SlowMist 与 Bitget 联合撰写本报告，从安全研究与交易平台实践两个角度，对 AI Agent 在多个场景中的安全问题进行系统梳理。

撰文：SlowMist 与 Bitget

一、背景

随着大模型技术的快速发展，AI Agent 正在从简单的智能助手逐渐演变为能够自主执行任务的自动化系统。在 Web3 生态中，这一变化表现得尤为明显。越来越多的用户开始尝试让 AI Agent 参与行情分析、策略生成以及自动化交易，让「7×24 小时自动运行的交易助手」从概念逐渐走向现实。随着币安与 OKX 推出了多个 AI Skills、Bitget 推出了 Skills 资源站 Agent Hub 和免安装的龙虾 GetClaw，Agent 可以直接接入交易平台 API、链上数据以及市场分析工具，从而在一定程度上承担原本需要人工完成的交易决策与执行工作。

与传统的自动化脚本相比，AI Agent 具备更强的自主决策能力和更复杂的系统交互能力。它们可以接入行情数据、调用交易 API、管理账户资产，甚至通过插件或 Skill 扩展功能生态。这种能力的提升，极大降低了自动化交易的使用门槛，也让更多普通用户开始接触和使用自动化交易工具。

然而，能力的扩展也意味着攻击面的扩大。

在传统交易场景中，安全风险通常集中在账户凭证、API Key 泄露或钓鱼攻击等问题上。而在 AI Agent 架构中，新的风险正在出现。例如，提示词注入 (Prompt Injection) 可能影响 Agent 的决策逻辑，恶意插件或 Skill 可能成为新的供应链攻击入口，运行环境配置不当也可能导致敏感数据或 API 权限被滥用。一旦这些问题与自动化交易系统结合，潜在影响可能不仅限于信息泄露，还可能直接造成真实资产损失。

与此同时随着越来越多用户开始将 AI Agent 接入交易账户，攻击者也在快速适应这一变化。针对 Agent 用户的新型诈骗模式、恶意插件投毒以及 API Key 滥用等问题，正在逐渐成为新的安全威胁。在 Web3 场景中，资产操作往往具有高价值与不可逆性，一旦自动化系统被滥用或误导，风险影响也可能被进一步放大。

基于这些背景，SlowMist 与 Bitget 联合撰写本报告，从安全研究与交易平台实践两个角度，对 AI Agent 在多个场景中的安全问题进行系统梳理。希望本报告能够为用户、开发者以及平台提供一些安全参考，帮助推动 AI Agent 生态在安全与创新之间实现更加稳健的发展。

二、AI Agent 的真实安全威胁 ｜SlowMist

AI Agent 的出现，使软件系统从「人类主导操作」逐渐转向「模型参与决策与执行」。这种架构变化显著提升了自动化能力，但同时也扩大了攻击面。从当前的技术结构来看，一个典型的 AI Agent 系统通常包含用户交互层、应用逻辑层、模型层、工具调用层 (Tools / Skills)、记忆系统 (Memory) 以及底层执行环境等多个组件。攻击者往往不会只针对单一模块，而是尝试通过多层路径逐步影响 Agent 的行为控制权。

1. 输入操控与提示词注入攻击

在 AI Agent 架构中，用户输入和外部数据通常会被直接纳入模型上下文，这使得提示词注入 (Prompt Injection) 成为一种重要攻击方式。攻击者可以通过构造特定指令，诱导 Agent 执行原本不应触发的操作。例如，在某些案例中，仅通过聊天指令即可诱导 Agent 生成并执行高危系统命令。

更复杂的攻击方式是间接注入，即攻击者将恶意指令隐藏在网页内容、文档说明或代码注释中。当 Agent 在执行任务过程中读取这些内容时，可能会误将其视为合法指令。例如，在插件文档、README 文件或 Markdown 文件中嵌入恶意命令，就可能导致 Agent 在初始化环境或安装依赖时执行攻击代码。

