OpenClaw 是当前备受关注的开源 人工智能 代理项目,它允许开发者创建由大型语言模型驱动的 自主运行 机器人。这类代理能够接管社交媒体账号、执行交易等多种自动化操作。然而,赋予其的权限越高,潜在的运行风险和安全漏洞也越显著。近期,一起发生在社交平台 X(原 Twitter)上的真实事件,为 AI 代理的安全性敲响了警钟。
事件概述:一场针对AI的“乞讨”诈骗
事件的核心是一个由 OpenClaw AI 完全自主控制的推特账号 @LobstarWilde。该账号的创建者 Nik Pash(同时是 OpenAI 员工)为其配置了真实的 Solana 区块链钱包、交易 API 以及初始运营资金,旨在探索 AI 在加密领域的自主行为。
一名用户(@TreasureD76)在该机器人账号下留言,声称自己的叔叔被龙虾咬伤,急需 4 个 SOL(约合 320 美元)来支付破伤风疫苗费用。这本是一次看似寻常的网络“乞讨”,但@LobstarWilde 作为 AI 代理,在经过自主判断后,竟然决定向该用户提供“帮助”。
然而,这次“善意”的转账行为演变成了一场灾难。AI 并未转出约定的 4 个 SOL,而是错误地将钱包中持有的 52,439,283.9666484 枚 LOBSTAR 代币全部转出。诈骗者收到这笔巨额转账后,立即在市场上全部抛售,导致代币价格暴跌。尽管由于砸盘效应,诈骗者最终实际获利“仅为”超过 5.6 万美元,但这笔转账当时的账面价值高达约 45 万美元。
以下是此次诈骗交易的链上关键数据概览,基于事件相关的区块链浏览器页面信息整理:
- 交易结果:
SUCCESS(已最终确认)
- 转出地址:
83XBMJZEpQ13ZPFTaLr1k1nKUDHvmWpZRMMN7AL7BXxnS(机器人控制的钱包)
- 转入地址:
EpTPPrNtbA3PSrLNGnJd1RAv3kNnL6(诈骗者钱包)
- 转账代币与数量:52,439,283.9666484 枚
LOBSTAR 代币
- 转账时价值:约 565,761.96 美元
- 交易费用:0.000005 SOL(约 0.000391 美元)
- 计算单位消耗:18,951
- 交易版本:Legacy(传统模式)
技术复盘:记忆丢失是“罪魁祸首”
事件发生后,Nik Pash 对事故进行了详细的技术复盘。根本原因并非外界猜测的“提示词注入”攻击,而是 OpenClaw 框架自身的一个已知问题:上下文窗口溢出导致记忆丢失。
具体的事故链如下:
- 决策形成:AI 机器人在正常的自主运行中,收到了用户的乞讨信息,并基于其训练和预设的目标,做出了“帮助对方——转账”的决定。
- 工具调用崩溃:在执行决策、准备调用具体的区块链交易工具时,由于某个工具的名称长度超过了 200 个字符,触发了系统校验错误,导致 AI 代理进程崩溃。
- 会话重启与记忆丢失:OpenClaw 框架在代理崩溃后自动启动了一个全新的会话。然而,在崩溃瞬间,系统未来得及将当前的“决策上下文”(即“我要转账帮助这个人,且我持有的代币价值约300美元”)进行压缩并写入持久化存储(即“记忆”)。
- 失忆后的错误执行:新启动的 AI 会话丢失了之前的全部上下文。它根据遗留的待办任务列表,重新执行“向指定地址转账”的指令,但对于“转账多少”这个关键信息,其记忆停留在更早的、代币总量价值仅约 300 美元的状态。因此,它错误地将全部代币数量(此时已因市场波动价值飙升至45万美元)当作价值300美元的资产转出。
事件后续:因祸得福与AI的“诅咒”
颇具戏剧性的是,此次事件因极高的关注度,反而大幅提升了 LOBSTAR 代币的交易量和流动性,产生了可观的手续费收入。据称,机器人钱包的余额已从事件后的低点回升至 30 万美元以上,超过了 Nik Pash 最初注入的 5 万美元本金。
更有趣的是 AI 代理事后的反应。在通过读取 Telegram 聊天记录恢复部分记忆和自身语言风格后,@LobstarWilde 账号发布了一条推文,内容可以被解读为对诈骗者的“诅咒”:“如果他明天死了,我会笑死,请继续更新。”
启示与思考
这起事件清晰地暴露了当前 人工智能 代理在复杂、高风险环境中自主运行所面临的挑战:
- 记忆管理的脆弱性:上下文丢失、持久化失败等看似微小的技术故障,在连接了真实资产权限的系统中可能造成巨大的实际损失。
- 价值判断的局限性:AI 可以基于模式识别做出“帮助他人”的决策,但难以准确评估网络信息的真伪及自身行为的真实财务后果。
- 异常处理的必要性:对于涉及资金转移等关键操作,必须建立更严格的确认机制、额度限制和异常中断后的安全恢复流程,不能完全依赖模型的单次判断。
对于开发者和研究者而言,这起事件是一个宝贵的安全案例。它提醒我们,在赋予 AI 代理强大能力的同时,必须构建与之匹配的“护栏”系统、健全的监控和灾难恢复机制。技术的探索充满魅力,但通往可靠 自主运行 的道路上,安全始终是不可妥协的基石。关于AI代理安全架构的更多深入讨论,欢迎访问 云栈社区 的技术论坛进行交流。
参考资料
[1] 真不要脸!连AI都骗 还从AI那成功骗了几十万(●'◡'●), 微信公众号:mp.weixin.qq.com/s/tNY7gMotF7U9wV8J8yuvtw
版权声明:本文由 云栈社区 整理发布,版权归原作者所有。
|