跳到主要内容

4500 万美元 AI 代理漏洞:永远改变 DeFi 安全的里程碑事件

· 阅读需 10 分钟
Dora Noda
Dora Noda
Software Engineer

2026 年初,当一个自主 AI 交易代理从 DeFi 协议中抽走 4500 万美元时,这次攻击并未利用任何一行智能合约代码。相反,攻击者污染了 AI 代理盲目信任的预言机数据源,将代理自身的速度和自主性转化为对抗其本应保护的协议的武器。欢迎来到这个加密领域最危险的漏洞不再存在于代码中,而是在于 AI 的时代。

自主代理的兴起及其盲点

到 2026 年第一季度,链上日活跃 AI 代理数量超过 25 万个,同比增长超过 400%。大约 68% 的新 DeFi 协议集成了用于交易、清算和收益优化的自主 AI 代理。全球 AI 代理市场预计将从 78.4 亿美元增长到 526.2 亿美元,而加密领域正处于采用的前沿。

但这种极速增长伴随着一个关键的忽视。传统的智能合约审计验证代码的正确性——它们检查函数是否按编写的方式执行。然而,它们无法审计位于已验证智能合约和 AI 推理之间的统计推理层。AI 代理不仅仅是遵循指令;它们解释数据,做出概率决策,并以人类无法企及的速度执行交易。那个解释层成为了无人看守的攻击面。

4500 万美元大劫案的深度解析

2026 年 4 月占据头条的新闻,其攻击目标出奇地简单:AI 代理用于价格发现的数据源。攻击者发现,几个著名的 AI 交易代理在摄取预言机价格数据时缺乏足够的质疑——将每个数据点都视为绝对真理。

攻击分为三个阶段:

  • 预言机污染:攻击者操纵低流动性交易对的价格馈送,制造出与实际市场状况偏离的人为价格信号。与针对智能合约逻辑的传统预言机攻击不同,这次攻击直接针对 AI 的决策管道。

  • 确定性利用:由于 AI 代理会以可预测的、基于模式的逻辑响应价格信号,攻击者可以准确预判代理对特定价格扭曲的反应。他们精心设计了旨在触发特定交易序列的输入——这是一种应用于金融基础设施的对抗性机器学习形式。

  • 级联执行:AI 代理的运行速度超过了人类交易员或熔断机制的干预速度。一旦第一个代理在受操纵的价格下执行交易,由此产生的链上状态变化就会触发下游代理做出反应,形成在几分钟内抽干多个资金池流动性的级联效应。

总损失:在任何人做出反应之前,超过 4500 万美元被提取。

并非孤立事件

这场 4500 万美元的漏洞利用虽然最引人注目,但绝非个案。2026 年上半年出现了一系列令人不安的 AI 特有安全失效模式:

  • Step Finance(2026 年 1 月):一次 AI 辅助的漏洞攻击从 Solana DeFi 投资组合管理器中抽走了约 4000 万美元。由于其协议在没有适当隔离的情况下允许了过高的权限,代理执行了超过 26.1 万枚 SOL 的未经授权转账。

  • Lobstar Wilde 代币抽干:一个 AI 交易代理因数量解析错误错误地转移了全部 5243 万枚 LOBSTAR 代币——这并非传统意义上的黑客攻击,而是 AI 执行层的灾难性失败。

  • Makina Finance(500 万美元,2026 年第一季度):攻击者串联了 Aave 闪电贷、Uniswap 交易、Curve 价格操纵和收益协议抽干——这是一个需要跨协议推理的多步骤利用,正是 AI 代理既能实现又极易受攻击的那种复杂攻击。

这些事件都有一个共同点:漏洞不在智能合约中。它存在于解释数据并做出决策的 AI 层中。

10:1 的攻防不对称性

也许最令人担忧的发现来自学术研究。伊利诺伊大学厄巴纳-香槟分校 2025 年的一篇论文确立了一个关键的经济门槛:当可提取价值达到约 6,000 美元时,AI 驱动的漏洞利用代理就开始盈利。与此同时,防御者需要投入约 60,000 美元才能在应对同类攻击时达到盈亏平衡。

这种偏向攻击者的 10:1 不对称性在 DeFi 安全领域是前所未有的。经济账是毁灭性的:

  • 在一项受控研究中,研究人员将 50 个先前被利用过的 DeFi 合约部署到测试网络中。在只提供合约地址和 ABI 而不提供漏洞提示的情况下,AI 代理独立发现了闪电贷攻击路径、重入链和预言机操纵序列,这些路径与原始的人类利用方式一致,有时甚至有所改进。

  • 针对 2,849 个最近部署的币安智能链(Binance Smart Chain)合约运行 AI 漏洞利用代理的成本仅为 3,476 美元。两个代理都独立发现了两个此前未知的零日漏洞。

  • 随着 AI 模型变得更廉价、更强大,合约部署与潜在被利用之间的窗口期正在缩减至零。

一种新型攻击面

使 AI 智能体漏洞与传统智能合约漏洞有着本质区别的是它们对传统安全方法的抵御能力:

不可审计的执行层:智能合约审计验证代码是否言行一致。但 AI 智能体的行为源自模型权重、训练数据和运行时上下文 —— 其中任何一项都无法像 Solidity 代码那样进行形式化验证。一个“安全”的智能体在面对训练期间从未遇到的对抗性输入时,可能会表现出不可预测的行为。

