SlowMist × Bitget AI安全报告：AI Agent在Web3交易中的安全挑战与应对策略

原文作者：SlowMist & Bitget

一、背景

随着大模型技术的快速发展，AI Agent 正在从简单的智能助手逐渐演变为能够自主执行任务的自动化系统。在 Web3 生态中，这一变化表现得尤为明显。越来越多的用户开始尝试让 AI Agent 参与行情分析、策略生成以及自动化交易，让“7×24 小时自动运行的交易助手”从概念逐渐走向现实。随着 Binance 与 OKX 推出了多个 AI Skills，Bitget 也推出了 Skills 资源站 Agent Hub，Agent 可以直接接入交易平台 API、链上数据以及市场分析工具，从而在一定程度上承担原本需要人工完成的交易决策与执行工作。

与传统的自动化脚本相比，AI Agent 具备更强的自主决策能力和更复杂的系统交互能力。它们可以接入行情数据、调用交易 API、管理账户资产，甚至通过插件或 Skill 扩展功能生态。这种能力的提升，极大降低了自动化交易的使用门槛，也让更多普通用户开始接触和使用自动化交易工具。

然而，能力的扩展也意味着攻击面的扩大。

在传统交易场景中，安全风险通常集中在账户凭证、API Key 泄露或钓鱼攻击等问题上。而在 AI Agent 架构中，新的风险正在出现。例如，提示词注入（Prompt Injection）可能影响 Agent 的决策逻辑，恶意插件或 Skill 可能成为新的供应链攻击入口，运行环境配置不当也可能导致敏感数据或 API 权限被滥用。一旦这些问题与自动化交易系统结合，潜在影响可能不仅限于信息泄露，还可能直接造成真实资产损失。

与此同时，随着越来越多用户开始将 AI Agent 接入交易账户，攻击者也在快速适应这一变化。针对 Agent 用户的新型诈骗模式、恶意插件投毒以及 API Key 滥用等问题，正在逐渐成为新的安全威胁。在 Web3 场景中，资产操作往往具有高价值与不可逆性，一旦自动化系统被滥用或误导，风险影响也可能被进一步放大。

基于这些背景，SlowMist 与 Bitget 联合撰写本报告，从安全研究与交易平台实践两个角度，对 AI Agent 在多个场景中的安全问题进行系统梳理。希望本报告能够为用户、开发者以及平台提供一些安全参考，帮助推动 AI Agent 生态在安全与创新之间实现更加稳健的发展。

二、AI Agent 的真实安全威胁｜SlowMist

AI Agent 的出现，使软件系统从“人类主导操作”逐渐转向“模型参与决策与执行”。这种架构变化显著提升了自动化能力，但同时也扩大了攻击面。从当前的技术结构来看，一个典型的 AI Agent 系统通常包含用户交互层、应用逻辑层、模型层、工具调用层（Tools / Skills）、记忆系统（Memory）以及底层执行环境等多个组件。攻击者往往不会只针对单一模块，而是尝试通过多层路径逐步影响 Agent 的行为控制权。

1. 输入操控与提示词注入攻击

在 AI Agent 架构中，用户输入和外部数据通常会被直接纳入模型上下文，这使得提示词注入（Prompt Injection）成为一种重要攻击方式。攻击者可以通过构造特定指令，诱导 Agent 执行原本不应触发的操作。例如，在某些案例中，仅通过聊天指令即可诱导 Agent 生成并执行高危系统命令。

更复杂的攻击方式是间接注入，即攻击者将恶意指令隐藏在网页内容、文档说明或代码注释中。当 Agent 在执行任务过程中读取这些内容时，可能会误将其视为合法指令。例如，在插件文档、README 文件或 Markdown 文件中嵌入恶意命令，就可能导致 Agent 在初始化环境或安装依赖时执行攻击代码。

这种攻击模式的特点在于，它往往不依赖传统漏洞，而是利用模型对上下文信息的信任机制来影响其行为逻辑。

2. Skills / 插件生态的供应链投毒

在当前的 AI Agent 生态中，插件与技能系统（Skills / MCP / Tools）是扩展 Agent 能力的重要方式。然而，这类插件生态也正在成为新的供应链攻击入口。

SlowMist 在对 OpenClaw 官方插件中心 ClawHub 的监测中发现，随着开发者数量的增长，一些恶意 Skill 已开始混入其中。SlowMist 对超过 400 个恶意 Skill 的 IOC 进行归并分析后发现，大量样本指向少量固定域名或同一 IP 下的多个随机路径，呈现出明显的资源复用特征，这更像是团伙化、批量化的攻击行为。

