區塊鏈安全審計公司 CertiK 執行長表示,全球正急於在網際網路、企業網路與消費性應用程式中部署自主 AI 代理程式,這正在累積災難性的安全負債。
儘管企業雄心勃勃地將這些工具宣傳為提升生產力的奇蹟,但殘酷的現實是,此舉風險極高。CertiK 共同創辦人暨執行長郭榮輝(Ronghui Gu)向 CoinDesk 表示,未經隔離與審查的 AI 代理程式是一場即將爆發的重大安全災難。
郭警告,使用者可能正將最敏感的文件、本機憑證與資金帳戶暴露給自主系統,這些系統極易被操控、劫持並遭公開詐騙。
「目前,代理程式已不再只是於聊天視窗中回答問題,」郭在 CertiK 發布針對廣泛代理程式基礎設施的里程碑式深度報告後告訴 CoinDesk。「它們開始呼叫外部工具、讀取本機檔案、觸發工作流程,並與金融基礎設施互動。但如果你不隔離執行環境並事先掃描這些工具,就等於將受駭的身分授予整個網路的廣泛內部存取權限。」
郭指出,當前 AI 代理程式熱潮的根本缺陷在於錯誤的信任模型。
Cardano 母公司 Input Output 創辦人暨執行長 Charles Hoskinson 表示,到 2035 年,它們在網際網路上的重要性將超越人類。Coinbase 執行長 Brian Armstrong 近期表示「很快,進行交易的 AI 代理程式數量將超過人類」,而幣安創辦人趙長鵬(Changpeng Zhao)則預測它們「將產生比人類多一百萬倍的支付交易」。
終極內部威脅
郭表示,許多熱門的開源 AI 應用程式建立在一個假設之上:因為它們在使用者的電腦上本機執行,或透過 WhatsApp 等標準聊天應用程式連接,所以能免受外部威脅。
他指出,現實恰恰相反。一旦使用者授權 AI 代理程式讀取本機系統儲存空間、查看執行歷史或管理個人電子郵件與商業資料庫憑證,該代理程式就會成為終極的內部威脅。
CertiK 近期對早期、快速成長的代理程式架構進行分析,發現安全漏洞驚人地累積,包括數百項關鍵安全公告、未修補的常見漏洞與暴露(CVE),以及因邊界檢查完全不一致而導致的大量本機憑證與工作階段記憶體外洩。
郭強調,更令人擔憂的是,這些自主系統在推理層面上極易被完全重定向,且無需撰寫任何一行惡意程式碼。
他補充,透過基本的「提示詞注入」(prompt injection)攻擊,惡意行為者可以將隱藏的自然語言指令嵌入看似無害的網頁、PDF 文件或收到的電子郵件中。
郭解釋,當未隔離的 AI 代理程式讀取該檔案以處理使用者任務時,它無法區分受信任的系統指令與不受信任的外部資料。代理程式隨後會靜默覆寫其原始規則,服從惡意指令,並可能被強制外洩資料或觸發未經授權的資金轉移。
超高速漏洞利用
郭透露,CertiK 發現數百種惡意技能、假安裝程式與仿冒的依賴套件直接存在於開放的代理程式工具中心。由於這些惡意外掛程式使用標準自然語言來微妙地影響代理程式的行為並改變其目標,它們完全繞過了傳統的基於特徵碼的防毒軟體。
「詐騙應用程式使用自然語言來影響行為,使其完全免疫於傳統防毒掃描,」郭解釋。「而且現在,詐騙機器比詐騙人類更容易。」
郭將此描述為金融犯罪的奇特演變,CertiK 的遙測數據觀察到鏈上自動化詐騙激增,這些詐騙僅運行 10 分鐘或幾小時便完全消失。
這些超高速、短暫的漏洞利用是駭客專門設計來針對並詐騙其他自主 AI 交易機器人與自動化代理程式系統,在人類察覺遭入侵前,執行機器對機器的資金抽乾。
郭指出,軟體工程產業必須完全放棄對基於信任的互動的依賴,立即轉向隔離的「零信任」(Zero Trust)架構,在此架構中,每個指令與依賴項都需持續驗證。