AI Agent权限链滥用：Grok事件深度解析

背景

近日，Base链上发生了一起针对AI Agent与自动化交易系统结合的权限滥用事件。攻击者通过在X平台向@Grok发送特定构造内容，诱导其输出被外部交易Agent（@bankrbot）识别的转账指令，最终导致链上真实资产转移。

(https://x.com/bankrbot/status/2051192437797015859)

关于“Grok钱包”：

事件中被标记为“Grok钱包”的地址 (0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9) 并不属于xAI官方控制。该地址是由@bankrbot为X账号@grok自动生成的关联钱包，私钥由Bankr依赖的第三方钱包服务托管，实际控制权在Bankr手中。BaseScan已将该地址标签由“Grok”修正为Bankr 1等相关标识。

(https://basescan.org/address/0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9)

该钱包持有的大量DRB（约30亿枚），同样源于Bankr的机制设计：今年早些时候，有用户向Grok询问代币命名建议，Grok回复“DebtReliefBot”（简称DRB）。随后，Bankr系统将该回复解析为部署信号，在Base链上触发了相关代币的创建流程，并按照其Launchpad规则，将创建者份额分配至该关联钱包。

攻击流程

本次攻击主要分为权限升级和指令注入两个关键阶段，形成了“不可信输入 → AI输出 → 外部Agent执行 → 资产转移”的完整链路。

1. 权限升级阶段

攻击者（关联地址ilhamrafli.base.eth）通过中心化机制开通了该钱包的Bankr Club Membership。这一操作解锁了@bankrbot的高权限工具集（agentic toolset），为其后续转账执行提供了必要权限。

(https://x.com/bankrbot/status/2051005172202258526)

2. Prompt Injection执行阶段

攻击者向@grok发送一段精心构造的摩尔斯电码（Morse Code），Grok按照用户要求进行翻译/解码后，输出了明文指令并@bankrbot。@bankrbot将Grok的公开回复视为有效可执行命令，直接在Base链上发起转账操作。

(https://basescan.org/tx/0x6fc7eb7da9379383efda4253e4f599bbc3a99afed0468eabfe18484ec525739a)

攻击者随后迅速将DRB兑换为USDC/ETH。攻击完成后，相关账号快速删除内容并下线。

本次攻击的巧妙之处在于，充分利用了Grok的“帮助性”响应特性，绕过了@bankrbot对指令来源的常规过滤，构建起AI输出与链上执行的闭环。

资金追回情况

事件发生后，社区与Bankr团队追踪显示，约80%~88%的资金价值已通过协商形式回流（主要以USDC和ETH形式）。剩余部分据相关方表述，作为非正式bug bounty处理。Bankrbot已公开确认攻击细节，并采取了相应限制措施。

根本原因分析

• 信任模型缺陷： Bankrbot将Grok的自然语言输出直接映射为可执行金融指令，而未对指令来源、意图真实性或异常模式（摩尔斯电码等非标准编码）进行充分验证。
• 权限隔离不足： 会员资格激活直接赋予高危工具权限，缺乏二次确认或额度限制。
• Agent间边界模糊： Grok作为对话式AI，其输出本不应等同于金融授权，但被下游执行层视为可信信号。
• 输入处理风险： LLM容易被提示注入或非标准编码绕过安全过滤器，这已是已知问题，但在与真实资产执行层结合时放大为高额损失。

值得强调的是，Grok本身并未持有私钥或直接执行链上操作，它更像是被利用的中间环节，真正的执行主体是@bankrbot的自动化交易体系。

安全启示

此次事件为AI + Crypto Agent领域提供了重要实战教训：

• 自然语言输出必须与金融动作严格解耦；
• 高价值操作需引入多重验证、额度控制、异常检测（编码类型、金额阈值、来源白名单等）；
• Agent间交互应优先采用结构化、可验证的协议，而非纯文本指令；
• Prompt Injection威胁模型需纳入全链路Agent设计，包括间接利用其他AI的能力。

总结

这是一起典型的AI Agent权限链安全事件。尽管Grok被Prompt Injection利用，但问题的根本在于：Bankrbot体系中，将AI输出与真实资产执行层进行松散绑定。该事件为AI + Crypto Agent领域提供了一个极具参考价值的实战案例，也明确传递出一个信号：当Agent被赋予链上执行能力时，必须建立严格的信任边界与安全控制机制。未来，相关基础设施的安全设计仍需持续强化，以应对这一类跨系统、跨语义边界的新型攻击模式。