撰文:SlowMist 与 Bitget1. 输入操控与提示词注入攻击在 AI Agent 架构中,用户输入和外部数据通常会被直接纳入模型上下文,这使得提示词注入 (Prompt Injection) 成为一种重要攻击方式。攻击者可以通过构造特定指令,诱导 Agent 执行原本不应触发的操作。例如,在某些案例中,仅通过聊天指令即可诱导 Agent 生成并执行高危系统命令。更复杂的攻击方式是间接注入,即攻击者将恶意指令隐藏在网页内容、文档说明或代码注释中。当 Agent 在执行任务过程中读取这些内容时,可能会误将其视为合法指令。例如,在插件文档、README 文件或 Markdown 文件中嵌入恶意命令,就可能导致 Agent 在初始化环境或安装依赖时执行攻击代码。这种攻击模式的特点在于,它往往不依赖传统漏洞,而是利用模型对上下文信息的信任机制来影响其行为逻辑。2. Skills / 插件生态的供应链投毒在当前的 AI Agent 生态中,插件与技能系统 (Skills / MCP / Tools) 是扩展 Agent 能力的重要方式。然而,这类插件生态也正在成为新的供应链攻击入口。SlowMist 在对 OpenClaw 官方插件中心 ClawHub 的监测中发现,随着开发者数量的增长,一些恶意 Skill 已开始混入其中。SlowMist 对超过 400 个恶意 Skill 的 IOC 进行归并分析后发现,大量样本指向少量固定域名或同一 IP 下的多个随机路径,呈现出明显的资源复用特征,这更像是团伙化、批量化的攻击行为。解码后可发现其本质是下载并执行远程脚本:而第二阶段程序会伪装系统弹窗获取用户密码,并在系统临时目录中收集本机信息、桌面文档以及下载目录中的文件,最终打包并上传至攻击者控制的服务器。在 SlowMist 之前的安全审计案例中,曾通过向 MCP 返回恶意提示词污染上下文,从而诱导 Agent 调用钱包插件执行链上转账。6. Web3 场景中的高价值操作风险与传统软件系统不同,Web3 环境中的许多操作具有不可逆性。例如,链上转账、Token Swap、流动性添加以及智能合约调用,一旦交易被签名并广播到网络,通常难以撤销或回滚。因此,当 AI Agent 被用于执行链上操作时,其安全风险也被进一步放大。在一些实验性项目中,开发者已经开始尝试让 Agent 直接参与链上交易策略执行,例如自动化套利、资金管理或 DeFi 操作。然而,如果 Agent 在任务拆解或参数生成过程中受到提示词注入、上下文污染或插件攻击的影响,就可能在交易过程中替换目标地址、修改交易金额或调用恶意合约。此外,一些 Agent 框架允许插件直接访问钱包 API 或签名接口。如果缺乏签名隔离或人工确认机制,攻击者甚至可能通过恶意 Skill 触发自动交易。因此,在 Web3 场景中,将 AI Agent 与资产控制系统完全绑定是一个高风险设计。更安全的模式通常是让 Agent 仅负责生成交易建议或未签名交易数据,而实际签名过程由独立钱包或人工确认完成。同时,结合地址信誉检测、AML 风控以及交易模拟等机制,也可以在一定程度上降低自动化交易带来的风险。7. 高权限执行带来的系统级风险许多 AI Agent 在实际部署中拥有较高的系统权限,例如访问本地文件系统、执行 Shell 命令甚至以 Root 权限运行。一旦 Agent 的行为被操控,其影响范围可能远远超出单一应用。SlowMist 曾测试将 OpenClaw 与即时通讯软件如 Telegram 绑定,实现远程控制。如果控制渠道被攻击者接管,Agent 便可能被用于执行任意系统命令、读取浏览器数据、访问本地文件甚至控制其他应用程序。结合插件生态与工具调用能力,这类 Agent 在某种程度上已经具备了「智能远控」的特征。综合来看,AI Agent 的安全威胁已经不再局限于传统的软件漏洞,而是跨越了模型交互层、插件供应链、执行环境以及资产操作层等多个维度。攻击者既可以通过提示词操控 Agent 的行为,也可以通过恶意 Skills 或依赖包在供应链层植入后门,并进一步在高权限运行环境中扩大攻击影响。在 Web3 场景中,由于链上操作具有不可逆性且涉及真实资产价值,这些风险往往会被进一步放大。因此,在 AI Agent 的设计和使用过程中,仅依赖传统应用安全策略已经难以完全覆盖新的攻击面,需要在权限控制、供应链治理以及交易安全机制等方面建立更加系统化的安全防护体系。