网络安全威胁和防御
查看所有标签
旧金山的一位联邦法官刚刚划定了一条界线,每位构建 AI 代理的开发者都必须理解这一点。2026 年 3 月 9 日,Maxine M. Chesney 法官裁定,Perplexity 的 Comet 浏览器通过代表用户访问亚马逊账户,违反了联邦《计算机欺诈与滥用法案》(CFAA)和加利福尼亚州《综合计算机数据访问与欺诈法案》—— 尽管这些用户明确授予了许可。关键的区别在于:用户授权并不等同于平台授权。
这一裁决不仅影响 Perplexity。它可能会使数百家初创公司、加密协议和 Web3 项目目前正在构建的一整类 AI 代理行为被定性为犯罪。
加密货币历史上最昂贵的代码行并不是一个漏洞,而是一个钓鱼链接。
2025 年 2 月,Safe{Wallet} 的一名开发人员点击了一条看似常规的消息。几小时内,北朝鲜特工就劫持了 AWS 会话令牌(session tokens),绕过了多重身份验证(MFA),并从 Bybit 盗取了 15 亿美元 —— 这是加密货币历史上最大的一桩窃案。没有智能合约漏洞被利用,没有链上逻辑失效。代码没问题,出问题的是人。
TRM Labs 的《2026 年加密货币犯罪报告》证实了这次劫持所预示的趋势:智能合约漏洞利用作为加密货币主要威胁向量的时代已经结束。对手已经“向技术栈上层”转移,放弃了寻找新颖的代码漏洞,转而攻击围绕在安全协议周围的操作基础设施 —— 包括私钥、钱包、签名机和云控制平面。
GitHub 历史上增长最快的仓库刚刚暴露了分布在 82 个国家的超过 135,000 个脆弱的 AI 智能体——而加密货币用户是主要目标。欢迎来到 OpenClaw 安全危机。在这里,争相部署 AI 网关的中国科技巨头与一场大规模的供应链攻击正面碰撞,这场攻击正在改写区块链安全的规则。
在 2026 年 1 月下旬,OpenClaw 实现了前所未有的成就:它在 单日内获得了超过 20,000 个 GitHub 星标,成为该平台历史上增长最快的开源项目。到 2026 年 3 月,这款 AI 助手已经积累了超过 250,000 个星标,全球科技爱好者纷纷争相安装这款看似代表个人 AI 未来的工具。
与基于云的 AI 助手不同,OpenClaw 完全在你的计算机上运行,拥有访问你的文件、电子邮件和应用程序的完整权限。你可以通过 WhatsApp、Telegram 或 Discord 向它发送消息,它会 24/7 全天候运行——执行 Shell 命令、浏览网页、发送电子邮件、管理日历,并跨越你的数字生活采取行动——所有这些都只需通过手机发送一条简单的消息即可触发。
这个卖点令人无法抗拒:你自己的个人 AI 智能体,在本地运行,随时待命,功能无限。但事实证明,现实要危险得多。
到 2026 年 2 月,安全研究人员发现了一个令人心惊的事实:全球 82 个国家有超过 135,000 个 OpenClaw 实例暴露在公网上,其中超过 50,000 个容易受到远程代码执行攻击。原因何在?OpenClaw 默认配置中存在一个根本性的安全漏洞。
OpenClaw 默认绑定到 0.0.0.0:18789,这意味着它监听 包括公网在内的所有网络接口,而不是按照安全最佳实践要求仅监听 127.0.0.1(仅限本地主机)。从背景来看,这相当于敞开大门并挂上“请随意进入”的牌子——只不过这扇门通向的是你的整个数字生活。
“ClawJacked”漏洞使情况变得更糟。攻击者只需诱导你访问一个恶意网站,就能劫持你的 AI 助手。一旦被攻破,攻击者将获得与 AI 智能体本身同等级别的访问权限:你的文件、凭据、浏览器数据,以及没错——你的加密货币钱包。
安全公司竞相了解其影响范围。卡巴斯基(Kaspersky)、Bitsight 和 Oasis Security 都发布了紧急警告。共识非常明确:OpenClaw 代表了一场“安全噩梦”,涉及关键的远程代码执行漏洞、架构缺陷,以及——最令人震惊的——其插件市场中大规模的供应链投毒活动。
在研究人员关注 OpenClaw 核心漏洞的同时,一个更隐蔽的威胁正在 ClawHub 中展开——这是一个旨在让用户轻松查找并安装 AI 智能体第三方“技能”(插件)的市场。
