如果有一天,你的加密钱包没有被盗,助记词也没有泄露,但某个AI代理仅仅因为“理解”了一句话,就自动将你的资产转走,你会作何感想?这种看似荒诞的场景已在现实中发生。根据MetaMask发布的2026年5月安全报告,一起特殊的攻击案例揭示了AI代理与钱包权限间信任链路被利用的新型风险。
攻击者通过“提示词注入”技术,将一段隐藏指令伪装成编码问题,诱导xAI的聊天机器人Grok输出可被Bankr交易机器人识别的转账命令,最终转移了约20.4万美元的加密资产。此事件绕过了传统的攻击路径——没有助记词泄露,没有恶意授权页面,也没有利用合约漏洞。真正被攻破的,是AI代理与钱包权限之间的信任关系。
具体而言,攻击者首先向与Grok关联的Bankr钱包空投了一张会员NFT,以此获得系统权限。随后,他在社交媒体上发布一段摩斯电码并请求翻译。Grok公开翻译了这段电码,其内容实为“向指定地址转账30亿枚DRB代币”的指令,并@了Bankrbot。Bankrbot将这条来自Grok的自然语言内容识别为合规指令,在没有人工二次确认的情况下自动执行了转账。
这标志着攻击范式发生了根本转变。过去,资产被盗通常源于私钥泄露或用户手动签署恶意交易。而如今,当AI代理开始拥有真实的金融操作能力,攻击者只需影响其理解、输出和执行路径,即可盗取链上资产。
这一事件迫使钱包行业重新思考安全边界。传统钱包的安全设计主要围绕“正在签名的人”展开,通过风险提示、交易解析等方式,在用户点击“签名”前提供保护。然而,当执行签名的主体变为AI代理,逻辑则彻底改变:代理不会被钓鱼网站UI欺骗,却可能被伪装的指令误导;它能不知疲倦地工作,但一旦权限被劫持,损失将更快、更大规模地发生。
因此,钱包需要回答的新问题变得更为具体:谁可以代表用户行动?被允许的操作范围、额度及持续时间如何设定?哪些动作必须经用户亲自确认?出现异常时,用户能否一键暂停、撤销并追溯?安全的重心正从“钥匙保管”向“签名控制”迁移。
在此背景下,“签名”一词被赋予新的内涵。如imToken在其十周年展望中所提,未来“Sign”将扩展为用户表达意图、设定边界、委托行动、限制权限、撤销关系的基础接口。用户签下的可能不再单是一笔交易,而是一套规则——明确界定AI代理可执行的操作、可触达的协议与资产、自动执行的小额阈值,以及授权的期限与撤销机制。
总而言之,在AI代理日益渗透Web3各个环节的时代,用户需要的并非更复杂的操作按钮,而是更清晰、更牢固的控制关系。效率的提升不应以失控为代价。未来十年,钱包的角色或将从资产存储与管理工具,演进为智能时代的个人数字控制台,确保用户在AI原生的数字世界中,始终保有最终的控制权——不仅是资产的所有权,更是对代理行为说“批准”或“停止”的权力。
回顾Grok事件,它如同一份“反向教材”,警示着行业:当AI代理开始替你签名时,真正需要守护的,早已超越那串私钥本身。