三、AI Agent 交易安全实践|Bitget随着 AI Agent 能力不断增强,它们已经不再只是提供信息或辅助决策,而是开始直接参与系统操作,甚至执行链上交易。在加密交易场景中,这种变化尤为明显。越来越多用户开始尝试让 AI Agent 参与行情分析、策略执行以及自动化交易。当 Agent 可以直接调用交易接口、访问账户资产并自动下单时,其安全问题也从「系统安全风险」进一步转化为「真实资产风险」。当 AI Agent 被用于实际交易时,用户应该如何保护自己的账户与资金安全?基于此,本小节由 Bitget 安全团队结合交易平台的实践经验,从账户安全、API 权限管理、资金隔离以及交易监控等多个角度,系统介绍在使用 AI Agent 进行自动化交易时需要重点关注的安全策略。1. AI Agent 交易场景中的主要安全风险在多数交易平台中,API Key 通常支持多种安全控制机制,这些机制如果合理使用,可以显著降低 API Key 被滥用的风险。常见的安全配置建议包括:异常信号识别——出现以下情况立刻停止并检查:Agent 长时间无操作,但账户出现新订单或仓位API 调用日志出现非 Agent 服务器 IP 的请求收到从未设置过的交易对的成交通知账户余额出现无法解释的变动Agent 反复提示「需要更多权限才能执行」——先搞清楚为什么,再决定是否授权Skill 和工具来源管理:仅安装官方发布且经过审核渠道提供的 Skill避免安装来源不明或未经验证的第三方扩展定期审查已安装的 Skill 列表,删除不再使用的警惕社区「增强版」、「汉化版」 Skill——任何非官方版本都是风险6. 数据安全AI Agent 的决策依赖大量数据(账户信息、持仓、交易历史、行情、策略参数)。如果这些数据被泄露或篡改,攻击者可能推断你的策略甚至操控交易行为。你应该做的最小数据原则:只向 Agent 提供执行交易必需的数据敏感数据脱敏:日志、调试信息不要让 Agent 输出完整账户信息、API Key 等敏感数据禁止上传完整账户数据到公共 AI 模型(如公共 LLM API)如果可能,分离策略数据与账户数据关闭或限制 Agent 导出历史交易数据用户常见错误把完整交易历史上传给 AI 「帮我优化策略」Agent 日志中打印 API Key / Secret在公开论坛贴出交易记录截图(包含订单 ID、账户信息)把数据库备份上传到 AI 工具做分析7. AI Agent 平台层的安全设计除了用户侧的安全配置之外,AI Agent 交易生态的安全性还在很大程度上依赖于平台层的安全设计。一个成熟的 Agent 平台通常需要在账户隔离、API 权限控制、插件审核以及基础安全能力等方面建立系统化的防护机制,从而降低用户在接入自动化交易系统时面临的整体风险。在实际平台架构中,常见的安全设计通常包括以下几个方面。1、子账号隔离体系在自动化交易环境中,平台通常会提供子账户或策略账户体系,用于隔离不同自动化系统的资金和权限。通过这种方式,用户可以为每个 Agent 或交易策略分配独立的账户与资金池,从而避免多个自动化系统共享同一账户带来的风险。2、 细粒度 API 权限配置AI Agent 的核心操作依赖于 API 接口,因此平台在 API 权限设计上通常需要支持细粒度控制,例如交易权限划分、IP 来源限制以及额外的安全验证机制。通过这种权限模型,用户可以仅向 Agent 授予完成任务所需的最小权限范围。3、Agent 插件与 Skill 审核机制一些平台会对插件或 Skill 的发布与上架过程设置审核机制,例如代码审核、权限评估以及安全测试等,以减少恶意组件进入生态系统的可能性。从安全角度来看,这类审核机制相当于在插件供应链上增加了一层平台级过滤,但用户仍然需要对所安装的扩展组件保持基本的安全意识。4、平台基础安全能力除了 Agent 相关的安全机制之外,交易平台本身的账户安全体系同样会对 Agent 用户产生重要影响。例如:总体而言,AI Agent 为 Web3 生态带来了更高程度的自动化与智能化能力,但其安全挑战同样不容忽视。只有在系统设计、权限管理与运行监控等多个层面建立完善的安全机制,才能在推动 AI Agent 技术创新的同时,有效降低潜在风险。希望本报告能够为开发者、平台及用户在构建和使用 AI Agent 系统时提供参考,在促进技术发展的同时,共同推动更加安全、可靠的 Web3 生态环境的形成。
Thank you for reading this post, don't forget to subscribe!