这种攻击模式的特点在于，它往往不依赖传统漏洞，而是利用模型对上下文信息的信任机制来影响其行为逻辑。

2. Skills / 插件生态的供应链投毒

在当前的 AI Agent 生态中，插件与技能系统 (Skills / MCP / Tools) 是扩展 Agent 能力的重要方式。然而，这类插件生态也正在成为新的供应链攻击入口。

SlowMist 在对 OpenClaw 官方插件中心 ClawHub 的监测中发现，随着开发者数量的增长，一些恶意 Skill 已开始混入其中。SlowMist 对超过 400 个恶意 Skill 的 IOC 进行归并分析后发现，大量样本指向少量固定域名或同一 IP 下的多个随机路径，呈现出明显的资源复用特征，这更像是团伙化、批量化的攻击行为。

在 OpenClaw 的 Skill 体系中，核心文件通常为 SKILL.md。与传统代码不同，这类 Markdown 文件往往承担「安装说明」和「初始化入口」的角色，但在 Agent 生态中，它们往往会被用户直接复制并执行，从而形成一条完整的执行链。攻击者只需将恶意命令伪装为依赖安装步骤，例如使用 curl | bash 或 Base64 编码隐藏真实指令，即可诱导用户执行恶意脚本。

在实际样本中，一些 Skill 采用典型的「两阶段加载」策略：第一阶段脚本仅负责下载并执行第二阶段 Payload，从而降低静态检测的成功率。以一个下载量较高的 「X (Twitter) Trends」 Skill 为例，其 SKILL.md 中隐藏了一段 Base64 编码命令。

解码后可发现其本质是下载并执行远程脚本：

而第二阶段程序会伪装系统弹窗获取用户密码，并在系统临时目录中收集本机信息、桌面文档以及下载目录中的文件，最终打包并上传至攻击者控制的服务器。

这种攻击方式的核心优势在于，Skill 外壳本身可以保持相对稳定，而攻击者只需更换远程 Payload 即可持续更新攻击逻辑。

3. Agent 决策与任务编排层风险

在 AI Agent 的应用逻辑层中，任务通常会被模型拆解为多个执行步骤。如果攻击者能够影响这一拆解过程，就可能导致 Agent 在执行合法任务时产生异常行为。

例如，在涉及多步骤操作的业务流程中（如自动化部署或链上交易），攻击者可以通过篡改关键参数或干扰逻辑判断，使 Agent 在执行流程中替换目标地址或执行额外操作。

在 SlowMist 之前的安全审计案例中，曾通过向 MCP 返回恶意提示词污染上下文，从而诱导 Agent 调用钱包插件执行链上转账。

这类攻击的特点在于，错误并非来自模型生成代码，而是来自任务编排逻辑被篡改。

4. IDE / CLI 环境中的隐私与敏感信息泄露

在 AI Agent 被广泛用于开发辅助和自动化运维之后，大量 Agent 开始运行在 IDE、CLI 或本地开发环境中。这类环境通常包含大量敏感信息，例如 .env 配置文件、API Token、云服务凭证、私钥文件以及各类访问密钥。一旦 Agent 在任务执行过程中能够读取这些目录或索引项目文件，就可能在无意间将敏感信息纳入模型上下文。

在某些自动化开发流程中，Agent 可能会在调试、日志分析或依赖安装过程中读取项目目录下的配置文件。如果缺乏明确的忽略策略或访问控制，这些信息可能被记录到日志、发送到远程模型 API，甚至被恶意插件外发。

此外，一些开发工具会允许 Agent 自动扫描代码仓库以建立上下文记忆 (Memory)，这也可能扩大敏感数据暴露的范围。例如，私钥文件、助记词备份、数据库连接字符串或第三方 API Token 等，都可能在索引过程中被读取。

在 Web3 开发环境中，这一问题尤为突出，因为开发者往往会在本地环境中存放测试私钥、RPC Token 或部署脚本。一旦这些信息被恶意 Skill、插件或远程脚本获取，攻击者便可能进一步控制开发者账户或部署环境。