2026 年 2 月,代号为 ClawHavoc 的安全研究发现,在 ClawHub 审计的 2,857 个技能中,有 341 个是恶意的。到 2 月中旬,随着市场规模增长到 10,700 多个技能,恶意技能的数量增加了一倍多,达到 824 个——根据某些报告,恶意技能的数量甚至高达 1,184 个。
攻击机制极其巧妙:
主要目标是谁?加密货币用户。
该恶意软件旨在窃取:
在这些恶意技能中,有 111 个是明确针对加密货币的工具,包括 Solana 钱包集成和加密货币追踪器。攻击者明白,习惯于安装浏览器扩展和钱包工具的加密货币用户,将是 AI 智能体供应链攻击中最具价值的目标。
就在安全研究人员发布警告时,中国科技巨头们看到了机遇。2026 年 3 月初,腾讯、阿里巴巴、字节跳动、京东和百度 都推出了竞争性的 免费 OpenClaw 安装活动,将通常需要数月的竞争博弈压缩到了短短几天内。
策略很明确:利用免费部署作为获客手段,在商业 AI 项目规模化之前锁定用户。每家巨头都在争夺成为“下一代 AI 开发者的首个基础设施触点”:
讽刺意味十分浓厚:正当安全研究人员警告 135,000 个暴露实例和大规模供应链攻击时,中国最大的科技公司却在积极向数百万用户推广大规模安装。技术热忱与安全现实之间的碰撞从未如此显眼。
OpenClaw 危机暴露了一个 Web3 构建者再也无法忽视的深层问题:AI 代理正越来越多地管理链上资产,而其安全模型却极其不成熟。
模型上下文协议(MCP)——连接 AI 代理与外部系统的新兴标准——正在成为 AI 与区块链交互的门户。MCP 服务器充当整个 Web3 栈的统一 API 网关,使 AI 代理能够读取区块链数据、准备交易并执行链上操作。
目前,大多数加密货币 MCP 服务器需要配置 私钥,这造成了单点故障。如果 AI 代理受到损害——正如成千上万个 OpenClaw 实例那样——攻击者就能直接获取资金。
两种竞争性的安全模型正在浮现:
AI 代理准备交易,但用户保留对签名的唯一控制权。私钥 从未离开用户的设备。这是最安全的方法,但限制了代理的自主性。
代理拥有自己的密钥,并获得代表用户消费的额度。私钥由代理主机安全管理,且支出设有上限。这实现了自主运行,但需要信任主机的安全性。
这�两种模型目前都尚未被广泛采用。大多数加密 MCP 实现仍在使用危险的“给代理私钥”的方法——这正是 ClawHavoc 攻击者所期待的场景。
根据 2026 年的预测,60% 的加密钱包将使用代理式 AI 来管理投资组合、跟踪交易并提高安全性。业界正在实施多方计算(MPC)、账户抽象、生物识别身份验证和加密本地存储来保护这些交互。诸如 ERC-8004(由以太坊基金会、MetaMask 和 Google 共同主导)等标准正试图为链上 AI 代理创建可验证的身份和信用历史。
但 OpenClaw 证明了这些保护措施尚未到位——而攻击者已经开始利用这一空白。
随着 OpenClaw 安全危机的发酵,NVIDIA 看到了一次契机。在 3 月中旬的 GTC 2026 上,该公司宣布了 NemoClaw,这是一个专为 企业自动化 设计的开源 AI 代理平台,从底层构建了安全和隐私机制。
与 OpenClaw 优先考虑消费者、随处安装的方法不同,NemoClaw 针对企业的特点包括:
这个时机极具战略意义。当 OpenClaw 的“龙虾热”(Lobster Fever)暴露了以消费者为中心的 AI 代理的危险时,NVIDIA 将 NemoClaw 定位为安全的、企业级的替代方案——这可能会在企业 AI 代理市场挑战 OpenAI。
对于构建 AI 集成基础设施的 Web3 公司而言,NemoClaw 代表了解决 OpenClaw 所暴露安全问题的一个潜在方案:专业管理、经过审计且安全的 AI 代理部署,可以安全地与高价值区块链资产进行交互。
OpenClaw 危机不仅是一个 AI 安全故事,它还是一个 区块链基础设施故事。
考虑以下影响:
这是 Web3 的“供应链安全时刻”——堪比传统金融中的 2020 年 SolarWinds 攻击或加密领域 2016 年的 DAO 黑客事件。它揭示了一个基本事实:随着区块链基础设施变得更加强大和自动化,攻击面也随之呈指数级扩大。
行业的反应将决定 AI 代理是成为 Web3 功能的安全门户,还是该领域见过的最大漏洞。在委托签名模型、代理额度、MPC 方案和账户抽象之间的选择不仅是技术性的——更是关乎生存的。
