，但同時(shí)也擴(kuò)大了攻擊面。從當(dāng)前的技術(shù)結(jié)構(gòu)來(lái)看，一個(gè)典型的 AI Agent 系統(tǒng)通常包含用戶交互層、應(yīng)用邏輯層、模型層、工具調(diào)用層 (Tools / Skills)、記憶系統(tǒng) (Memory) 以及底層執(zhí)行環(huán)境等多個(gè)組件。攻擊者往往不會(huì)只針對(duì)單一模塊，而是嘗試通過(guò)多層路徑逐步影響 Agent 的行為控制權(quán)。

1. 輸入操控與提示詞注入攻擊

在 AI Agent 架構(gòu)中，用戶輸入和外部數(shù)據(jù)通常會(huì)被直接納入模型上下文，這使得提示詞注入 (Prompt Injection) 成為一種重要攻擊方式。攻擊者可以通過(guò)構(gòu)造特定指令，誘導(dǎo) Agent 執(zhí)行原本不應(yīng)觸發(fā)的操作。例如，在某些案例中，僅通過(guò)聊天指令即可誘導(dǎo) Agent 生成并執(zhí)行高危系統(tǒng)命令。

更復(fù)雜的攻擊方式是間接注入，即攻擊者將惡意指令隱藏在網(wǎng)頁(yè)內(nèi)容、文檔說(shuō)明或代碼注釋中。當(dāng) Agent 在執(zhí)行任務(wù)過(guò)程中讀取這些內(nèi)容時(shí)，可能會(huì)誤將其視為合法指令。例如，在插件文檔、README 文件或 Markdown 文件中嵌入惡意命令，就可能導(dǎo)致 Agent 在初始化環(huán)境或安裝依賴時(shí)執(zhí)行攻擊代碼。

這種攻擊模式的特點(diǎn)在于，它往往不依賴傳統(tǒng)漏洞，而是利用模型對(duì)上下文信息的信任機(jī)制來(lái)影響其行為邏輯。

2. Skills / 插件生態(tài)的供應(yīng)鏈投毒

在當(dāng)前的 AI Agent 生態(tài)中，插件與技能系統(tǒng) (Skills / MCP / Tools) 是擴(kuò)展 Agent 能力的重要方式。然而，這類插件生態(tài)也正在成為新的供應(yīng)鏈攻擊入口。

SlowMist 在對(duì) OpenClaw 官方插件中心 ClawHub 的監(jiān)測(cè)中發(fā)現(xiàn)，隨著開(kāi)發(fā)者數(shù)量的增長(zhǎng)，一些惡意 Skill 已開(kāi)始混入其中。SlowMist 對(duì)超過(guò) 400 個(gè)惡意 Skill 的 IOC 進(jìn)行歸并分析后發(fā)現(xiàn)，大量樣本指向少量固定域名或同一 IP 下的多個(gè)隨機(jī)路徑，呈現(xiàn)出明顯的資源復(fù)用特征，這更像是團(tuán)伙化、批量化的攻擊行為。

在 OpenClaw 的 Skill 體系中，核心文件通常為 SKILL.md。與傳統(tǒng)代碼不同，這類 Markdown 文件往往承擔(dān)「安裝說(shuō)明」和「初始化入口」的角色，但在 Agent 生態(tài)中，它們往往會(huì)被用戶直接復(fù)制并執(zhí)行，從而形成一條完整的執(zhí)行鏈。攻擊者只需將惡意命令偽裝為依賴安裝步驟，例如使用 curl | bash 或 Base64 編碼隱藏真實(shí)指令，即可誘導(dǎo)用戶執(zhí)行惡意腳本。

在實(shí)際樣本中，一些 Skill 采用典型的「兩階段加載」策略：第一階段腳本僅負(fù)責(zé)下載并執(zhí)行第二階段 Payload，從而降低靜態(tài)檢測(cè)的成功率。以一個(gè)下載量較高的 「X (Twitter) Trends」 Skill 為例，其 SKILL.md 中隱藏了一段 Base64 編碼命令。

解碼后可發(fā)現(xiàn)其本質(zhì)是下載并執(zhí)行遠(yuǎn)程腳本：

而第二階段程序會(huì)偽裝系統(tǒng)彈窗獲取用戶密碼，并在系統(tǒng)臨時(shí)目錄中收集本機(jī)信息、桌面文檔以及下載目錄中的文件，最終打包并上傳至攻擊者控制的服務(wù)器。

