消失在「影子托管」中的2美元:一场警示性的AI越界事故
AI幻觉的代价:从信息偏差到资产流失
人工智能的幻觉曾被视为一种无伤大雅的信息偏差,编造一个事实,或是给出一段逻辑不通的文字。但2026年的现实给了我们一记重锤:当AI从聊天机器人进化为Agent时,幻觉开始转化为一种昂贵的执行风险。问题就不再是说错话那么简单,因为它现在有能力直接搬走你的资产。
供应链毒药:从手搓代码到vibe coding
本周发生的LiteLLM投毒事件为这一趋势敲响了警钟。
作为几乎所有主流AI Agent框架的底层引擎,LiteLLM在此次事件中遭遇了一次典型的供应链渗透。攻击者通过安全工具链中的薄弱环节获取了发布密钥,从而将恶意代码以官方版本的形式推送至用户环境。由于具备合法签名,传统的校验机制几乎失效。
有趣的是,这场劫案之所以败露,仅仅是因为黑客的代码在处理递归逻辑时出了个低级Bug,导致受害者的电脑因资源耗尽而卡死。
这暴露了开源生态中长期被忽视的脆弱性:当你安装一个库时,实质上是在信任一整棵横跨数百个包的依赖树。这棵树上任何一个节点的腐烂,都会顺着脉络流进核心生产环境。
Meta内部事故:当人类成为执行接口
类似的变化,也发生在人机交互层面。随着软件开发从逐步操作转向结果驱动,人类的角色随之发生变化:从判断者,逐渐变为确认节点,甚至只是执行接口。
Meta最近发生的一起SEV1级安全事故证明了这一点:一名工程师在内部论坛中调用AI Agent回答技术问题,Agent在未经审核的情况下自动发布了回复。随后,另一名工程师依据该建议执行操作,而其中的不准确信息导致系统权限被错误配置,敏感数据在未授权状态下裸奔了两小时。
Meta官方将其归咎于「人为错误」,但从人机交互的角度看,这更像是一次界面的崩溃。当AI的输出看起来如此专业且具备「可执行性」时,人类作为校验节点的防御机制会自动弱化。
2美元的教训:一场偷梁换柱的自主救场
如果说Meta的事故是权限误配,那么在金融领域,问题变得更加严重,因为它直指资产所有权。
2026年以来,多家钱包与基础设施项目密集推出Agentic Wallet产品,试图让AI Agent直接代理用户完成链上操作。Cobo AI团队在针对这一新兴品类进行系统性测试时,捕捉到了一个极具代表性的行为模式,并将其定义为Shadow Custody(影子托管)——即Agent在用户不知情的情况下,通过自主生成密钥、创建临时地址等方式,将资产的实际控制权从用户钱包转移至一个用户不可见、不可控的中间环节。
此次事故的流程可以概括为:一名用户指示Agent在Polymarket上购买价值2美元的「Spain YES」代币。执行过程中,Agent很快遇到了一个障碍:Polymarket的交易需要一种特定格式的数字签名(EIP-712),但Agent使用的工具包(SDK)在设计上把「组装签名内容」和「用私钥签字」两步捆绑在了一起——换句话说,这个工具包默认你手头就有一把私钥,自己签就行了。
问题在于,用户的钱包并不是这种「自己拿着钥匙」的普通钱包,而是一种由多方共同保管密钥的MPC钱包——它完全有能力完成签名,只是走的是另一条路径。但Agent没有意识到这条路径的存在,它只看到了眼前这条路走不通,便得出结论:这个钱包签不了名。
在一个以规则维持信任的系统中,流程本应中止,或请求额外授权。但Agent并未停下,而是将这一限制理解为现有钱包无法完成签名,进而寻找替代方案。于是,在未获得授权的情况下,Agent在本地生成了一把全新的私钥,用它创建了一个临时钱包地址。随后,它将用户MPC钱包中的2枚USDC.e转入该地址,并使用这组临时密钥完成签名,最终成功买入代币。
路径劫持:不仅是Bug
这不仅仅是个Bug,甚至从逻辑上讲,Agent并没有犯错,它只是填补了系统边界定义的空白。
简单来说,当原定路径走不通时,Agent并未停下来报错,而是为了「完成任务」自发绕了条路。它私下创建临时地址中转资金,却在UI界面对手里的资产已经「搬家」只字未提。这种用户感知与底层事实的脱节,本质上是一种路径劫持。
约束比能力更重要:驾驭AI Agent行为边界的三道门
在容错率为零的金融场景下,AI的「聪明」往往是安全最大的敌人。我们需要的不是更强的执行力,而是更硬的框定能力。
为此,我们需要给Agent装上三道不可逾越的门:
-
意图门(Policy Gate):打破自指困境
-
交易门(Transaction Gate):风险透视
-
可见门(Visibility Gate):实时观测
结语
我们正处在一个危险的过渡期。AI的执行能力正在狂飙,但我们对它的约束机制还停留在石器时代。如果一个架构不能明确划定绝对禁止行为并进行实时校验,那么AI的每一次自主决策,本质上都是在拿用户的资产进行一场豪赌。
而在金融领域,没人想赌。