如果你正在 Web3 中构建并集成 AI 代理(或计划这样做),这里有一份清单:
127.0.0.1)OpenClaw 危机教给我们:默认安全比功能更重要。部署 AI 代理的竞赛不能超过保护其安全的竞赛。
正在构建连接到 AI 代理的区块链基础设施?BlockEden.xyz 为 40 多个区块链提供企业级 API 基础设施,其安全优先的架构专为高风险集成而设计。探索我们的服务,在经得起考验的基础上进行构建。
数据来源:
2025 年 2 月 21 日,朝鲜的 Lazarus Group 制造了历史上最大规模的加密货币盗窃案——通过单笔交易从 Bybit 的冷钱包中窃取了价值 15 亿美元的以太坊。一年后,数据揭示了一个令人清醒的事实:虽然区块链分析公司最初追踪到了 88.87% 的被盗资金,但仅有 3.54% 被冻结。其余资金仍存放在数千个钱包中,静静等待。
这不仅仅是一个抢劫故事。这是一个关于国家级黑客行动如何击溃整个行业安全基础设施的案例研究,以及加密货币领域在过去 12 个月里学到了什么——以及未能学到什么。
只需每个合约 1.22 美元,AI 代理现在就可以扫描智能合约中的可利用漏洞——且攻击性的漏洞利用能力每 1.3 个月就会翻倍。欢迎来到去中心化金融中最具影响力的军备竞赛。
2026 年 2 月,OpenAI 和 Paradigm 联合推出了 EVMbench,这是一个开源基准测试,用于评估 AI 代理在检测、修复和利用智能合约漏洞方面的有效性。结果令人警醒。GPT-5.3-Codex 成功利用了 72.2% 的已知漏洞合约,而六个月前这一比例仅为 31.9%。同时,一个专用的 AI 安全代理在 90 个被利用的 DeFi 合约(总价值 9680 万美元)中检测到了 92% 的漏洞——几乎是基准 GPT-5.1 编码代理 34% 检测率的三倍。
其中的含义显而易见:DeFi 安全的战斗已演变为一场 AI 对阵 AI 的竞赛,而且就目前而言,经济效益压倒性地倾向于攻击者。
一位 Polygon 联合创始人发现有陌生人询问他是否真的在和他们进行 Zoom 通话。一位 BTC Prague 的组织者看着屏幕上出现的一个令人信服的、由 AI 生成的知名加密货币 CEO 副本,随后被要求运行一个“快速音频修复”。一位 AI 初创公司创始人通过坚持使用 Google Meet 避免了感染——攻击者随后消失了。这些并非赛博朋克惊悚片中的场景。它们发生在 2026 年初,并且都有一个共同点:朝鲜迅速演变的深度伪造(Deepfake)社会工程机器。
大约 626 万枚比特币——价值在 6500 亿至 7500 亿美元之间——存储在易受量子攻击的地址中。虽然大多数专家认为,具有密码学意义的量子计算机还需要数年时间才能实现,但保护这些资产所需的基础设施无法在一夜之间建成。一项协议声称它已经有了答案,而美国证券交易委员会(SEC)也表示认同。
Naoris Protocol 成为首个被美国监管文件引用的去中心化安全协议,当时 SEC 的后量子金融基础设施框架(PQFIF)将其指定为量子安全区块链基础设施的参考模型。随着主网将在 2026 年第一季度末之前上线,测试网已处理了 1.04 亿次后量子交易,且合作伙伴涵盖了与北约(NATO)结盟的机构,Naoris 代表了一场激进的赌注:去中心化物理基础设施网络(DePIN)的下一个前沿不是计算或存储,而是网络安全本身。
你的冷钱包并不像你想象的那么安全。在 2025 年,针对私钥、钱包系统以及管理这些系统的人员的基础设施攻击占所有被盗加密货币的 76%,在仅 45 起事件中总计损失达 22 亿美元。朝鲜国家支持的黑客组织 Lazarus Group 完善了一套让传统冷存储安全几乎失去意义的策略:针对人而非代码的为期数月的渗透活动。
当 Safe{Wallet} 开发人员 "Developer1" 在 2025 年 2 月 4 日收到一份看似常规的请求时,他们根本没有想到自己的 Apple MacBook 会成为历史上最大规模加密货币劫案的切入点。在 17 天内,朝鲜的 Lazarus Group 利用这台被入侵的笔记本电脑从 Bybit 窃取了 15 亿美元 —— 这超过了一些国家的整个国内生产总值(GDP)。
这并非偶然。这是长达十年的进化的顶点,它将一群受国家资助的黑客转变为世界上最先进的加密货币窃贼,负责了至少 67.5 亿美元的累计盗窃案。