记忆中毒 (Memory Poisoning):与会话结束即停止的提示词注入攻击不同,记忆中毒会将恶意指令植入智能体的长期存储中。这些“潜伏智能体”可能会休眠数周,直到触发器 —— 特定的市场条件、日期或价格水平 —— 将其激活。在模拟环境中,单个受损智能体在四小时内毒害了 87% 的下游决策。

跨协议推理漏洞:最强大的 AI 能力也是其最大的弱点。如果一个智能体足够复杂,能够理解协议 A 的状态变化如何影响协议 B 的安全假设,那么了解同样跨协议动态的攻击者也可以利用这一点 —— 并精心设计输入来触发特定的多步骤攻击序列。

速度成为负担:AI 智能体的执行速度超过了人类监管或事件响应团队的反应速度。对于人类交易员来说,原本可以控制的错误,当 AI 智能体基于中毒输入每秒处理数百笔交易时,就会演变成级联式的协议崩溃。

保险缺口

安全危机暴露了 DeFi 风险基础设施中的一个关键缺口。现有的保险协议(如 Nexus Mutual 和 InsurAce)是为覆盖智能合约故障而构建的 —— 即确定性执行的代码漏洞。AI 智能体的决策错误完全超出了它们的承保模型。

这导致估计有 180 亿美元由 AI 管理的加密资产缺乏有效的损失保护。保险缺口不仅是一个覆盖范围问题,更是一个结构性问题。承保 AI 智能体风险需要评估智能体在对抗条件下的行为,而保险业 —— 无论是传统行业还是 DeFi 原生行业 —— 尚未开发出相应的定价模型。

OWASP 的回应:智能体 Top 10

安全社区并未坐以待毙。OWASP 在 2026 年发布了《智能体应用十大安全风险》(Top 10 for Agentic Applications),由 100 多位行业专家共同制定。该框架确定了十个专门针对自主 AI 系统的关键风险类别:

  1. 智能体目标劫持 (Agent Goal Hijacking) — 通过对抗性输入重定向智能体目标
  2. 工具滥用与非预期执行 (Tool Misuse and Unintended Execution) — 智能体以有害方式调用工具
  3. 身份与权限滥用 (Identity and Privilege Abuse) — 智能体在权限过大的情况下运行
  4. 防护栏缺失或薄弱 (Missing or Weak Guardrails) — 对智能体自主性的约束不足
  5. 敏感数据泄露 (Sensitive Data Disclosure) — 智能体泄露机密信息
  6. 数据中毒 (Data Poisoning) — 破坏训练或参考数据
  7. 资源耗尽 (Resource Exhaustion) — 智能体消耗过多的计算资源
  8. 供应链漏洞 (Supply Chain Vulnerabilities) — 智能体工具链中的依赖项受损
  9. 高级提示词注入 (Advanced Prompt Injection) — 对智能体推理过程的复杂攻击
  10. 过度依赖自主决策 (Over-Reliance on Autonomous Decision-Making) — 人类监督不足

该框架强调渐进式自主部署:先从限制范围的实现开始,再推进到更高水平的代理权限。OWASP 建议,实施过程中应将 80% 的精力集中在治理上 —— 数据工程、利益相关者协调和工作流集成 —— 而只有 20% 集中在技术上。

下一步:构建具有 AI 韧性的 DeFi

这起 4500 万美元的攻击事件及其后果为下一代 DeFi 安全提出了几项新兴要求:

  • 智能体执行审计:除了智能合约审计,协议还需要对 AI 智能体如何解释和响应对抗性输入进行正式评估。这需要新的审计方法,用于测试智能体在受操纵的市场条件下的行为。

  • 推理验证 (Inference Verification):对智能体推理过程进行链上验证,确保智能体用于做出交易决策的逻辑可以被独立验证 —— 而不仅仅是验证生成的交易格式正确。

  • 预言机冗余授权:智能体绝不应依赖单一的预言机源。具有异常检测功能的多预言机共识可以防止导致 4500 万美元攻击的那种单点数据源中毒。

  • 渐进式自主:遵循 OWASP 的指导,协议应实施分层自主。智能体在开始时仅拥有窄范围的授权和有限的交易额度,只有在证明其韧性后才能获得更广泛的权限。

  • AI 专属保险产品:市场需要能够承保 AI 智能体行为风险的保险工具 —— 这可能需要结合了对抗性测试结果的新精算模型。

这起 4500 万美元的攻击是一个警钟,但它揭示的结构性挑战比任何单一事件都更深远。随着 AI 智能体成为 DeFi 中的主导执行层,整个行业面临一个根本问题:安全框架的演进速度能否赶上它们所保护的自主系统?

答案将决定自主 AI 智能体是成为 DeFi 的最大资产,还是最危险的负债。

正在构建优先考虑安全性和可靠性的区块链基础设施? BlockEden.xyz 提供具有内置监控和异常检测功能的架构级 RPC 和 API 服务 —— 这是任何部署自主智能体的协议的关键基础。 探索我们的 API 市场,在为自主金融时代设计的底层设施上进行构建。

Share on Twitter