因此，在 AI Agent 与 IDE / CLI 集成的场景下，建立明确的敏感目录忽略策略（例如 .agentignore、.gitignore 类机制）以及权限隔离措施，是降低数据泄露风险的重要前提。

5. 模型层不确定性与自动化风险

AI 模型本身并不是完全确定性的系统，其输出存在一定概率的不稳定性。所谓「模型幻觉」，即模型在缺乏信息时生成看似合理但实际错误的结果。在传统应用场景中，这类错误通常只影响信息质量，但在 AI Agent 架构中，模型输出可能直接触发系统操作。

例如，在某些案例中，模型在部署项目时未查询真实参数，而是生成了一个错误 ID 并继续执行部署流程。如果类似情况发生在链上交易或资产操作场景中，错误决策可能导致不可逆的资金损失。

6. Web3 场景中的高价值操作风险

与传统软件系统不同，Web3 环境中的许多操作具有不可逆性。例如，链上转账、Token Swap、流动性添加以及智能合约调用，一旦交易被签名并广播到网络，通常难以撤销或回滚。因此，当 AI Agent 被用于执行链上操作时，其安全风险也被进一步放大。

在一些实验性项目中，开发者已经开始尝试让 Agent 直接参与链上交易策略执行，例如自动化套利、资金管理或 DeFi 操作。然而，如果 Agent 在任务拆解或参数生成过程中受到提示词注入、上下文污染或插件攻击的影响，就可能在交易过程中替换目标地址、修改交易金额或调用恶意合约。此外，一些 Agent 框架允许插件直接访问钱包 API 或签名接口。如果缺乏签名隔离或人工确认机制，攻击者甚至可能通过恶意 Skill 触发自动交易。

因此，在 Web3 场景中，将 AI Agent 与资产控制系统完全绑定是一个高风险设计。更安全的模式通常是让 Agent 仅负责生成交易建议或未签名交易数据，而实际签名过程由独立钱包或人工确认完成。同时，结合地址信誉检测、AML 风控以及交易模拟等机制，也可以在一定程度上降低自动化交易带来的风险。

7. 高权限执行带来的系统级风险

许多 AI Agent 在实际部署中拥有较高的系统权限，例如访问本地文件系统、执行 Shell 命令甚至以 Root 权限运行。一旦 Agent 的行为被操控，其影响范围可能远远超出单一应用。

SlowMist 曾测试将 OpenClaw 与即时通讯软件如 Telegram 绑定，实现远程控制。如果控制渠道被攻击者接管，Agent 便可能被用于执行任意系统命令、读取浏览器数据、访问本地文件甚至控制其他应用程序。结合插件生态与工具调用能力，这类 Agent 在某种程度上已经具备了「智能远控」的特征。

综合来看，AI Agent 的安全威胁已经不再局限于传统的软件漏洞，而是跨越了模型交互层、插件供应链、执行环境以及资产操作层等多个维度。攻击者既可以通过提示词操控 Agent 的行为，也可以通过恶意 Skills 或依赖包在供应链层植入后门，并进一步在高权限运行环境中扩大攻击影响。在 Web3 场景中，由于链上操作具有不可逆性且涉及真实资产价值，这些风险往往会被进一步放大。因此，在 AI Agent 的设计和使用过程中，仅依赖传统应用安全策略已经难以完全覆盖新的攻击面，需要在权限控制、供应链治理以及交易安全机制等方面建立更加系统化的安全防护体系。

三、AI Agent 交易安全实践｜Bitget

随着 AI Agent 能力不断增强，它们已经不再只是提供信息或辅助决策，而是开始直接参与系统操作，甚至执行链上交易。在加密交易场景中，这种变化尤为明显。越来越多用户开始尝试让 AI Agent 参与行情分析、策略执行以及自动化交易。当 Agent 可以直接调用交易接口、访问账户资产并自动下单时，其安全问题也从「系统安全风险」进一步转化为「真实资产风险」。当 AI Agent 被用于实际交易时，用户应该如何保护自己的账户与资金安全？

