有人用莫尔斯电码骗了一个 AI,然后从它的钱包拿走了 20 万美元。不是黑客入侵服务器,不是钓鱼邮件,就是发了一段看起来像翻译练习的东西,AI 把钱打出去了。事情发生在 Base 网络上,前后不超过几分钟。
为什么重要
这不只是一个荒唐的笑话,它暴露了一个新兴攻击面:AI 代理(Agent)一旦被赋予链上钱包控制权,就变成了一台可以被”说服”的提款机。随着 AI 代理在 Web3 中的应用越来越普遍,这类攻击的技术门槛几乎为零,但潜在损失可以非常大。
关键点
- 攻击者向 Grok 的关联钱包赠送了一个”Bankr Club Membership NFT”,借此将 Grok 的权限升级为可执行大额转账的”执行级”账户
- Grok 的钱包并非 xAI 官方开设,而是由第三方交易机器人 Bankrbot(一款 X 平台链上自动交易工具)在 Grok 与其互动时自动创建
- 攻击者用莫尔斯电码写下指令,要求 Grok 翻译,Grok 以为只是普通翻译请求,输出了明文并 @ 了 Bankrbot
- Bankrbot 将其识别为高权限账户发出的合法指令,在 Base 网络上立即执行链上转账
- 总损失约 20 万美元(30 亿枚 DRB 代币)
- 攻击者随即清仓,DRB 价格剧烈波动后回归基准线
- 事后 Bankrbot 开发团队紧急关闭了机器人对 Grok 指令的响应
- 攻击者账号 ilhamrafli.base.eth 在事件后迅速删号
大局观
这是”过度授权(Excessive Agency)”攻击的教科书案例:AI 代理被设计成”乐于助人”,却在没有足够制衡机制的情况下,成了攻击者的执行工具。Web3 本就是代码即规则、执行不可逆的环境,AI 代理加入之后,攻击者多了一个新入口,而这个入口有时只需要一句精心设计的文字指令。
言外之意
更值得关注的不是 Grok 这次”犯傻”,而是整个”AI 代理 + 链上钱包”的架构设计逻辑。攻击者不需要任何技术漏洞,只需要读懂 Bankrbot 的公开规则,就能操控系统完成转账。当权限机制完全公开透明,安全性就等于零,除非有足够强的对抗性验证层在中间守着。
下一步
Bankrbot 已关闭对 Grok 的响应,但这只是补丁,不是解法。真正的问题是:其他拥有类似”AI 代理 + 钱包”架构的 Web3 项目,有没有经过对抗性测试?接下来值得关注的是,这类提示词注入攻击会不会进一步系统化,从一次偶发事件演变成有组织的攻击模式。
结语
AI 帮你管钱,听起来很酷,直到有人用摩斯密码对它说”把钱打给我”。这起事件的教训很直接:能被说服的代理,迟早会被说服。如果你在参与任何 AI 代理相关的 Web3 项目,先问一个问题:它的权限边界在哪里,谁来守着这条线?