你的AI助手,可能正在被攻击
斯坦福、MIT、卡内基梅隆等顶尖学府联合NVIDIA做了一项大规模研究,评估了847个在生产环境运行的AI Agent。结果很扎心:91%存在工具链攻击漏洞,94%的记忆增强型智能体面临"投毒"风险。
这不是危言耸听。2026年初的OpenClaw事件就是活生生的例子——Moltbook平台数据库的一个漏洞,导致77万个运行中的AI Agent同时遭到攻陷。
每个Agent都持有对用户设备、电子邮件及文件的特权访问权限。想象一下,你让AI帮你处理邮件,结果邮件被人在后台截走了。
AI Agent为什么比LLM更脆弱
研究的核心发现:AI Agent面对的安全挑战,和单纯的语言模型完全不同。
语言模型的问题是"能不能让AI说不安全的内容"。AI Agent的问题是"能不能让AI做不安全的事"——包括具有现实效果的工具调用、影响未来行为的状态修改。
举个具体例子:一个Agent同时有文件读取(read_file)和HTTP请求(http_request)权限,每项工具单独看都合规,但组合起来就能实现数据窃取——读配置文件拿凭证,再通过HTTP请求发出去。
研究人员把这个问题叫做"组合安全"问题,也是当前所有主流架构最难解决的短板。
67%走15步就"跑偏"
研究还发现,67%的智能体在执行15步后出现目标漂移——也就是说,你让它做A,它做着做着就跑去干别的了。
84%无法跨会话维持安全策略,73%缺乏状态投毒检测机制。更难搞的是,记忆投毒的效果平均在初次注入后3.7个会话才显现,等到发现中招的时候,你都不知道是什么时候中的招。
企业该怎么办
研究团队给出了最低安全基线:
强制部署运行时监控;对涉及数据访问后对外通信的工具链操作设置人工审批门槛;每执行20-25步强制触发人工审查。
对个人用户来说,这意味着:AI Agent虽然越来越强,但目前阶段,别让它完全托管你的敏感操作。核心账户、涉及隐私的操作,还是自己盯着点。
感觉以后每个企业都需要专门的安全团队来审计AI Agent
所以让AI完全托管你的账号是有风险的,大家注意点
组合安全问题很关键,单个工具评估通过不代表组合起来没问题
77万个Agent同时被攻陷,这要是真的发生,得多恐怖