Google Cloud 的 MCP Web3 安全框架:如何防止 AI 代理掏空你的钱包
自主交易代币、平衡 DeFi 仓位并支付自身计算费用的 AI 代理听起来极具革命性——直到其中一个被提示词注入(prompt-injected),将你的毕生积蓄发送给攻击者。Google Cloud 最新发布的 MCP Web3 安全框架正致力于解决这一噩梦,它为与区块链交互的 Model Context Protocol(模型上下文协议)代理设定了企业级安全蓝图。
以下是该框架的建议、其重要性,以及它与 Coinbase、Ledger 和新兴的 x402 支付标准等竞争方案的对比。
问题所在:拥有钱包的 AI 代理是上了膛的枪
自主 AI 与区块链的融合创造了独特的威胁面。与执行确定性代码的传统软件不同,大语言模型是概率性的——它们可能在会话中被欺骗、迷惑或劫持。当这些模型持有私钥或拥有链上资金的签名权时,风险便从“错误答案”升级为“不可逆转的经济损失”。
数据强调了紧迫性。Anthropic 的红队测试发现,AI 代理成功利用了 405 个测试智能合约中的 207 个,在模拟资金中窃取了 5.5 亿美元。更令人担忧的是,AI 驱动的区块链漏洞利用在短短一年内从 2% 跃升至所有漏洞利用的近 56%。同时,提示词注入——攻击者将恶意指令嵌入看似无害的数据中——仍然是拥有钱包访问权限的代理的首要攻击向量,能够指示代理将资金转入攻击者控制的地址。
Google Cloud 框架的发布正值行业迫切需要“护栏”之际。随着 AI 代理市场预计将突破 520 亿美元,且数百个支持 MCP 的区块链工具已经面世,能力与安全性之间的差距已变得极其危险。
托管 vs. 非托管:两种架构,两种风险概况
Google 框架的核心是对代理与区块链交互的两种主导模式进行的清醒分析。
托管代理直接控制私钥。代理(或其托管平台)持有资金并可以自主签名交易。这实现了全自动运行——代理可以在凌晨 3 点在没有人工批准的情况下重新平衡 DeFi 投资组合。但代价是巨大的:如果代理的宿主被攻破,每个委托钱包都会成为目标。托管模式将风险集中在平台层,使其成为攻击者眼中的诱人“蜜罐”。
非托管代理构建交易但无法对其签名。代理准备一个未签名的交易,并将其返回给用户(或硬件钱包)进行最终批准。Google 的框架提出了一个尖锐的观察:如果一个 MCP 服务器已经能够使用它持有的密钥准备并签署交易,那么它应该能够在没有最终签名步骤的情况下执行相同的逻辑。这种“细微的改变解锁了一个更安全、更灵活的范式”——代理保留其分析和战略能力,而用户保留对资金流动的最终控制权。
Google 的建议很明确:尽可能默认采用非托管模式,并在真正需要托管访问时分层增加额外的安全控制措施(TEE 隔离、支出限制、交易模拟)。
安全栈:链上代理的深度防御
Google 并没有提出单一的“银弹”方案,而是概述了一个分层安全架构,其中多个独立的控制措施各自补偿其他措施的盲点。
用于密钥管理的 TEE 隔离
可信执行环境(TEEs)——如 Intel SGX 或 AMD SEV 等硬件飞地——提供了一个物理隔离的空间,私钥可以在其中存在,而不会暴露给代理的提示词、LLM 的上下文窗口,甚至宿主操作系统。正如一位安全研究人员所说,“你无法修补物理规律,也无法对芯片进行社交工程攻击。” TEE 隔离确保即使代理被完全攻破,也无法提取签名密钥,因为密钥从未离开硬件飞地。
MoonPay 最近在其 AI 代理平台中集成了 Ledger 硬件签名,也遵循同样的原则:每笔由 AI 发起��的交易都需要物理硬件确认,使私钥与代理的决策层永久分离。
执行前的交易模拟
在任何交易进入区块链之前,框架建议通过模拟环境运行它。这可以捕捉到一类攻击:交易对代理来说看起来是合法的,但会产生意想不到的结果——耗尽流动性池、触发闪电贷漏洞,或与伪装成合法协议的恶意合约交互。
交易模拟还可以作为针对代理自身错误的“健全性检查”。LLM 可能会产生幻觉参数、误解代币小数位,或构建技术上有效但在经济上具有灾难性的交易。模拟层在这些错误于链上变得不可逆转之前将其拦截。
速率限制与支出上限
即使有 TEE 隔离和仿真,Google 仍倡导采用硬编码的财务护栏。会话级支出上限限制了代理在单个会话中可以交易的金额。单笔交易限制防止任何单一操作超过定义的阈值。高价值交易之间的冷却期增加了一个时间缓冲。
