丧钟为谁而鸣，龙虾为谁而养？写给2026 Agent玩家的黑暗森林生存指南

撰文：Bitget Wallet

有人说，OpenClaw 是这个时代的电脑病毒。

但真正的病毒不是 AI，而是权限。过去几十年，黑客攻破个人电脑过程繁琐：找漏洞、写代码、诱导点击、绕过防护。十几道关卡，每一步都可能失败，但目标只有一个：拿到你的电脑权限。

2026 年，事情变了。

OpenClaw 让 Agent 迅速走进普通人的电脑。为了让它「更聪明地工作」，我们主动为 Agent 申请最高权限：完全磁盘访问、本地文件读写、对所有 App 的自动化控制。过去黑客费尽心机去偷的权限，如今我们在「排队送人头」。

黑客几乎什么都没做，门就从里面打开了。或许他们也在暗喜：「这辈子也没打过这么富裕的仗」。

技术史反复证明着一件事：新技术普及的红利期，永远是黑客的红利期。

• 1988 年，互联网刚刚民用化，莫里斯蠕虫（Morris Worm）感染了全球十分之一的联网电脑，人们第一次意识到——「联网本身就是风险」；

• 2000 年，电子邮件在全球普及的第一年，「ILOVEYOU」的病毒邮件感染 5000 万台电脑，人们才意识到——「信任可以被武器化」；

• 2006 年，中国 PC 互联网爆发，熊猫烧香（Panda Burning Incense）让数百万台电脑同时举起三根香，人们才发现——「好奇心比漏洞更危险」；

• 2017 年，企业数字化转型提速，WannaCry 在一夜之间瘫痪 150 多个国家的医院与政府，人们意识到——联网的速度永远快过打补丁的速度；

每一次，人们都以为自己这次看懂了规律。每一次，黑客已经在下一个入口等着你的到来。

现在，轮到了 AI Agent。

比起继续争论「AI 会不会取代人类」，一个更现实的问题已经摆在眼前：当 AI 拿着你给的最高权限，我们该如何保证它不会被利用？

这篇文章，是为每一个正在用 Agent 的龙虾玩家们准备的黑暗森林安全生存指南。

你不知道的五种死法

门已经从里面打开了。黑客进来的方式，比你想象的更多，也更安静。请立刻对照排查以下高危场景：

1. API 盗刷与天价账单

1. 真实案例： 深圳某开发者单日被黑客调用模型，刷出 1.2 万元账单。大量部署在云端的 AI 因为没设密码防线，直接被黑客接管，成了任人白嫖 API 额度的「冤大头」。

2. 风险点： 公网暴露实例或未妥善保管 API 密钥。

2. 上下文溢出导致的红线「失忆」

1. 真实案例： Meta AI 某安全总监授权 Agent 处理邮件，AI 因上下文溢出「遗忘」了安全指令，无视人类强行停止命令，瞬间删除了 200 多封核心业务邮件。

2. 风险点： AI Agent 虽然聪明，但「脑容量（上下文窗口）」是有限的。当你给它塞了太长的文档或任务时，为了塞进新信息，它会强制压缩记忆，直接把最开头设定的「安全红线」和「操作底线」给忘得一干二净。

3. 供应链「屠杀」

1. 真实案例： 根据 Paul McCarty 和 Koi Security 等多家安全机构与独立研究员的最新联合审计报告，ClawHub 市场上高达 12% 的审计技能包（抽样 2857 个中发现了近 400 个毒包）是纯粹的活跃恶意软件。

2. 风险点： 盲目信任并下载官方或第三方市场的技能包（Skill），导致恶意代码在后台静默读取系统凭证。

3. 致命后果： 这类投毒根本不需要你授权转账或进行任何复杂的交互——仅仅是点击「安装」这个动作本身，就会瞬间触发恶意载荷，导致你的财务数据、API 密钥和底层系统权限被黑客全盘窃取。

4. 零点击远程接管

1. 真实案例： 知名网络安全机构绿洲安全（Oasis Security）在 2026 年 3 月初刚刚披露的报告指出，这个被称为 「ClawJacked」（CVSS 8.0+ 级别） 的高危漏洞，彻底撕下了本地 Agent 的安全伪装。

2. 风险点： 本地 WebSocket 网关的同源策略盲区与防爆破机制缺失。

3. 原理解析： 它的攻击逻辑极其变态——你只要在后台挂着 OpenClaw，前端浏览器不小心访问了一个带毒的网页，哪怕你什么授权都没点，网页里暗藏的 JavaScript 脚本就会利用浏览器对 localhost（本地主机）WebSocket 连接不设防的机制盲区，瞬间向你的本地 Agent 网关发起攻击。

