慢霧專欄：資金交給「龍蝦」 AI Agent 真的安全？聯合 Bitget 報告揭露五大風險

SlowMist 與 Bitget 安全團隊聯合發布報告，系統梳理 AI Agent 在 Web3 自動化交易場景中的多層安全威脅，涵蓋提示詞注入、惡意 Skill 供應鏈攻擊、API Key 濫用與不可逆鏈上操作風險，並提出從最小授權到分層安全治理的防護框架。 （前情提要：月燒 705 美元、收入掛零，這是 AI Agent 創業的正常結局） （背景補充：加密圈掀 AI 軍備競賽：但哪些是真價值、哪些只是貼標籤？）   一、背景 隨著大模型技術的快速發展，AI Agent 正在從簡單的智慧助手逐漸演變為能夠自主執行任務的自動化系統。在 Web3 生態中，這一變化表現得尤為明顯。越來越多的使用者開始嘗試讓 AI Agent 參與行情分析、策略生成以及自動化交易，讓「7×24 小時自動執行的交易助手」從概念逐漸走向現實。隨著幣安與 OKX 推出了多個 AI Skills、Bitget 推出了 Skills 資源站 Agent Hub 和免安裝的龍蝦 GetClaw，Agent 可以直接接入交易平台 API、鏈上資料以及市場分析工具，從而在一定程度上承擔原本需要人工完成的交易決策與執行工作。 與傳統的自動化指令碼相比，AI Agent 具備更強的自主決策能力和更複雜的系統互動能力。它們可以接入行情資料、呼叫交易 API、管理帳戶資產，甚至透過外掛或 Skill 擴充套件功能生態。這種能力的提升，極大降低了自動化交易的使用門檻，也讓更多普通使用者開始接觸和使用自動化交易工具。 然而，能力的擴充套件也意味著攻擊面的擴大。 在傳統交易場景中，安全風險通常集中在帳戶憑證、API Key 洩露或釣魚攻擊等問題上。而在 AI Agent 架構中，新的風險正在出現。例如，提示詞注入 (Prompt Injection) 可能影響 Agent 的決策邏輯，惡意外掛或 Skill 可能成為新的供應鏈攻擊入口，執行環境配置不當也可能導致敏感資料或 API 許可權被濫用。一旦這些問題與自動化交易系統結合，潛在影響可能不僅限於資訊洩露，還可能直接造成真實資產損失。 與此同時隨著越來越多使用者開始將 AI Agent 接入交易帳戶，攻擊者也在快速適應這一變化。針對 Agent 使用者的新型詐騙模式、惡意外掛投毒以及 API Key 濫用等問題，正在逐漸成為新的安全威脅。在 Web3 場景中，資產操作往往具有高價值與不可逆性，一旦自動化系統被濫用或誤導，風險影響也可能被進一步放大。 基於這些背景，SlowMist 與 Bitget 聯合撰寫本報告，從安全研究與交易平台實踐兩個角度，對 AI Agent 在多個場景中的安全問題進行系統梳理。希望本報告能夠為使用者、開發者以及平台提供一些安全參考，幫助推動 AI Agent 生態在安全與創新之間實現更加穩健的發展。 二、AI Agent 的真實安全威脅 ｜SlowMist AI Agent 的出現，使軟體系統從「人類主導操作」逐漸轉向「模型參與決策與執行」。這種架構變化顯著提升了自動化能力，但同時也擴大了攻擊面。從當前的技術結構來看，一個典型的 AI Agent 系統通常包含使用者互動層、應用邏輯層、模型層、工具呼叫層 (Tools / Skills)、記憶系統 (Memory) 以及底層執行環境等多個元件。攻擊者往往不會只針對單一模組，而是嘗試透過多層路徑逐步影響 Agent 的行為控制權。 1. 輸入操控與提示詞注入攻擊 在 AI Agent 架構中，使用者輸入和外部資料通常會被直接納入模型上下文，這使得提示詞注入 (Prompt Injection) 成為一種重要攻擊方式。攻擊者可以透過構造特定指令，誘導 Agent 執行原本不應觸發的操作。例如，在某些案例中，僅透過聊天指令即可誘導 Agent 生成並執行高危系統命令。 更複雜的攻擊方式是間接注入，即攻擊者將惡意指令隱藏在網頁內容、檔案說明或程式碼注釋中。當 Agent 在執行任務過程中讀取這些內容時，可能會誤將其視為合法指令。例如，在外掛檔案、README 檔案或 Markdown 檔案中嵌入惡意命令，就可能導致 Agent 在初始化環境或安裝依賴時執行攻擊程式碼。 這種攻擊模式的特點在於，它往往不依賴傳統漏洞，而是利用模型對上下文資訊的信任機制來影響其行為邏輯。 2. Skills / 外掛生態的供應鏈投毒 在當前的 AI Agent 生態中，外掛與技能系統 (Skills / MCP / Tools) 是擴充套件 Agent 能力的重要方式。然而，這類外掛生態也正在成為新的供應鏈攻擊入口。 SlowMist 在對 OpenClaw 官方外掛中心 ClawHub 的監測中發現，隨著開發者數量的增長，一些惡意 Skill 已開始混入其中。SlowMist 對超過 400 個惡意 Skill 的 IOC 進行歸併分析後發現，大量樣本指向少量固定域名或同一 IP 下的多個隨機路徑，呈現出明顯的資源復用特徵，這更像是團夥化、批次化的攻擊行為。 在 OpenClaw 的 Skill 體系中，核心檔案通常為 SKILL.md。與傳統程式碼不同，這類 Markdown 檔案往往承擔「安裝說明」和「初始化入口」的角色，但在 Agent 生態中，它們往往會被使用者直接複製並執行，從而形成一條完整的執行鏈。攻擊者只需將惡意命令偽裝為依賴安裝步驟，例如使用 curl | bash 或 Base64 編碼隱藏真實指令，即可誘導使用者執行惡意指令碼。 在實際樣本中，一些 Skill 採用典型的「兩階段載入」策略：第一階段指令碼僅負責下載並執行第二階段 Payload，從而降低靜態檢測的成功率。以一個下載量較高的 「X (Twitter) Trends」 Skill 為例，其 SKILL.md 中隱藏了一段 Base64 編碼命令。 解碼後可發現其本質是下載並執行遠端指令碼： 而第二階段程式會偽裝系統彈窗獲取使用者密碼，並在系統臨時目錄中收集本機資訊...