这就是 ClawPay MCP 和 Coinbase 的 Agentic Wallets 已经将类似思路投入运营的地方。ClawPay 封装了 Agent Wallet SDK,并内置了支出限制强制执行 —— 超出限制的交易会自动排队等待人工批准,而不是被直接拒绝。Coinbase 的 Agentic Wallets 配备了可编程的会话上限、交易限制以及符合合规要求的 KYT(了解你的交易)筛选,在执行前拦截高风险交互。
基于指令的审计追踪
Google 的代理支付协议 (AP2) 引入了 “Mandates”(指令)—— 这是经过密码学签名、防篡改的数字合约,用于证明用户的指示。每笔交易都带有不可否认的审计追踪,可将其溯源至原始的用户意图。这不仅仅是安全表象,更是机构采纳的合规要求,监管机构要求证明自主代理在其授权范围内行事。
更广泛的生态系统:Google 的框架如何融入其中
Google 的框架并非孤立存在。它与几种竞争且互补的方法共同出现,共同定义了 2026 年代理金融的安全格局。
Coinbase Agentic Wallets 和 x402
Coinbase 的 Agentic Wallets 代表了光谱中的托管端,专为完全自主而打造。它们使用飞地 (Enclave) 隔离将私钥保存在安全的 Coinbase 基础设施中,绝不会暴露给代理的提示词或 LLM。结合现在管理着超过 5000 万笔交易的 x402 协议,它们使代理能够使用 USDC 等稳定币自主支付 API 访问、计算和数据费用。
x402 基金会由 Coinbase 和 Cloudflare 合作推出,管理着具有多链支持和代币无关设计的开放规范。其 HTTP 402 “Payment Required” 机制允许任何 API 端点在提供响应前请求付款,为代理互联网创建了一个原生支付层。
Ledger 硬件签名
MoonPay 的 Ledger 集成代表了极致的非托管方法。AI 代理发起的每笔交易都必须在 Ledger 设备上进行物理确认。这彻底消除了提示注入导致资金被盗的可能性 —— 攻击者既需要对代理的数字访问权限,也需要对硬件钱包的物理访问权限。权衡之处在于延迟和失去了完全的自主性,使其最适合安全性高于速度的高价值操作。
学术视角
2026 年 1 月一篇关于 “区块链上的自主代理” 的论文正式确定了 Google 框架所实施的信任边界。研究发现,在联网的代理系统中,单个受损的代理可以在四小时内破坏下游 87% 的决策 —— 这验证了 Google 对每一层隔离和独立验证的强调。
对开发者的意义
对于构建与区块链交互的 AI 代理的开发者,Google 的框架提供了一个实用的决策树。
-
低价值、高频率操作(微支付、API 访问、数据检索):使用带有支出上限的托管钱包,并使用 x402 进行��支付。每笔交易的风险较小,完全自主的速度优势证明了托管模式的合理性。
-
中等价值的 DeFi 操作(流动性挖矿、投资组合再平衡):使用带有交易仿真的 TEE 隔离密钥管理。代理在定义的参数内自主运行,但每笔交易在执行前都会经过验证。
-
高价值或不可逆的操作(大额转账、治理投票、合约部署):使用带有硬件签名的非托管架构。代理负责构思和建议;人类(或硬件设备)负责批准。
-
多代理系统:实施基于指令的审计追踪,并隔离每个代理的授权范围。切勿让单个代理的受损连锁反应波及整个网络。
该框架还强调了不该做的事情:切勿在 LLM 的上下文窗口中暴露私钥,切勿在没有仿真的情况下信任代理构建的交易,也切勿在没有速率限制的情况下部署托管代理 —— 无论底层模型声称有多 “安全”。
前行之路
保障 AI 与区块链交互安全的竞赛才刚刚开始。Google 的 MCP Web3 安全框架是迄今为止发布的最全面的企业蓝图,但威胁态势的发展速度超过了任何单一文档所能涵盖的范围。随着 AI 代理变得越来越强大、越来越自主,安全基础设施必须同步扩展。
行业正趋向于几个关键原则:决策权与签名权分离、硬件支持的密钥隔离、强制性的交易仿真以及密码学审计追踪。无论你是在 Google Cloud、Coinbase 的基础设施上构建,还是构建自己的代理栈,这些原则都是不可逾越的底线。
代理时代即将来临。问题在于,我们是在第一起九位数的自主代理漏洞事件见报之前,还是之后建立起这些护栏。
正在构建与区块链交互的 AI 代理? BlockEden.xyz 在 Sui、Aptos、Ethereum 等 20 多条链上提供企业级 RPC 和 API 基础设施 —— 这是你的代理进行交易仿真、链上查询和实时区块链状态所需的可靠数据层。探索我们的 API 市场,在专为自主运行设计的基础设施上驱动你的代理应用。