這種攻擊方式的核心優(yōu)勢(shì)在于，Skill 外殼本身可以保持相對(duì)穩(wěn)定，而攻擊者只需更換遠(yuǎn)程 Payload 即可持續(xù)更新攻擊邏輯。

3. Agent 決策與任務(wù)編排層風(fēng)險(xiǎn)

在 AI Agent 的應(yīng)用邏輯層中，任務(wù)通常會(huì)被模型拆解為多個(gè)執(zhí)行步驟。如果攻擊者能夠影響這一拆解過(guò)程，就可能導(dǎo)致 Agent 在執(zhí)行合法任務(wù)時(shí)產(chǎn)生異常行為。

例如，在涉及多步驟操作的業(yè)務(wù)流程中（如自動(dòng)化部署或鏈上交易），攻擊者可以通過(guò)篡改關(guān)鍵參數(shù)或干擾邏輯判斷，使 Agent 在執(zhí)行流程中替換目標(biāo)地址或執(zhí)行額外操作。

在 SlowMist 之前的安全審計(jì)案例中，曾通過(guò)向 MCP 返回惡意提示詞污染上下文，從而誘導(dǎo) Agent 調(diào)用錢(qián)包插件執(zhí)行鏈上轉(zhuǎn)賬。

這類攻擊的特點(diǎn)在于，錯(cuò)誤并非來(lái)自模型生成代碼，而是來(lái)自任務(wù)編排邏輯被篡改。

4. IDE / CLI 環(huán)境中的隱私與敏感信息泄露

在 AI Agent 被廣泛用于開(kāi)發(fā)輔助和自動(dòng)化運(yùn)維之后，大量 Agent 開(kāi)始運(yùn)行在 IDE、CLI 或本地開(kāi)發(fā)環(huán)境中。這類環(huán)境通常包含大量敏感信息，例如 .env 配置文件、API Token、云服務(wù)憑證、私鑰文件以及各類訪問(wèn)密鑰。一旦 Agent 在任務(wù)執(zhí)行過(guò)程中能夠讀取這些目錄或索引項(xiàng)目文件，就可能在無(wú)意間將敏感信息納入模型上下文。

在某些自動(dòng)化開(kāi)發(fā)流程中，Agent 可能會(huì)在調(diào)試、日志分析或依賴安裝過(guò)程中讀取項(xiàng)目目錄下的配置文件。如果缺乏明確的忽略策略或訪問(wèn)控制，這些信息可能被記錄到日志、發(fā)送到遠(yuǎn)程模型 API，甚至被惡意插件外發(fā)。

此外，一些開(kāi)發(fā)工具會(huì)允許 Agent 自動(dòng)掃描代碼倉(cāng)庫(kù)以建立上下文記憶 (Memory)，這也可能擴(kuò)大敏感數(shù)據(jù)暴露的范圍。例如，私鑰文件、助記詞備份、數(shù)據(jù)庫(kù)連接字符串或第三方 API Token 等，都可能在索引過(guò)程中被讀取。

在 Web3 開(kāi)發(fā)環(huán)境中，這一問(wèn)題尤為突出，因?yàn)殚_(kāi)發(fā)者往往會(huì)在本地環(huán)境中存放測(cè)試私鑰、RPC Token 或部署腳本。一旦這些信息被惡意 Skill、插件或遠(yuǎn)程腳本獲取，攻擊者便可能進(jìn)一步控制開(kāi)發(fā)者賬戶或部署環(huán)境。

因此，在 AI Agent 與 IDE / CLI 集成的場(chǎng)景下，建立明確的敏感目錄忽略策略（例如 .agentignore、.gitignore 類機(jī)制）以及權(quán)限隔離措施，是降低數(shù)據(jù)泄露風(fēng)險(xiǎn)的重要前提。

5. 模型層不確定性與自動(dòng)化風(fēng)險(xiǎn)

AI 模型本身并不是完全確定性的系統(tǒng)，其輸出存在一定概率的不穩(wěn)定性。所謂「模型幻覺(jué)」，即模型在缺乏信息時(shí)生成看似合理但實(shí)際錯(cuò)誤的結(jié)果。在傳統(tǒng)應(yīng)用場(chǎng)景中，這類錯(cuò)誤通常只影響信息質(zhì)量，但在 AI Agent 架構(gòu)中，模型輸出可能直接觸發(fā)系統(tǒng)操作。