基于此，本小节由 Bitget 安全团队结合交易平台的实践经验，从账户安全、API 权限管理、资金隔离以及交易监控等多个角度，系统介绍在使用 AI Agent 进行自动化交易时需要重点关注的安全策略。

1. AI Agent 交易场景中的主要安全风险

2. 账户安全

AI Agent 出现后，攻击路径变了：

• 不需要登进你的账号——只需要拿到你的 API Key
• 不需要你发现——Agent 7×24 小时自动运行，异常操作可以持续数天
• 不需要提现——直接在平台内交易把资产亏光，同样是攻击目标

API Key 的创建、修改、删除都需要通过已登录的账号完成——账号被控意味着 Key 管理权被控。账号安全等级直接决定了 API Key 的安全上限。

你应该做的：

• 开启 Google Authenticator 作为主要 2FA，而非短信（SIM 卡可被劫持）
• 启用 Passkey 无密码登录：基于 FIDO2/WebAuthn 标准，公私钥加密替代传统密码，钓鱼攻击从架构层失效
• 设置防钓鱼码
• 定期检查设备管理中心，发现陌生设备立刻踢出并修改密码

3. API 安全

在 AI Agent 自动交易架构中，API Key 相当于 Agent 的「执行权限凭证」。Agent 本身并不直接持有账户控制权，它所有能够执行的操作，均取决于 API Key 被授予的权限范围。因此，API 权限边界既决定 Agent 能做什么，也决定在安全事件发生时损失可能扩大的程度。

权限配置矩阵——最小权限，不是方便权限：

在多数交易平台中，API Key 通常支持多种安全控制机制，这些机制如果合理使用，可以显著降低 API Key 被滥用的风险。常见的安全配置建议包括：

用户常犯的错误：

• 把主账号 API Key 直接粘贴进 Agent 配置——主账号全量权限完全暴露
• 业务类型点了「全选」图方便，实际上开放了所有操作范围
• 没设 Passphrase，或 Passphrase 与账号密码相同
• API Key 写死在代码里，推上 GitHub 后被爬虫 3 分钟内扫走
• 一个 Key 同时授权给多个 Agent 和工具，任何一个被入侵全面暴露
• Key 泄露后没有立即撤销，攻击者持续利用窗口期

Key 的生命周期管理：

• 每 90 天轮换一次 API Key，旧 Key 立即删除
• 停用 Agent 时立即删除对应 Key，不留残余攻击面
• 定期检查 API 调用记录，发现陌生 IP 或异常时间段立刻撤销

4. 资金安全

攻击者拿到 API Key 后能造成多大损失，取决于这个 Key 能动多少钱。因此，在设计 AI Agent 的交易架构时，除了账户安全和 API 权限控制之外，还应通过资金隔离机制，为潜在风险设置明确的损失上限。

子账号隔离机制：

• 创建 Agent 专用子账号，与主账号完全分离
• 主账号只划拨 Agent 实际需要的资金，不是全部资产
• 即便子账号 Key 被盗，攻击者能动的最大金额 = 子账号内的资金，主账号不受影响
• 多个 Agent 策略用多个子账号分别管理，互相隔离

资金密码作为第二道锁：

• 资金密码 (Fund Password) 与登录密码完全分离，即便账号被登录，没有资金密码仍无法发起提现
• 资金密码与登录密码设置为不同的密码
• 启用提币白名单：只有预先添加的地址才能提现，新地址需要 24 小时审核期
• 修改资金密码后系统自动冻结提现 24 小时——这是保护你的机制

5. 交易安全

在 AI Agent 自动交易场景中，安全问题往往不会表现为一次性的异常行为，而是可能在系统持续运行的过程中逐步发生。因此，除了账户安全与 API 权限控制之外，还需要建立持续的交易监控与异常检测机制，以便在问题出现的早期阶段及时发现并干预。

必须建立的监控体系：

异常信号识别——出现以下情况立刻停止并检查：

• Agent 长时间无操作，但账户出现新订单或仓位
• API 调用日志出现非 Agent 服务器 IP 的请求
• 收到从未设置过的交易对的成交通知
• 账户余额出现无法解释的变动
• Agent 反复提示「需要更多权限才能执行」——先搞清楚为什么，再决定是否授权

