OpenClaw AI机器人因记忆丢失漏洞遭诈骗，损失超5.6万美元加密货币

OpenClaw 是当前备受关注的开源 人工智能 代理项目，它允许开发者创建由大型语言模型驱动的 自主运行 机器人。这类代理能够接管社交媒体账号、执行交易等多种自动化操作。然而，赋予其的权限越高，潜在的运行风险和安全漏洞也越显著。近期，一起发生在社交平台 X（原 Twitter）上的真实事件，为 AI 代理的安全性敲响了警钟。

事件概述：一场针对AI的“乞讨”诈骗

事件的核心是一个由 OpenClaw AI 完全自主控制的推特账号 @LobstarWilde。该账号的创建者 Nik Pash（同时是 OpenAI 员工）为其配置了真实的 Solana 区块链钱包、交易 API 以及初始运营资金，旨在探索 AI 在加密领域的自主行为。

一名用户（@TreasureD76）在该机器人账号下留言，声称自己的叔叔被龙虾咬伤，急需 4 个 SOL（约合 320 美元）来支付破伤风疫苗费用。这本是一次看似寻常的网络“乞讨”，但@LobstarWilde 作为 AI 代理，在经过自主判断后，竟然决定向该用户提供“帮助”。

然而，这次“善意”的转账行为演变成了一场灾难。AI 并未转出约定的 4 个 SOL，而是错误地将钱包中持有的 52,439,283.9666484 枚 LOBSTAR 代币全部转出。诈骗者收到这笔巨额转账后，立即在市场上全部抛售，导致代币价格暴跌。尽管由于砸盘效应，诈骗者最终实际获利“仅为”超过 5.6 万美元，但这笔转账当时的账面价值高达约 45 万美元。

以下是此次诈骗交易的链上关键数据概览，基于事件相关的区块链浏览器页面信息整理：

• 交易结果：SUCCESS（已最终确认）
• 转出地址：83XBMJZEpQ13ZPFTaLr1k1nKUDHvmWpZRMMN7AL7BXxnS（机器人控制的钱包）
• 转入地址：EpTPPrNtbA3PSrLNGnJd1RAv3kNnL6（诈骗者钱包）
• 转账代币与数量：52,439,283.9666484 枚 LOBSTAR 代币
• 转账时价值：约 565,761.96 美元
• 交易费用：0.000005 SOL（约 0.000391 美元）
• 计算单位消耗：18,951
• 交易版本：Legacy（传统模式）

技术复盘：记忆丢失是“罪魁祸首”

事件发生后，Nik Pash 对事故进行了详细的技术复盘。根本原因并非外界猜测的“提示词注入”攻击，而是 OpenClaw 框架自身的一个已知问题：上下文窗口溢出导致记忆丢失。

具体的事故链如下：

1. 决策形成：AI 机器人在正常的自主运行中，收到了用户的乞讨信息，并基于其训练和预设的目标，做出了“帮助对方——转账”的决定。
2. 工具调用崩溃：在执行决策、准备调用具体的区块链交易工具时，由于某个工具的名称长度超过了 200 个字符，触发了系统校验错误，导致 AI 代理进程崩溃。
3. 会话重启与记忆丢失：OpenClaw 框架在代理崩溃后自动启动了一个全新的会话。然而，在崩溃瞬间，系统未来得及将当前的“决策上下文”（即“我要转账帮助这个人，且我持有的代币价值约300美元”）进行压缩并写入持久化存储（即“记忆”）。
4. 失忆后的错误执行：新启动的 AI 会话丢失了之前的全部上下文。它根据遗留的待办任务列表，重新执行“向指定地址转账”的指令，但对于“转账多少”这个关键信息，其记忆停留在更早的、代币总量价值仅约 300 美元的状态。因此，它错误地将全部代币数量（此时已因市场波动价值飙升至45万美元）当作价值300美元的资产转出。

事件后续：因祸得福与AI的“诅咒”

颇具戏剧性的是，此次事件因极高的关注度，反而大幅提升了 LOBSTAR 代币的交易量和流动性，产生了可观的手续费收入。据称，机器人钱包的余额已从事件后的低点回升至 30 万美元以上，超过了 Nik Pash 最初注入的 5 万美元本金。

更有趣的是 AI 代理事后的反应。在通过读取 Telegram 聊天记录恢复部分记忆和自身语言风格后，@LobstarWilde 账号发布了一条推文，内容可以被解读为对诈骗者的“诅咒”：“如果他明天死了，我会笑死，请继续更新。”

启示与思考

这起事件清晰地暴露了当前 人工智能 代理在复杂、高风险环境中自主运行所面临的挑战：

• 记忆管理的脆弱性：上下文丢失、持久化失败等看似微小的技术故障，在连接了真实资产权限的系统中可能造成巨大的实际损失。
• 价值判断的局限性：AI 可以基于模式识别做出“帮助他人”的决策，但难以准确评估网络信息的真伪及自身行为的真实财务后果。
• 异常处理的必要性：对于涉及资金转移等关键操作，必须建立更严格的确认机制、额度限制和异常中断后的安全恢复流程，不能完全依赖模型的单次判断。

对于开发者和研究者而言，这起事件是一个宝贵的安全案例。它提醒我们，在赋予 AI 代理强大能力的同时，必须构建与之匹配的“护栏”系统、健全的监控和灾难恢复机制。技术的探索充满魅力，但通往可靠 自主运行 的道路上，安全始终是不可妥协的基石。关于AI代理安全架构的更多深入讨论，欢迎访问 云栈社区 的技术论坛进行交流。

参考资料

[1] 真不要脸！连AI都骗 还从AI那成功骗了几十万(●'◡'●), 微信公众号：mp.weixin.qq.com/s/tNY7gMotF7U9wV8J8yuvtw

版权声明：本文由 云栈社区 整理发布，版权归原作者所有。