例如，在某些案例中，模型在部署項(xiàng)目時(shí)未查詢真實(shí)參數(shù)，而是生成了一個(gè)錯(cuò)誤 ID 并繼續(xù)執(zhí)行部署流程。如果類似情況發(fā)生在鏈上交易或資產(chǎn)操作場(chǎng)景中，錯(cuò)誤決策可能導(dǎo)致不可逆的資金損失。

6. Web3 場(chǎng)景中的高價(jià)值操作風(fēng)險(xiǎn)

與傳統(tǒng)軟件系統(tǒng)不同，Web3 環(huán)境中的許多操作具有不可逆性。例如，鏈上轉(zhuǎn)賬、Token Swap、流動(dòng)性添加以及智能合約調(diào)用，一旦交易被簽名并廣播到網(wǎng)絡(luò)，通常難以撤銷或回滾。因此，當(dāng) AI Agent 被用于執(zhí)行鏈上操作時(shí)，其安全風(fēng)險(xiǎn)也被進(jìn)一步放大。

在一些實(shí)驗(yàn)性項(xiàng)目中，開(kāi)發(fā)者已經(jīng)開(kāi)始嘗試讓 Agent 直接參與鏈上交易策略執(zhí)行，例如自動(dòng)化套利、資金管理或 DeFi 操作。然而，如果 Agent 在任務(wù)拆解或參數(shù)生成過(guò)程中受到提示詞注入、上下文污染或插件攻擊的影響，就可能在交易過(guò)程中替換目標(biāo)地址、修改交易金額或調(diào)用惡意合約。此外，一些 Agent 框架允許插件直接訪問(wèn)錢(qián)包 API 或簽名接口。如果缺乏簽名隔離或人工確認(rèn)機(jī)制，攻擊者甚至可能通過(guò)惡意 Skill 觸發(fā)自動(dòng)交易。

因此，在 Web3 場(chǎng)景中，將 AI Agent 與資產(chǎn)控制系統(tǒng)完全綁定是一個(gè)高風(fēng)險(xiǎn)設(shè)計(jì)。更安全的模式通常是讓 Agent 僅負(fù)責(zé)生成交易建議或未簽名交易數(shù)據(jù)，而實(shí)際簽名過(guò)程由獨(dú)立錢(qián)包或人工確認(rèn)完成。同時(shí)，結(jié)合地址信譽(yù)檢測(cè)、AML 風(fēng)控以及交易模擬等機(jī)制，也可以在一定程度上降低自動(dòng)化交易帶來(lái)的風(fēng)險(xiǎn)。

7. 高權(quán)限執(zhí)行帶來(lái)的系統(tǒng)級(jí)風(fēng)險(xiǎn)

許多 AI Agent 在實(shí)際部署中擁有較高的系統(tǒng)權(quán)限，例如訪問(wèn)本地文件系統(tǒng)、執(zhí)行 Shell 命令甚至以 Root 權(quán)限運(yùn)行。一旦 Agent 的行為被操控，其影響范圍可能遠(yuǎn)遠(yuǎn)超出單一應(yīng)用。

SlowMist 曾測(cè)試將 OpenClaw 與即時(shí)通訊軟件如 Telegram 綁定，實(shí)現(xiàn)遠(yuǎn)程控制。如果控制渠道被攻擊者接管，Agent 便可能被用于執(zhí)行任意系統(tǒng)命令、讀取瀏覽器數(shù)據(jù)、訪問(wèn)本地文件甚至控制其他應(yīng)用程序。結(jié)合插件生態(tài)與工具調(diào)用能力，這類 Agent 在某種程度上已經(jīng)具備了「智能遠(yuǎn)控」的特征。

