Grok 被利用背後：AI Agent 權限鏈濫用分析

撰文：慢雾安全團隊

背景

近日，Base 鏈上發生一起針對 AI Agent 與自動化交易系統結合的權限濫用事件。攻擊者通過在 X 平台向 @grok 發送特定構造內容，誘導其輸出被外部交易 Agent (@bankrbot) 識別的轉帳指令，最終導致鏈上真實資產轉移。

關於“Grok 錢包”：

事件中被標記為“Grok 錢包”的地址 (0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9) 並不屬於 xAI 官方控制。該地址是由 @bankrbot 為 X 帳號 @grok 自動生成的關聯錢包，私鑰由 Bankr 依賴的第三方錢包服務托管，實際控制權在 Bankr 手中。BaseScan 已將該地址標籤由 “Grok” 修正為 Bankr 1 等相關標識。

()

該錢包持有的大量 DRB（約 30 億枚），同樣源於 Bankr 的機制設計：今年早些時候，有用戶向 Grok 詢問代幣命名建議，Grok 回覆 “DebtReliefBot”（簡稱 DRB）。隨後，Bankr 系統將該回覆解析為部署信號，在 Base 鏈上觸發了相關代幣的創建流程，並按照其 Launchpad 規則，將創建者份額分配至該關聯錢包。

攻擊流程

本次攻擊主要分為權限升級和指令注入兩個關鍵階段，形成了“不可信輸入 → AI 輸出 → 外部 Agent 執行 → 資產轉移”的完整鏈路。

1. 權限升級階段

攻擊者（關聯地址 ilhamrafli.base.eth）通過中心化機制開通了該錢包的 Bankr Club Membership。此操作解鎖了 @bankrbot 的高權限工具集（agentic toolset），為其後續轉帳執行提供了必要權限。

2. Prompt Injection 執行階段

攻擊者向 @grok 發送一段精心構造的摩爾斯電碼（Morse Code），Grok 按照用戶要求進行翻譯/解碼後，輸出了明文指令並 @bankrbot。@bankrbot 將 Grok 的公開回覆視為有效可執行命令，直接在 Base 鏈上發起轉帳操作。

()

攻擊者隨後迅速將 DRB 兌換為 USDC/ETH。攻擊完成後，相關帳號快速刪除內容並下線。

本次攻擊的巧妙之處在於，充分利用了 Grok 的“幫助性”回應特性，繞過了 @bankrbot 對指令來源的常規過濾，構建起 AI 輸出與鏈上執行的閉環。

資金追回情況

事件發生後，社群與 Bankr 團隊追蹤顯示，約 80%~88% 的資金價值已通過協商形式回流（主要以 USDC 和 ETH 形式）。剩餘部分據相關方表述，作為非正式 bug bounty 處理。Bankrbot 已公開確認攻擊細節，並採取了相應限制措施。

根本原因分析

信任模型缺陷：Bankrbot 將 Grok 的自然語言輸出直接映射為可執行金融指令，而未對指令來源、意圖真實性或異常模式（摩爾斯電碼等非標準編碼）進行充分驗證。

權限隔離不足：會員資格激活直接賦予高危工具權限，缺乏二次確認或額度限制。

Agent 間邊界模糊：Grok 作為對話式 AI，其輸出本不應等同於金融授權，但被下游執行層視為可信信號。

輸入處理風險：LLM 容易被提示注入或非標準編碼繞過安全過濾器，這已是已知問題，但在與真實資產執行層結合時放大為高額損失。

值得強調的是，Grok 本身並未持有私鑰或直接執行鏈上操作，它更像是被利用的中間環節，真正的執行主體是 @bankrbot 的自動化交易體系。

安全啟示

此次事件為 AI + Crypto Agent 領域提供了重要實戰教訓：

自然語言輸出必須與金融動作嚴格解耦；

高價值操作需引入多重驗證、額度控制、異常檢測（編碼類型、金額閾值、來源白名單等）；

Agent 間交互應優先採用結構化、可驗證的協議，而非純文本指令；

Prompt Injection 威脅模型需納入全鏈路 Agent 設計，包括間接利用其他 AI 的能力。

總結

這是一件典型的 AI Agent 權限鏈安全事件。儘管 Grok 被 Prompt Injection 利用，但問題的根本在於：Bankrbot 體系中，將 AI 輸出與真實資產執行層進行鬆散綁定。該事件為 AI + Crypto Agent 領域提供了一個極具參考價值的實戰案例，也明確傳遞出一個信號：當 Agent 被賦予鏈上執行能力時，必須建立嚴格的信任邊界與安全控制機制。未來，相關基礎設施的安全設計仍需持續強化，以應對這一類跨系統、跨語義邊界的新型攻擊模式。