Skill 和工具来源管理：

• 仅安装官方发布且经过审核渠道提供的 Skill
• 避免安装来源不明或未经验证的第三方扩展
• 定期审查已安装的 Skill 列表，删除不再使用的
• 警惕社区「增强版」、「汉化版」 Skill——任何非官方版本都是风险

6. 数据安全

AI Agent 的决策依赖大量数据（账户信息、持仓、交易历史、行情、策略参数）。如果这些数据被泄露或篡改，攻击者可能推断你的策略甚至操控交易行为。

你应该做的

• 最小数据原则：只向 Agent 提供执行交易必需的数据
• 敏感数据脱敏：日志、调试信息不要让 Agent 输出完整账户信息、API Key 等敏感数据
• 禁止上传完整账户数据到公共 AI 模型（如公共 LLM API）
• 如果可能，分离策略数据与账户数据
• 关闭或限制 Agent 导出历史交易数据

用户常见错误

• 把完整交易历史上传给 AI 「帮我优化策略」
• Agent 日志中打印 API Key / Secret
• 在公开论坛贴出交易记录截图（包含订单 ID、账户信息）
• 把数据库备份上传到 AI 工具做分析

7. AI Agent 平台层的安全设计

除了用户侧的安全配置之外，AI Agent 交易生态的安全性还在很大程度上依赖于平台层的安全设计。一个成熟的 Agent 平台通常需要在账户隔离、API 权限控制、插件审核以及基础安全能力等方面建立系统化的防护机制，从而降低用户在接入自动化交易系统时面临的整体风险。

在实际平台架构中，常见的安全设计通常包括以下几个方面。

1、子账号隔离体系

在自动化交易环境中，平台通常会提供子账户或策略账户体系，用于隔离不同自动化系统的资金和权限。通过这种方式，用户可以为每个 Agent 或交易策略分配独立的账户与资金池，从而避免多个自动化系统共享同一账户带来的风险。

2、 细粒度 API 权限配置

AI Agent 的核心操作依赖于 API 接口，因此平台在 API 权限设计上通常需要支持细粒度控制，例如交易权限划分、IP 来源限制以及额外的安全验证机制。通过这种权限模型，用户可以仅向 Agent 授予完成任务所需的最小权限范围。

3、Agent 插件与 Skill 审核机制

一些平台会对插件或 Skill 的发布与上架过程设置审核机制，例如代码审核、权限评估以及安全测试等，以减少恶意组件进入生态系统的可能性。从安全角度来看，这类审核机制相当于在插件供应链上增加了一层平台级过滤，但用户仍然需要对所安装的扩展组件保持基本的安全意识。