綜合來(lái)看，AI Agent 的安全威脅已經(jīng)不再局限于傳統(tǒng)的軟件漏洞，而是跨越了模型交互層、插件供應(yīng)鏈、執(zhí)行環(huán)境以及資產(chǎn)操作層等多個(gè)維度。攻擊者既可以通過(guò)提示詞操控 Agent 的行為，也可以通過(guò)惡意 Skills 或依賴包在供應(yīng)鏈層植入后門(mén)，并進(jìn)一步在高權(quán)限運(yùn)行環(huán)境中擴(kuò)大攻擊影響。在 Web3 場(chǎng)景中，由于鏈上操作具有不可逆性且涉及真實(shí)資產(chǎn)價(jià)值，這些風(fēng)險(xiǎn)往往會(huì)被進(jìn)一步放大。因此，在 AI Agent 的設(shè)計(jì)和使用過(guò)程中，僅依賴傳統(tǒng)應(yīng)用安全策略已經(jīng)難以完全覆蓋新的攻擊面，需要在權(quán)限控制、供應(yīng)鏈治理以及交易安全機(jī)制等方面建立更加系統(tǒng)化的安全防護(hù)體系。

三、AI Agent 交易安全實(shí)踐｜Bitget

隨著 AI Agent 能力不斷增強(qiáng)，它們已經(jīng)不再只是提供信息或輔助決策，而是開(kāi)始直接參與系統(tǒng)操作，甚至執(zhí)行鏈上交易。在加密交易場(chǎng)景中，這種變化尤為明顯。越來(lái)越多用戶開(kāi)始嘗試讓 AI Agent 參與行情分析、策略執(zhí)行以及自動(dòng)化交易。當(dāng) Agent 可以直接調(diào)用交易接口、訪問(wèn)賬戶資產(chǎn)并自動(dòng)下單時(shí)，其安全問(wèn)題也從「系統(tǒng)安全風(fēng)險(xiǎn)」進(jìn)一步轉(zhuǎn)化為「真實(shí)資產(chǎn)風(fēng)險(xiǎn)」。當(dāng) AI Agent 被用于實(shí)際交易時(shí)，用戶應(yīng)該如何保護(hù)自己的賬戶與資金安全？

基于此，本小節(jié)由 Bitget 安全團(tuán)隊(duì)結(jié)合交易平臺(tái)的實(shí)踐經(jīng)驗(yàn)，從賬戶安全、API 權(quán)限管理、資金隔離以及交易監(jiān)控等多個(gè)角度，系統(tǒng)介紹在使用 AI Agent 進(jìn)行自動(dòng)化交易時(shí)需要重點(diǎn)關(guān)注的安全策略。

1. AI Agent 交易場(chǎng)景中的主要安全風(fēng)險(xiǎn)

2. 賬戶安全

AI Agent 出現(xiàn)后，攻擊路徑變了：

不需要登進(jìn)你的賬號(hào)——只需要拿到你的 API Key

不需要你發(fā)現(xiàn)——Agent 7×24 小時(shí)自動(dòng)運(yùn)行，異常操作可以持續(xù)數(shù)天

不需要提現(xiàn)——直接在平臺(tái)內(nèi)交易把資產(chǎn)虧光，同樣是攻擊目標(biāo)

API Key 的創(chuàng)建、修改、刪除都需要通過(guò)已登錄的賬號(hào)完成——賬號(hào)被控意味著 Key 管理權(quán)被控。賬號(hào)安全等級(jí)直接決定了 API Key 的安全上限。

你應(yīng)該做的：

開(kāi)啟 Google Authenticator 作為主要 2FA，而非短信（SIM 卡可被劫持）

啟用 Passkey 無(wú)密碼登錄：基于 FIDO2/WebAuthn 標(biāo)準(zhǔn)，公私鑰加密替代傳統(tǒng)密碼，釣魚(yú)攻擊從架構(gòu)層失效

設(shè)置防釣魚(yú)碼

定期檢查設(shè)備管理中心，發(fā)現(xiàn)陌生設(shè)備立刻踢出并修改密碼

3. API 安全

在 AI Agent 自動(dòng)交易架構(gòu)中，API Key 相當(dāng)于 Agent 的「執(zhí)行權(quán)限憑證」。Agent 本身并不直接持有賬戶控制權(quán)，它所有能夠執(zhí)行的操作，均取決于 API Key 被授予的權(quán)限范圍。因此，API 權(quán)限邊界既決定 Agent 能做什么，也決定在安全事件發(fā)生時(shí)損失可能擴(kuò)大的程度。

