资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
AI代理使用中的安全威胁与防护策略
近年来,AI代理在交易者中的应用日益普及。然而,安全研究机构SlowMist近期披露了相关攻击路径,提示用户需保持警惕,防范恶意行为者。交易者被建议严格限制授予AI代理的权限,因其极易受到攻击。通过权限最小化原则,即使遭遇入侵,损失也能控制在有限范围。
黑客如何通过AI代理窃取资产?
传统攻击往往需要诱骗用户点击链接,而现在黑客只需针对AI代理进行欺骗。例如,某Solana生态的AI代理曾在社交媒体受骗,导致价值44.1万美元的代币被转移。尽管该事件是否为吸引市场关注的营销行为尚不明确,但仍暴露了潜在风险。
另一案例中,预测市场平台Polymarket因第三方认证服务商Magic Labs的安全漏洞遭遇攻击,即使用户启用双重认证,仍有多个账户资产被盗,损失预估超过50万美元。该事件发生于2025年12月,SlowMist安全负责人发现GitHub上存在恶意跟单机器人代码,专门针对Polymarket账户进行攻击。
SlowMist最新报告指出,当前最危险的新型攻击手段为“间接提示词注入”。此类攻击在技能生态系统中尤为有效,例如交易平台的AI代理中心或开源工具平台。研究人员监测发现,近10%的可用插件暗藏两阶段恶意软件:第一阶段看似合法,安装后即下载第二阶段恶意程序,窃取本地机器信息、浏览器Cookie及SSH密钥。若AI代理持续运行,此类窃密行为可能持续数周不被察觉。
2026年的安全报告披露了一项高危漏洞“ClawJacked”,其CVSS评分达8.0以上。该漏洞允许恶意网站通过普通浏览器访问劫持用户本地运行的AI代理。
如何防范AI代理相关风险
某交易平台安全团队提出五层防护体系,核心在于贯彻“最小权限”原则:若AI代理仅用于分析图表,则不应授予交易权限;若可执行交易,则绝不能开放提现权限。
具体措施包括:首先,采用通行密钥作为主要登录方式。该技术基于公私钥加密机制,可有效防范钓鱼攻击。即使攻击者诱导用户访问虚假登录页面,硬件级安全保障也不会释放凭证信息。
其次,建议为AI代理创建独立子账户,仅转入必要资金,避免使用主账户API密钥。即使发生泄露,也能有效控制损失范围。
此外,所有自动化设置必须启用IP白名单功能,确保交易指令仅来自特定授权服务器地址。用户应配置.agentignore文件,防止AI代理在日常任务中读取或注册敏感本地文件。
报告特别强调高价值操作需保持人工监督。即使未受攻击,完全放任AI自主运行仍存在财务风险。2025年末的实验显示,某些高级AI模型在交易中出现“分析瘫痪”现象,两周内亏损超60%资金;另有模型因过度交易产生巨额费用,完全侵蚀收益。
保持信息安全意识是防范风险的第一道防线。通过建立多层防护机制与持续学习安全知识,用户可更有效地保障数字资产安全。
