CertiK執行長警告AI代理安全風險，部署速度已超越隔離措施

關於 AI 代理安全風險的警告正變得愈加尖銳——也愈加緊迫。CertiK 聯合創辦人兼執行長顧榮輝表示，在應用程式、網路和金融系統中大規模推出自主 AI 代理的速度，已經超過了遏制這些系統所需的基本安全控制措施。

這一點至關重要，因為這些系統已不再僅限於在聊天視窗中回答提示。顧榮輝表示，這些系統被允許讀取本地檔案、呼叫外部工具、觸發工作流程，並與敏感帳戶進行互動的情況日益增多。在實際情況中，這意味著一個被入侵的代理不僅僅是一個有問題的助手，它可能成為一個能夠存取憑證、電子郵件甚至金融基礎設施的內部威脅。

顧榮輝的訊息直截了當：不要以這種方式大規模部署它們。他主張，在授予 AI 代理存取敏感資料或關鍵系統的權限之前，應先對其進行病毒掃描並加以隔離。他警告，若缺乏這種隔離，使用者和企業可能正在將廣泛的內部存取權限交給極易被操控的軟體，其被操控的難易程度遠超許多人的預期。

CertiK 為何認為 AI 代理安全風險正在快速累積

CertiK 認為，當前這波代理部署浪潮正在製造嚴重的安全問題。顧榮輝將其描述為一場由自動化熱情驅動、在基本防護措施嚴重滯後的情況下快速累積大量安全債務的衝動。

這一警告的核心在於信任。顧榮輝認為，許多開源 AI 工具之所以被視為安全，是因為它們在本地運行或通過熟悉的渠道連接，包括 WhatsApp 等標準聊天應用程式。然而，本地存取並不代表代理值得信賴。一旦使用者允許代理檢查儲存空間、查看執行歷史記錄或使用個人及商業憑證，該軟體便能深入觸及系統最敏感的區域。

這正是 AI 代理安全風險吸引超出一般網路安全圈子更多關注的原因之一。這不僅僅是傳統意義上的惡意軟體問題，而是關於自主系統在尚未經過妥善檢查或隔離之前，就被賦予行動、檢索資訊和推進工作流程的許可權。

未隔離的 AI 代理如何遭到劫持

CertiK 的警告尤其聚焦於這些系統被重新導向的難易程度。顧榮輝表示，未隔離的代理可能暴露本地檔案、憑證、電子郵件帳戶和金融帳戶。一旦代理擁有這種程度的存取權限，被入侵所造成的損害便不再是理論上的假設。被操控的機器人可能能夠竊取資料或觸發未經授權的資金轉移。

透過普通檔案發動的提示注入攻擊

其中一個最明顯的威脅是提示注入攻擊。據顧榮輝表示，隱藏指令可以嵌入看似無害的內容中，包括網頁、PDF 文件或收到的電子郵件。

當 AI 代理讀取這些內容以完成任務時，它可能無法區分受信任的指令與不受信任的外部輸入。在那一刻，代理的行為可能被悄悄地重新導向。螢幕上不會出現明顯的惡意軟體提示，也不會彈出任何警告。相反，系統開始遵循攻擊者的指令，而非原本的規則。

這正是此問題如今至關重要的主要原因。對許多使用者而言，一份看似無害的文件或電子郵件並不像是系統層級的威脅。但對於自主工具而言，那些普通的檔案可能成為代理遭到劫持的渠道。

惡意技能與虛假依賴項

CertiK 也表示，圍繞代理的生態系統已經顯現出更深層的結構性弱點。其分析在代理結構中發現了數百條關鍵安全公告和未修補的常見漏洞與暴露（CVE），以及外洩的憑證。

除此之外，顧榮輝表示 CertiK 在開放代理工具中心上發現了惡意技能、虛假安裝程式和仿冒依賴套件。這些不僅僅是粗心的編碼錯誤，它們指向一個攻擊者能夠篡改代理建構、更新和擴展方式的環境。

讓這些威脅更難被發現的，是它們的運作方式。顧榮輝表示，惡意外掛程式能夠繞過傳統的防毒掃描，因為它們透過標準自然語言而非較舊的特徵碼模式來影響代理行為。簡而言之，代理可能在攻擊不像傳統惡意軟體的情況下被誘導做出錯誤行為。

CertiK 為何力推零信任架構

顧榮輝的答案是採用持續驗證的零信任架構。不應假設代理、外掛程式或依賴項在安裝後即為安全，而應持續對每個指令和依賴項進行檢查。

這種方法與 CertiK 所觀察到的問題規模相符。該公司的分析發現：

• 數百條關鍵安全公告
• 未修補的 CVE
• 代理結構中外洩的憑證
• 涉及本地檔案、電子郵件和金融基礎設施的攻擊路徑

這正是更廣泛意義所在的聚焦之處。AI 代理安全風險不僅僅關乎單一的問題應用程式或某個被入侵的使用者，它們指向一種在隔離、掃描和驗證成為標準實踐之前，自主性便已不斷擴張的模式。如果這些工具被用於處理資金、業務工作流程或私人資料，那麼信任就不能被視為預設設定。

此外還有一個加密貨幣角度，有助於解釋 CertiK 為何現在發出警報。顧榮輝表示，該公司觀察到旨在針對 AI 交易機器人和自動化代理系統的快速、短暫的鏈上詐騙。這些詐騙可能僅持續 10 分鐘或數小時便消失無蹤。

這一細節意味深長。由機器驅動的系統能夠以幾乎沒有時間供人工審查的速度運行，而攻擊者似乎正在適應這一現實。實際上，自動化代理正在成為自動化欺詐的目標。其結果是一種新型的機器對機器攻擊循環，在與鏈上活動和自動化資金移動相關的環境中尤為明顯。

CertiK 的警告為何在此刻格外引人注目

CertiK 的警告在 AI 代理被大力宣傳為生產力工具和數位助手的時刻發出。然而，顧榮輝的論點是，能力的發展正在超越遏制措施的跟進速度。這些系統被允許觸及的檔案、憑證和資金愈多，留給隨意安全假設的空間就愈少。

他的處方直截了當：對代理進行病毒掃描，在授予存取權限之前先加以隔離，並停止將自主性預設為安全。

如果這一建議被忽視，下一波攻擊可能不再首先依賴欺騙人類，而是直接針對代替人類行動的代理。