權(quán)限配置矩陣——最小權(quán)限，不是方便權(quán)限：

在多數(shù)交易平臺(tái)中，API Key 通常支持多種安全控制機(jī)制，這些機(jī)制如果合理使用，可以顯著降低 API Key 被濫用的風(fēng)險(xiǎn)。常見(jiàn)的安全配置建議包括：

用戶常犯的錯(cuò)誤：

把主賬號(hào) API Key 直接粘貼進(jìn) Agent 配置——主賬號(hào)全量權(quán)限完全暴露

業(yè)務(wù)類型點(diǎn)了「全選」圖方便，實(shí)際上開(kāi)放了所有操作范圍

沒(méi)設(shè) Passphrase，或 Passphrase 與賬號(hào)密碼相同

API Key 寫(xiě)死在代碼里，推上 GitHub 后被爬蟲(chóng) 3 分鐘內(nèi)掃走

一個(gè) Key 同時(shí)授權(quán)給多個(gè) Agent 和工具，任何一個(gè)被入侵全面暴露

Key 泄露后沒(méi)有立即撤銷，攻擊者持續(xù)利用窗口期

Key 的生命周期管理：

每 90 天輪換一次 API Key，舊 Key 立即刪除

停用 Agent 時(shí)立即刪除對(duì)應(yīng) Key，不留殘余攻擊面

定期檢查 API 調(diào)用記錄，發(fā)現(xiàn)陌生 IP 或異常時(shí)間段立刻撤銷

4. 資金安全

攻擊者拿到 API Key 后能造成多大損失，取決于這個(gè) Key 能動(dòng)多少錢(qián)。因此，在設(shè)計(jì) AI Agent 的交易架構(gòu)時(shí)，除了賬戶安全和 API 權(quán)限控制之外，還應(yīng)通過(guò)資金隔離機(jī)制，為潛在風(fēng)險(xiǎn)設(shè)置明確的損失上限。

子賬號(hào)隔離機(jī)制：

創(chuàng)建 Agent 專用子賬號(hào)，與主賬號(hào)完全分離

主賬號(hào)只劃撥 Agent 實(shí)際需要的資金，不是全部資產(chǎn)

即便子賬號(hào) Key 被盜，攻擊者能動(dòng)的最大金額 = 子賬號(hào)內(nèi)的資金，主賬號(hào)不受影響

多個(gè) Agent 策略用多個(gè)子賬號(hào)分別管理，互相隔離

資金密碼作為第二道鎖：

資金密碼 (Fund Password) 與登錄密碼完全分離，即便賬號(hào)被登錄，沒(méi)有資金密碼仍無(wú)法發(fā)起提現(xiàn)

資金密碼與登錄密碼設(shè)置為不同的密碼

啟用提幣白名單：只有預(yù)先添加的地址才能提現(xiàn)，新地址需要 24 小時(shí)審核期

修改資金密碼后系統(tǒng)自動(dòng)凍結(jié)提現(xiàn) 24 小時(shí)——這是保護(hù)你的機(jī)制

5. 交易安全

在 AI Agent 自動(dòng)交易場(chǎng)景中，安全問(wèn)題往往不會(huì)表現(xiàn)為一次性的異常行為，而是可能在系統(tǒng)持續(xù)運(yùn)行的過(guò)程中逐步發(fā)生。因此，除了賬戶安全與 API 權(quán)限控制之外，還需要建立持續(xù)的交易監(jiān)控與異常檢測(cè)機(jī)制，以便在問(wèn)題出現(xiàn)的早期階段及時(shí)發(fā)現(xiàn)并干預(yù)。

必須建立的監(jiān)控體系：

異常信號(hào)識(shí)別——出現(xiàn)以下情況立刻停止并檢查：

Agent 長(zhǎng)時(shí)間無(wú)操作，但賬戶出現(xiàn)新訂單或倉(cāng)位

API 調(diào)用日志出現(xiàn)非 Agent 服務(wù)器 IP 的請(qǐng)求

收到從未設(shè)置過(guò)的交易對(duì)的成交通知

賬戶余額出現(xiàn)無(wú)法解釋的變動(dòng)

Agent 反復(fù)提示「需要更多權(quán)限才能執(zhí)行」——先搞清楚為什么，再?zèng)Q定是否授權(quán)

