Google、Meta 研究員與學界專家共同發表論文指出,AI Agent 的安全防護不應只靠提升模型能力,而應從系統層級建立防禦架構,將 AI 視為「不可信元件」處理。
(前情提要:慢霧專欄:資金交給「龍蝦」 AI Agent 真的安全?聯合 Bitget 報告揭露五大風險)
(背景補充:PrimePiper:AI agent 交易的 prime broker,讓 AI agent 安全地在全球交易市場交易)
這份於 5 月 20 日修訂發布的論文《Agent Security is a Systems Problem》由 Google、Gray Swan AI、EmbraceTheRed 及多家大學研究人員共同撰寫,透過分析多種攻擊案例後提出三個關鍵機制,能有效消除大量 AI Agent 攻擊。
AI Agent 安全的核心問題
論文指出,目前業界主流的作法是「讓模型更強大」來提升 AI Agent 的魯棒性,但這種方法本身不夠。研究團隊認為,AI Agent 的安全應該借用電腦安全領域經過數十年驗證的原則和技術。
論文中的核心論點是:「透過這個視角,提升模型魯棒性的努力雖然重要,但無法單獨解決問題。我們必須用系統安全領域的技術來補充現有的努力。」
研究團隊進一步說明:「我們將 Agent 安全視為電腦安全的一個例項。這個領域長期以來一直在處理強大攻擊者,並激發了幾十年來應對這些敵人的原則和技術研究。」
三大防禦機制
研究團隊在分析多起攻擊案例後,提出三個能消除大量攻擊的機制:
第一,AI Agent 應清楚區分「指令」與「不可信資料」。許多情況下,AI Agent 會將同一個資料來源中的指令和資料混在一起處理,導致攻擊者可以隱藏惡意指令在資料中,讓 Agent 做出錯誤判斷。
第二,AI Agent 應奉行「最小許可權原則」。Agent 不應預設擁有完整存取許可權,而應該只擁有執行任務所需的最小許可權。這意味著 AI Agent 在執行交易、檢查餘額或查詢資訊時,應該各自使用對應的許可權層級。
第三,系統應主動控制敏感資訊的流向。不是讓 AI Agent 自己決定要把資料送到哪裡,而是由更上層的系統設定規則,確保敏感資訊不會被傳送到不安全的目的。
最近案例:AI 交易助手 Bankr 遭攻擊
就在論文發布的同一天,AI 加密貨幣交易助手 Bankr 宣布暫停交易,因為發現至少 14 個錢包遭到攻擊者入侵。資安專家推測,該 AI 機器人可能被駭客利用。
Merkle Science 歸因主管 Aaron Ratcliff 去年曾指出,從安全形度來看,讓 AI Agent 存取錢包等於在設計上本就無信任的系統中加入一層信任。「如果你把錢包交給 AI,就等於多了一層信任。只有在系統設計正確時,它才安全。」
Ratcliff 強調,AI Agent 應該在交易前具備以下能力:捕捉搶先交易(front-running)、設定滑點上限、辨識詐騙代幣、即時審計智慧合約,同時也要 sandbox 提示、防止注入並阻斷中間人存取。
AI Agent 的爆發預期
AI Agent 在加密貨幣領域的應用正快速增長。Circle 共同創辦人兼 CEO Jeremy Allaire 今年 1 月曾預測,五年內將有數十億個 AI Agent 代表使用者執行交易和任務。
目前 AI Agent 已被用於建構 Web3 應用、發行代幣、與服務和協議自主互動,部分平台更開始探索 AI 在交易領域的應用。Solana 也在近期舉辦 AI 駭客松,吸引 12 個 AI Agent 新專案參賽。
AI 原生區塊鏈平台 Sahara AI 共同創辦人 Sean Ren 認為,模型上下文協議(MCP)如果設定正確,就是安全的黃金標準,但使用者仍應留意 AI Agent 執行的每一個動作。
Ren 表示:「MCP 本質上在 AI 模型和你的錢包之間擔任守門員。Agent 只能執行特定的、經批准的動作,例如檢查餘額或準備付款等你確認,而不是自由移動資金或更改錢包設定。」
對臺灣的啟示
臺灣加密貨幣市場正積極匯入 AI Agent 技術,多家本地錢包和交易所在 2025 年就已推出 AI 輔助交易功能。隨著 AI Agent 數量呈指數級增長,從系統層級建立安全防護將成為基礎設施的關鍵議題。這份研究提醒我們,AI Agent 的安全不是「模型越強越好」,而是「系統架構越完整越安全」。
未來當數十億個 AI Agent 同時執行時,系統層級的安全設計將決定加密貨幣市場的穩定性。
📍相關報導📍
慢霧專欄:資金交給「龍蝦」 AI Agent 真的安全?聯合 Bitget 報告揭露五大風險
PrimePiper:AI agent 交易的 prime broker,讓 AI agent 安全地在全球交易市場交易
