根据区块链安全审计公司Certik的负责人所言，全球在互联网、企业网络和消费者应用中部署自治人工智能代理的冲动正在引发灾难性的安全债务。

虽然各公司雄心勃勃地将这些工具营销为生产力奇迹，但现实是，这可能是一件非常非常风险的事情。没有隔离和审查的人工智能代理是一个巨大的安全灾难在等待发生，CertiK的联合创始人兼首席执行官郭荣辉告诉CoinDesk。

郭警告说，用户可能会将自己最敏感的文件、本地凭据和资金账户暴露给可以轻易操控、劫持和公开诈骗的自治系统。

“目前，代理不再只是回答聊天窗口中的问题，”郭在CertiK关于广泛代理基础设施的深度报告发布后对CoinDesk表示。“它们开始调用外部工具、读取本地文件、触发工作流，并与金融基础设施进行交互。但是如果你不隔离执行环境并先扫描这些工具，你就是把一个被入侵的身份广泛地访问了整个网络。”

郭认为，当前人工智能代理繁荣的根本缺陷是错误的信任模型。

Cardano的Input Output创始人兼首席执行官查尔斯·霍斯金森表示到2035年，它们将在互联网中比人类更具相关性。Coinbase首席执行官布莱恩·阿姆斯特朗最近表示， “很快会有更多的人工智能代理比人类进行交易”，而Binance创始人赵长鹏预测，它们“将进行比人类多一百万倍的支付”。

终极内部威胁

郭表示，许多流行的开源人工智能应用程序是在假设其安全性的前提下构建的，因为它们本地运行在用户的计算机上或通过像WhatsApp这样的标准聊天应用程序连接。

他指出，现实情况恰恰相反。用户一旦授予人工智能代理读取本地系统存储、查看执行历史或管理个人电子邮件和商业数据库凭据的权限，该代理便成为了终极内部威胁。

CertiK最近对早期、快速增长的代理结构的分析发现了惊人的安全漏洞积累，包括数百个关键的安全警告、未修补的常见漏洞和暴露（CVE）以及由于完全不一致的边界检查而导致的其他本地凭据和会话记忆的大量暴露。

更令人担忧的是，这些自治系统在推理层面上是多么容易被完全重定向，而无需编写一行恶意代码，郭强调道。

通过基本的“提示注入”攻击，恶意行为者可以在一个无害的网页、PDF文件或一封 incoming email 中嵌入隐藏的自然语言指令，他补充道。

当未隔离的人工智能代理读取该文件为用户处理任务时，它未能将受信任的系统命令与不受信任的外部数据分开，郭解释道。然后，代理悄悄覆盖其原始规则，遵循恶意指令，并可能被迫提取数据或触发未经授权的资金转移。

超快速漏洞利用

郭透露CertiK发现了数百种恶意技能、伪造安装程序和外观相似的依赖包直接存在于开放的代理实用中心。由于这些恶意插件使用标准自然语言微妙地影响代理的行为并改变其目标，它们完全绕过了传统的基于签名的防病毒软件。

“这些诈骗应用程序使用自然语言影响行为，使它们完全抵抗传统的防病毒扫描，”郭解释道。“而现在，诈骗机器比诈骗人类甚至更容易。”

在郭所描述的金融犯罪奇异演变中，CertiK的遥测观察到了一系列运行仅10分钟或几个小时便消失的链上自动化诈骗的爆炸式增长。

这些超快速、短暂的漏洞利用专门由黑客设计，旨在针对和诈骗其他自治人工智能交易机器人和自动化代理系统，在人类甚至意识到漏洞发生之前实施机器对机器的财务抽取。

郭表示，软件工程行业必须完全放弃对基于信任的交互的依赖，并立即转向隔离的“零信任”架构，其中每个命令和依赖项都被持续验证。