Skill 和工具來(lái)源管理：

僅安裝官方發(fā)布且經(jīng)過(guò)審核渠道提供的 Skill

避免安裝來(lái)源不明或未經(jīng)驗(yàn)證的第三方擴(kuò)展

定期審查已安裝的 Skill 列表，刪除不再使用的

警惕社區(qū)「增強(qiáng)版」、「漢化版」 Skill——任何非官方版本都是風(fēng)險(xiǎn)

6. 數(shù)據(jù)安全

AI Agent 的決策依賴大量數(shù)據(jù)（賬戶信息、持倉(cāng)、交易歷史、行情、策略參數(shù)）。如果這些數(shù)據(jù)被泄露或篡改，攻擊者可能推斷你的策略甚至操控交易行為。

你應(yīng)該做的

最小數(shù)據(jù)原則：只向 Agent 提供執(zhí)行交易必需的數(shù)據(jù)

敏感數(shù)據(jù)脫敏：日志、調(diào)試信息不要讓 Agent 輸出完整賬戶信息、API Key 等敏感數(shù)據(jù)

禁止上傳完整賬戶數(shù)據(jù)到公共 AI 模型（如公共 LLM API）

如果可能，分離策略數(shù)據(jù)與賬戶數(shù)據(jù)

關(guān)閉或限制 Agent 導(dǎo)出歷史交易數(shù)據(jù)

用戶常見(jiàn)錯(cuò)誤

把完整交易歷史上傳給 AI 「幫我優(yōu)化策略」

Agent 日志中打印 API Key / Secret

在公開(kāi)論壇貼出交易記錄截圖（包含訂單 ID、賬戶信息）

把數(shù)據(jù)庫(kù)備份上傳到 AI 工具做分析

7. AI Agent 平臺(tái)層的安全設(shè)計(jì)

除了用戶側(cè)的安全配置之外，AI Agent 交易生態(tài)的安全性還在很大程度上依賴于平臺(tái)層的安全設(shè)計(jì)。一個(gè)成熟的 Agent 平臺(tái)通常需要在賬戶隔離、API 權(quán)限控制、插件審核以及基礎(chǔ)安全能力等方面建立系統(tǒng)化的防護(hù)機(jī)制，從而降低用戶在接入自動(dòng)化交易系統(tǒng)時(shí)面臨的整體風(fēng)險(xiǎn)。

在實(shí)際平臺(tái)架構(gòu)中，常見(jiàn)的安全設(shè)計(jì)通常包括以下幾個(gè)方面。

1、子賬號(hào)隔離體系

在自動(dòng)化交易環(huán)境中，平臺(tái)通常會(huì)提供子賬戶或策略賬戶體系，用于隔離不同自動(dòng)化系統(tǒng)的資金和權(quán)限。通過(guò)這種方式，用戶可以為每個(gè) Agent 或交易策略分配獨(dú)立的賬戶與資金池，從而避免多個(gè)自動(dòng)化系統(tǒng)共享同一賬戶帶來(lái)的風(fēng)險(xiǎn)。

2、 細(xì)粒度 API 權(quán)限配置

AI Agent 的核心操作依賴于 API 接口，因此平臺(tái)在 API 權(quán)限設(shè)計(jì)上通常需要支持細(xì)粒度控制，例如交易權(quán)限劃分、IP 來(lái)源限制以及額外的安全驗(yàn)證機(jī)制。通過(guò)這種權(quán)限模型，用戶可以僅向 Agent 授予完成任務(wù)所需的最小權(quán)限范圍。

3、Agent 插件與 Skill 審核機(jī)制

一些平臺(tái)會(huì)對(duì)插件或 Skill 的發(fā)布與上架過(guò)程設(shè)置審核機(jī)制，例如代碼審核、權(quán)限評(píng)估以及安全測(cè)試等，以減少惡意組件進(jìn)入生態(tài)系統(tǒng)的可能性。從安全角度來(lái)看，這類審核機(jī)制相當(dāng)于在插件供應(yīng)鏈上增加了一層平臺(tái)級(jí)過(guò)濾，但用戶仍然需要對(duì)所安裝的擴(kuò)展組件保持基本的安全意識(shí)。

4、平臺(tái)基礎(chǔ)安全能力

除了 Agent 相關(guān)的安全機(jī)制之外，交易平臺(tái)本身的賬戶安全體系同樣會(huì)對(duì) Agent 用戶產(chǎn)生重要影響。例如：