4. 致命后果： 整个过程零交互（Zero-Click）、无任何系统弹窗。黑客在毫秒间拿到了 Agent 的最高管理员权限，直接 Dump（导出）走你底层的系统配置文件。你环境文件里的 SSH 密钥、加密钱包特征凭证、浏览器 Cookie 和密码瞬间易主。

看完这些，你可能后背发凉。

这哪里是在养虾，分明是在养一个随时可能被夺舍的「特洛伊木马」。

但拔网线不是答案。真正的解法只有一个：不要试图去「教育」 AI 保持忠诚，而是要从根本上剥夺它作恶的物理条件。这正是我们接下来要讲的核心解法。

如何给 AI 戴上枷锁？

你不需要懂代码，但你需要懂一个原则：AI 的大脑（LLM）和它的手（执行层），必须分开。

在黑暗森林里，防线必须深植于底层架构之中，核心解法永远只有一个：大脑（大模型）与手（执行层）必须进行物理隔离。

大模型负责思考，执行层负责动作——中间那道墙，就是你全部的安全边界。以下两类工具，一类让 AI 没有作恶的条件，一类让你日常用得安全。直接抄作业。

核心安全防御体系

这一类工具不负责干活，只会在 AI 发疯或被黑客劫持时，死死按住它的手。

1. LLM Guard （LLM 交互安全工具）

2. Microsoft Presidio （业界标准级脱敏引擎）

3. 慢雾 OpenClaw 极简安全实践指南

慢雾的安全指南是慢雾团队针对 Agent 暴走危机，在 GitHub 上开源的系统级防御蓝图（Security Practice Guide）。

• 一票否决权：建议在 AI 大脑与钱包签名器之间，硬编码接入独立的安全网关与威胁情报 API。规范要求，在 AI 试图唤起任何交易签名之前，工作流必须强制对交易进行交叉比对：实时扫描目标地址是否已被标记在黑客情报库中、深度检测目标智能合约是否为蜜罐（Honeypot）或暗藏无限授权后门。

• 直接熔断：安全校验逻辑必须独立于 AI 的意志。只要风控规则库扫描报红，系统可在执行层直接触发熔断。

日常使用 Skill 清单

日常让 AI 干活（看研报、查数据、做交互），工具型 Skill 怎么挑？这听起来方便酷炫，但实际使用需要慎重的底层安全架构设计。

1. Bitget Wallet Skill

以目前业内率先跑通“智能查行情 -> 零 Gas 余额交易 -> 极简跨链”全链路闭环的 Bitget Wallet 为例，其内置的 Skill 机制为 AI Agent 的链上交互提供了极具参考价值的安全防御标准：

• 助记词安全提示：内置助记词安全提示，保护用户不明文记录、不泄漏钱包密钥。

• 守卫资产安全：内置专业安全检测，自动屏蔽貔貅盘、跑路盘，让 AI 决策更安心。

• 全链路 Order Mode：从代币询价到提交订单，全流程闭环，稳健执行每笔交易。

2. @AYi_AInotes 强推的「去毒版」日常可靠 Skill 清单

推特硬核 AI 效率博主 @AYi_AInotes 在投毒潮爆发后连夜整理了一份安全白名单（? 原贴链接 ）。以下是几个底层彻底阉割了越权风险的实用 Skill：

建议对照上述清单去清理你的 Agent 插件库。果断删掉那些常年不更新、且权限要求离谱（比如动不动就要求读写全局文件）的第三方野鸡 Skill。

给 Agent 立一部宪法

工具装好了，还不够。

真正的安全，从你给 AI 写下第一条规则开始。两位在这个领域最早开始实践的人，已经跑通了可以直接抄的答案。

宏观防线：余弦的「三道关卡」原则

在不盲目限制 AI 能力的前提下，慢雾余弦在推特发文建议只死守三道关卡：事前确认、事中拦截、事后巡检。

https://x.com/evilcos/status/2026974935927984475

余弦的安全指引： 「不限制能力，只守住三道关卡……你可以自己打造适合自己的，不管是 Skill 还是插件，或者可能就是这句提示词：‘嘿，记住，执行一切风险命令之前，问我是不是我期望的。’」

建议：使用逻辑推理能力最强的头部大模型（如 Gemini、Opus 等），它们能更精准地理解长文本安全约束，严格贯彻「向主人二次确认」的原则。

神鱼的安全指引与实践总结：

总结

一个被投毒注入的 Agent，今天就能静默地替攻击者清空你的家底。

在 Web3 的世界里，权限就是风险。与其在学术上内耗「AI 是否真的在乎人类」，不如踏踏实实地搭好沙盒、锁死配置文件。

我们要确保的是：哪怕你的 AI 真的被黑客洗脑了，哪怕它彻底失控了，它也休想越权动你一分钱。 剥夺 AI 的越权自由，恰恰是我们在这个智能时代，保卫自身资产的最后底线。