4、平台基础安全能力

除了 Agent 相关的安全机制之外，交易平台本身的账户安全体系同样会对 Agent 用户产生重要影响。例如：

8. 专门针对 Agent 用户的新型骗局

假冒客服

「你的 API Key 存在安全风险，请立刻重新配置。」然后给你钓鱼链接。

→ 官方不会主动私信索要 API Key。

投毒 Skill 包

社区分享「增强版交易 Skill」，运行时静默发送你的 Key。

→ 只装官方审核渠道的 Skill。

假冒升级通知

「需要重新授权」，点进去是仿冒页面。

→ 检查邮件防钓鱼码。

提示词注入攻击

在市场数据、新闻、K 线注释中嵌入指令，操控 Agent 执行非预期操作。

→ 设置子账号资金上限，即便被注入，损失有硬性边界。

伪装成「安全检测工具」的恶意脚本

声称可以检测你的 Key 是否泄露，实际上在窃取 Key。

→ 通过官方平台提供的日志或访问记录功能检查 API 调用情况。

9. 排查路径

发现任何异常

    ↓

立即撤销或禁用可疑 API Key

    ↓

检查账户异常订单 / 仓位，能撤的立刻撤

    ↓

检查提现记录，确认资金是否已转出

    ↓

修改登录密码 + 资金密码，踢出所有已登录设备

    ↓

联系平台安全支持，提供异常时间段和操作记录

    ↓

排查 Key 泄露路径（代码库 / 配置文件 / Skill 日志）

核心原则：遇到任何怀疑，先撤 Key，后查原因，顺序不能反。

四、建议及总结

在本报告中，SlowMist 和 Bitget 结合实际案例与安全研究，对当前 AI Agent 在 Web3 场景中较为典型的安全问题进行了分析，包括 Prompt Injection 对 Agent 行为的操控风险、插件与 Skill 生态中的供应链风险、API Key 与账户权限滥用问题，以及自动化执行带来的误操作与权限扩大等潜在威胁。这些问题往往并非单一漏洞导致，而是 Agent 架构设计、权限控制策略以及运行环境安全共同作用的结果。

因此，在构建或使用 AI Agent 系统时，应从整体架构层面进行安全设计，例如遵循最小权限原则为 Agent 分配 API Key 和账户权限，避免开启不必要的高风险功能；在工具调用层面对插件与 Skill 进行权限隔离，避免单一组件同时具备数据获取、决策生成与资金操作能力；在 Agent 执行关键操作时设置明确的行为边界与参数限制，并在必要场景下增加人工确认机制，以降低自动化执行带来的不可逆风险。同时，对于 Agent 运行所依赖的外部输入，应通过合理的 Prompt 设计与输入隔离机制防范 Prompt Injection 攻击，避免将外部内容直接作为系统指令参与模型推理过程。在实际部署与运行阶段，还应加强 API Key 与账户安全管理，例如仅开启必要权限、设置 IP 白名单、定期轮换 Key，并避免在代码仓库、配置文件或日志系统中明文存储敏感信息；在开发流程与运行环境中，则应通过插件安全审查、日志敏感信息控制以及行为监控与审计机制等措施，降低配置泄露、供应链攻击及异常操作带来的风险。

在更宏观的安全架构层面，SlowMist 在相关研究中提出了一种面向 AI 与 Web3 智能体场景的多层安全治理思路，通过构建分层防护体系来系统性降低智能体在高权限环境中的风险。在该框架中，L1 安全治理首先以统一的开发与使用安全基线作为基础，通过建立覆盖开发工具、Agent 框架、插件生态以及运行环境的安全规范，为团队在引入 AI 工具链时提供统一的策略来源与审计标准。在此基础上，L2 通过对 Agent 权限边界的收敛、工具调用的最小权限控制以及关键行为的人机确认机制，可以有效约束高风险操作的执行范围。同时，L3 在外部交互入口层面引入实时威胁感知能力，对 URL、依赖仓库、插件来源等外部资源进行预检，以降低恶意内容或供应链投毒进入执行链路的概率；在涉及链上交易或资产操作的场景中，则通过 L4 链上风险分析与独立签名机制实现额外的安全隔离，使 Agent 能够构造交易但不直接接触私钥，从而减少高价值资产操作带来的系统性风险。最终，L5 通过持续巡检、日志审计以及周期性安全复核等运营机制，形成「执行前可预检、执行中可约束、执行后可复盘」的闭环安全能力。这种分层安全思路并非单一产品或工具，而是一种面向 AI 工具链与智能体生态的安全治理框架，其核心目标是在不显著降低开发效率和自动化能力的前提下，通过系统化策略、持续审计与安全能力联动，帮助团队建立可持续、可审计且可演进的 Agent 安全运营体系，从而更好地应对 AI 与 Web3 深度融合背景下不断变化的安全挑战。

总体而言，AI Agent 为 Web3 生态带来了更高程度的自动化与智能化能力，但其安全挑战同样不容忽视。只有在系统设计、权限管理与运行监控等多个层面建立完善的安全机制，才能在推动 AI Agent 技术创新的同时，有效降低潜在风险。希望本报告能够为开发者、平台及用户在构建和使用 AI Agent 系统时提供参考，在促进技术发展的同时，共同推动更加安全、可靠的 Web3 生态环境的形成。