8. 專門(mén)針對(duì) Agent 用戶的新型騙局

假冒客服

「你的 API Key 存在安全風(fēng)險(xiǎn)，請(qǐng)立刻重新配置。」然后給你釣魚(yú)鏈接。

→ 官方不會(huì)主動(dòng)私信索要 API Key。

投毒 Skill 包

社區(qū)分享「增強(qiáng)版交易 Skill」，運(yùn)行時(shí)靜默發(fā)送你的 Key。

→ 只裝官方審核渠道的 Skill。

假冒升級(jí)通知

「需要重新授權(quán)」，點(diǎn)進(jìn)去是仿冒頁(yè)面。

→ 檢查郵件防釣魚(yú)碼。

提示詞注入攻擊

在市場(chǎng)數(shù)據(jù)、新聞、K 線注釋中嵌入指令，操控 Agent 執(zhí)行非預(yù)期操作。

→ 設(shè)置子賬號(hào)資金上限，即便被注入，損失有硬性邊界。

偽裝成「安全檢測(cè)工具」的惡意腳本

聲稱可以檢測(cè)你的 Key 是否泄露，實(shí)際上在竊取 Key。

→ 通過(guò)官方平臺(tái)提供的日志或訪問(wèn)記錄功能檢查 API 調(diào)用情況。

9. 排查路徑

發(fā)現(xiàn)任何異常

↓

立即撤銷或禁用可疑 API Key

↓

檢查賬戶異常訂單 / 倉(cāng)位，能撤的立刻撤

↓

檢查提現(xiàn)記錄，確認(rèn)資金是否已轉(zhuǎn)出

↓

修改登錄密碼 + 資金密碼，踢出所有已登錄設(shè)備

↓

聯(lián)系平臺(tái)安全支持，提供異常時(shí)間段和操作記錄

↓

排查 Key 泄露路徑（代碼庫(kù) / 配置文件 / Skill 日志）

核心原則：遇到任何懷疑，先撤 Key，后查原因，順序不能反。

四、建議及總結(jié)

在本報(bào)告中，SlowMist 和 Bitget 結(jié)合實(shí)際案例與安全研究，對(duì)當(dāng)前 AI Agent 在 Web3 場(chǎng)景中較為典型的安全問(wèn)題進(jìn)行了分析，包括 Prompt Injection 對(duì) Agent 行為的操控風(fēng)險(xiǎn)、插件與 Skill 生態(tài)中的供應(yīng)鏈風(fēng)險(xiǎn)、API Key 與賬戶權(quán)限濫用問(wèn)題，以及自動(dòng)化執(zhí)行帶來(lái)的誤操作與權(quán)限擴(kuò)大等潛在威脅。這些問(wèn)題往往并非單一漏洞導(dǎo)致，而是 Agent 架構(gòu)設(shè)計(jì)、權(quán)限控制策略以及運(yùn)行環(huán)境安全共同作用的結(jié)果。

因此，在構(gòu)建或使用 AI Agent 系統(tǒng)時(shí)，應(yīng)從整體架構(gòu)層面進(jìn)行安全設(shè)計(jì)，例如遵循最小權(quán)限原則為 Agent 分配 API Key 和賬戶權(quán)限，避免開(kāi)啟不必要的高風(fēng)險(xiǎn)功能；在工具調(diào)用層面對(duì)插件與 Skill 進(jìn)行權(quán)限隔離，避免單一組件同時(shí)具備數(shù)據(jù)獲取、決策生成與資金操作能力；在 Agent 執(zhí)行關(guān)鍵操作時(shí)設(shè)置明確的行為邊界與參數(shù)限制，并在必要場(chǎng)景下增加人工確認(rèn)機(jī)制，以降低自動(dòng)化執(zhí)行帶來(lái)的不可逆風(fēng)險(xiǎn)。同時(shí)，對(duì)于 Agent 運(yùn)行所依賴的外部輸入，應(yīng)通過(guò)合理的 Prompt 設(shè)計(jì)與輸入隔離機(jī)制防范 Prompt Injection 攻擊，避免將外部?jī)?nèi)容直接作為系統(tǒng)指令參與模型推理過(guò)程。在實(shí)際部署與運(yùn)行階段，還應(yīng)加強(qiáng) API Key 與賬戶安全管理，例如僅開(kāi)啟必要權(quán)限、設(shè)置 IP 白名單、定期輪換 Key，并避免在代碼倉(cāng)庫(kù)、配置文件或日志系統(tǒng)中明文存儲(chǔ)敏感信息；在開(kāi)發(fā)流程與運(yùn)行環(huán)境中，則應(yīng)通過(guò)插件安全審查、日志敏感信息控制以及行為監(jiān)控與審計(jì)機(jī)制等措施，降低配置泄露、供應(yīng)鏈攻擊及異常操作帶來(lái)的風(fēng)險(xiǎn)。