在 OpenClaw 的 Skill 体系中，核心文件通常为 SKILL.md。与传统代码不同，这类 Markdown 文件往往承担“安装说明”和“初始化入口”的角色，但在 Agent 生态中，它们往往会被用户直接复制并执行，从而形成一条完整的执行链。攻击者只需将恶意命令伪装为依赖安装步骤，例如使用 curl | bash 或 Base64 编码隐藏真实指令，即可诱导用户执行恶意脚本。

在实际样本中，一些 Skill 采用典型的“两阶段加载”策略：第一阶段脚本仅负责下载并执行第二阶段 Payload，从而降低静态检测的成功率。以一个下载量较高的 “X (Twitter) Trends” Skill 为例，其 SKILL.md 中隐藏了一段 Base64 编码命令。

解码后可发现其本质是下载并执行远程脚本：

而第二阶段程序会伪装系统弹窗获取用户密码，并在系统临时目录中收集本机信息、桌面文档以及下载目录中的文件，最终打包并上传至攻击者控制的服务器。

这种攻击方式的核心优势在于，Skill 外壳本身可以保持相对稳定，而攻击者只需更换远程 Payload 即可持续更新攻击逻辑。

3. Agent 决策与任务编排层风险

在 AI Agent 的应用逻辑层中，任务通常会被模型拆解为多个执行步骤。如果攻击者能够影响这一拆解过程，就可能导致 Agent 在执行合法任务时产生异常行为。

例如，在涉及多步骤操作的业务流程中（如自动化部署或链上交易），攻击者可以通过篡改关键参数或干扰逻辑判断，使 Agent 在执行流程中替换目标地址或执行额外操作。

在 SlowMist 之前的安全审计案例中，曾通过向 MCP 返回恶意提示词污染上下文，从而诱导 Agent 调用钱包插件执行链上转账。

这类攻击的特点在于，错误并非来自模型生成代码，而是来自任务编排逻辑被篡改。

4. IDE / CLI 环境中的隐私与敏感信息泄露

在 AI Agent 被广泛用于开发辅助和自动化运维之后，大量 Agent 开始运行在 IDE、CLI 或本地开发环境中。这类环境通常包含大量敏感信息，例如 .env 配置文件、API Token、云服务凭证、私钥文件以及各类访问密钥。一旦 Agent 在任务执行过程中能够读取这些目录或索引项目文件，就可能在无意间将敏感信息纳入模型上下文。

在某些自动化开发流程中，Agent 可能会在调试、日志分析或依赖安装过程中读取项目目录下的配置文件。如果缺乏明确的忽略策略或访问控制，这些信息可能被记录到日志、发送到远程模型 API，甚至被恶意插件外发。

此外，一些开发工具会允许 Agent 自动扫描代码仓库以建立上下文记忆（Memory），这也可能扩大敏感数据暴露的范围。例如，私钥文件、助记词备份、数据库连接字符串或第三方 API Token 等，都可能在索引过程中被读取。

在 Web3 开发环境中，这一问题尤为突出，因为开发者往往会在本地环境中存放测试私钥、RPC Token 或部署脚本。一旦这些信息被恶意 Skill、插件或远程脚本获取，攻击者便可能进一步控制开发者账户或部署环境。

因此，在 AI Agent 与 IDE / CLI 集成的场景下，建立明确的敏感目录忽略策略（例如 .agentignore、.gitignore 类机制）以及权限隔离措施，是降低数据泄露风险的重要前提。

5. 模型层不确定性与自动化风险

AI 模型本身并不是完全确定性的系统，其输出存在一定概率的不稳定性。所谓“模型幻觉”，即模型在缺乏信息时生成看似合理但实际错误的结果。在传统应用场景中，这类错误通常只影响信息质量，但在 AI Agent 架构中，模型输出可能直接触发系统操作。

例如，在某些案例中，模型在部署项目时未查询真实参数，而是生成了一个错误 ID 并继续执行部署流程。如果类似情况发生在链上交易或资产操作场景中，错误决策可能导致不可逆的资金损失。

6. Web3 场景中的高价值操作风险

与传统软件系统不同，Web3 环境中的许多操作具有不可逆性。例如，链上转账、Token Swap、流动性添加以及智能合约调用，一旦交易被签名并广播到网络，通常难以撤销或回滚。因此，当 AI Agent 被用于执行链上操作时，其安全风险也被进一步放大。

在一些实验性项目中，开发者已经开始尝试让 Agent 直接参与链上交易策略执行，例如自动化套利、资金管理或 DeFi 操作。然而，如果 Agent 在任务拆解或参数生成过程中受到提示词注入、上下文污染或插件攻击的影响，就可能在交易过程中替换目标地址、修改交易金额或调用恶意合约。此外，一些 Agent 框架允许插件直接访问钱包 API 或签名接口。如果缺乏签名隔离或人工确认机制，攻击者甚至可能通过恶意 Skill 触发自动交易。