在更宏觀的安全架構(gòu)層面，SlowMist 在相關(guān)研究中提出了一種面向 AI 與 Web3 智能體場(chǎng)景的多層安全治理思路，通過(guò)構(gòu)建分層防護(hù)體系來(lái)系統(tǒng)性降低智能體在高權(quán)限環(huán)境中的風(fēng)險(xiǎn)。在該框架中，L1 安全治理首先以統(tǒng)一的開(kāi)發(fā)與使用安全基線作為基礎(chǔ)，通過(guò)建立覆蓋開(kāi)發(fā)工具、Agent 框架、插件生態(tài)以及運(yùn)行環(huán)境的安全規(guī)范，為團(tuán)隊(duì)在引入 AI 工具鏈時(shí)提供統(tǒng)一的策略來(lái)源與審計(jì)標(biāo)準(zhǔn)。在此基礎(chǔ)上，L2 通過(guò)對(duì) Agent 權(quán)限邊界的收斂、工具調(diào)用的最小權(quán)限控制以及關(guān)鍵行為的人機(jī)確認(rèn)機(jī)制，可以有效約束高風(fēng)險(xiǎn)操作的執(zhí)行范圍。同時(shí)，L3 在外部交互入口層面引入實(shí)時(shí)威脅感知能力，對(duì) URL、依賴倉(cāng)庫(kù)、插件來(lái)源等外部資源進(jìn)行預(yù)檢，以降低惡意內(nèi)容或供應(yīng)鏈投毒進(jìn)入執(zhí)行鏈路的概率；在涉及鏈上交易或資產(chǎn)操作的場(chǎng)景中，則通過(guò) L4 鏈上風(fēng)險(xiǎn)分析與獨(dú)立簽名機(jī)制實(shí)現(xiàn)額外的安全隔離，使 Agent 能夠構(gòu)造交易但不直接接觸私鑰，從而減少高價(jià)值資產(chǎn)操作帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)。最終，L5 通過(guò)持續(xù)巡檢、日志審計(jì)以及周期性安全復(fù)核等運(yùn)營(yíng)機(jī)制，形成「執(zhí)行前可預(yù)檢、執(zhí)行中可約束、執(zhí)行后可復(fù)盤(pán)」的閉環(huán)安全能力。這種分層安全思路并非單一產(chǎn)品或工具，而是一種面向 AI 工具鏈與智能體生態(tài)的安全治理框架，其核心目標(biāo)是在不顯著降低開(kāi)發(fā)效率和自動(dòng)化能力的前提下，通過(guò)系統(tǒng)化策略、持續(xù)審計(jì)與安全能力聯(lián)動(dòng)，幫助團(tuán)隊(duì)建立可持續(xù)、可審計(jì)且可演進(jìn)的 Agent 安全運(yùn)營(yíng)體系，從而更好地應(yīng)對(duì) AI 與 Web3 深度融合背景下不斷變化的安全挑戰(zhàn)。

總體而言，AI Agent 為 Web3 生態(tài)帶來(lái)了更高程度的自動(dòng)化與智能化能力，但其安全挑戰(zhàn)同樣不容忽視。只有在系統(tǒng)設(shè)計(jì)、權(quán)限管理與運(yùn)行監(jiān)控等多個(gè)層面建立完善的安全機(jī)制，才能在推動(dòng) AI Agent 技術(shù)創(chuàng)新的同時(shí)，有效降低潛在風(fēng)險(xiǎn)。希望本報(bào)告能夠?yàn)殚_(kāi)發(fā)者、平臺(tái)及用戶在構(gòu)建和使用 AI Agent 系統(tǒng)時(shí)提供參考，在促進(jìn)技術(shù)發(fā)展的同時(shí)，共同推動(dòng)更加安全、可靠的 Web3 生態(tài)環(huán)境的形成。