因此，在 Web3 场景中，将 AI Agent 与资产控制系统完全绑定是一个高风险设计。更安全的模式通常是让 Agent 仅负责生成交易建议或未签名交易数据，而实际签名过程由独立钱包或人工确认完成。同时，结合地址信誉检测、AML 风控以及交易模拟等机制，也可以在一定程度上降低自动化交易带来的风险。

7. 高权限执行带来的系统级风险

许多 AI Agent 在实际部署中拥有较高的系统权限，例如访问本地文件系统、执行 Shell 命令甚至以 Root 权限运行。一旦 Agent 的行为被操控，其影响范围可能远远超出单一应用。

SlowMist 曾测试将 OpenClaw 与即时通讯软件如 Telegram 绑定，实现远程控制。如果控制渠道被攻击者接管，Agent 便可能被用于执行任意系统命令、读取浏览器数据、访问本地文件甚至控制其他应用程序。结合插件生态与工具调用能力，这类 Agent 在某种程度上已经具备了“智能远控”的特征。

综合来看，AI Agent 的安全威胁已经不再局限于传统的软件漏洞，而是跨越了模型交互层、插件供应链、执行环境以及资产操作层等多个维度。攻击者既可以通过提示词操控 Agent 的行为，也可以通过恶意 Skills 或依赖包在供应链层植入后门，并进一步在高权限运行环境中扩大攻击影响。在 Web3 场景中，由于链上操作具有不可逆性且涉及真实资产价值，这些风险往往会被进一步放大。因此，在 AI Agent 的设计和使用过程中，仅依赖传统应用安全策略已经难以完全覆盖新的攻击面，需要在权限控制、供应链治理以及交易安全机制等方面建立更加系统化的安全防护体系。

三、AI Agent 交易安全实践｜Bitget

随着 AI Agent 能力不断增强，它们已经不再只是提供信息或辅助决策，而是开始直接参与系统操作，甚至执行链上交易。在加密交易场景中，这种变化尤为明显。越来越多用户开始尝试让 AI Agent 参与行情分析、策略执行以及自动化交易。当 Agent 可以直接调用交易接口、访问账户资产并自动下单时，其安全问题也从“系统安全风险”进一步转化为“真实资产风险”。当 AI Agent 被用于实际交易时，用户应该如何保护自己的账户与资金安全？

基于此，本小节由 Bitget 安全团队结合交易平台的实践经验，从账户安全、API 权限管理、资金隔离以及交易监控等多个角度，系统介绍在使用 AI Agent 进行自动化交易时需要重点关注的安全策略。

1. AI Agent 交易场景中的主要安全风险

2. 账户安全

AI Agent 出现后，攻击路径变了：

• 不需要登进你的账号——只需要拿到你的 API Key
• 不需要你发现——Agent 7×24 小时自动运行，异常操作可以持续数天
• 不需要提现——直接在平台内交易把资产亏光，同样是攻击目标

API Key 的创建、修改、删除都需要通过已登录的账号完成——账号被控意味着 Key 管理权被控。账号安全等级直接决定了 API Key 的安全上限。

你应该做的：

• 开启 Google Authenticator 作为主要 2FA，而非短信（SIM 卡可被劫持）
• 启用 Passkey 无密码登录：基于 FIDO2/WebAuthn 标准，公私钥加密替代传统密码，钓鱼攻击从架构层失效
• 设置防钓鱼码
• 定期检查设备管理中心，发现陌生设备立刻踢出并修改密码

3. API 安全

在 AI Agent 自动交易架构中，API Key 相当于 Agent 的“执行权限凭证”。Agent 本身并不直接持有账户控制权，它所有能够执行的操作，均取决于 API Key 被授予的权限范围。因此，API 权限边界既决定 Agent 能做什么，也决定在安全事件发生时损失可能扩大的程度。

权限配置矩阵——最小权限，不是方便权限：

在多数交易平台中，API Key 通常支持多种安全控制机制，这些机制如果合理使用，可以显著降低 API Key 被滥用的风险。常见的安全配置建议包括：

用户常犯的错误：

• 把主账号 API Key 直接粘贴进 Agent 配置——主账号全量权限完全暴露
• 业务类型点了"全选"图方便，实际上开放了所有操作范围
• 没设 Passphrase，或 Passphrase 与账号密码相同
• API Key 写死在代码里，推上 GitHub 后被爬虫