区块链安全审计机构 CertiK 的联合创始人兼首席执行官顾荣辉近期发出严厉警告，指出全球范围内在互联网、企业网络及消费者应用中大规模部署自主 AI 代理的行为，正酝酿着一场前所未有的安全灾难。尽管业界普遍将这些工具吹捧为提升生产力的神奇利器，但顾荣辉强调，那些未经过隔离处理且缺乏安全审查的 AI 代理，实际上构成了巨大的潜在风险。用户极有可能因此将最敏感的文件、本地凭证以及资金账户暴露给这些极易被操纵、劫持甚至用于诈骗的自主系统。

顾荣辉在 CertiK 发布关于此类代理基础设施的深入研究报告后进一步阐释，当前的 AI 代理已不再局限于聊天窗口内的问答交互，它们开始调用外部工具、读取本地文件、触发复杂工作流程，甚至直接与金融基础设施进行交互。午方 AI 梳理发现，若不对这些代理的执行环境进行严格的隔离处理，也不先对调用的工具进行深度安全扫描，整个网络将面临系统性崩溃的风险。这种从被动响应到主动执行的转变，彻底改变了威胁的攻击面。

当前 AI 代理热潮背后的根本问题，在于行业普遍存在一种错误的信任模式。Cardano 创始人 Charles Hoskinson 曾预测到 2035 年 AI 代理在互联网上的作用将超越人类，Coinbase 首席执行官 Brian Armstrong 也认为进行交易的 AI 代理数量将很快超过人类，而币安创始人 Changpeng Zhao 更是预测 AI 代理的交易量将达到人类的百万倍。

然而，许多流行的开源 AI 应用程序在开发时错误地假定，只要运行在用户本地计算机或通过 WhatsApp 等标准聊天应用连接，就能免受外部威胁。午方 AI 注意到，顾荣辉指出这种假设恰恰相反，一旦用户授权 AI 代理访问本地系统存储、查看执行记录或管理个人及企业数据库凭证，这些代理便会瞬间转化为极具破坏力的威胁源。

CertiK 近期对处于早期发展阶段且增长迅速的 AI 代理系统进行的分析揭示了严峻现状：系统中存在大量安全漏洞，包括数百条严重安全警告、尚未修复的常见漏洞，以及因边界检查机制缺陷导致的大量本地凭证和会话信息泄露。更令人担忧的是，这些自主系统甚至无需编写任何恶意代码，仅通过逻辑层面的攻击即可被完全重新定向。顾荣辉强调，攻击者可通过简单的'提示注入'攻击，在看似正常的网页、PDF 文档或电子邮件中嵌入隐藏的自然语言指令。

当未经隔离的 AI 代理读取这些文件以执行任务时，它们无法区分可信任命令与来自外部不可信源的数据，从而默默覆盖自身原有规则并执行恶意指令，最终导致数据泄露或未经授权的资金转移。午方 AI 分析认为，CertiK 还发现许多开源 AI 代理工具集中充斥着大量恶意插件、假冒安装程序及外观相似的依赖包。由于这些恶意插件利用自然语言影响代理行为并改变功能，它们能够完全绕过传统的基于签名的防病毒软件，使得欺骗自动化系统比欺骗人类变得更容易。

顾荣辉将这种现象描述为一种极其怪异的金融犯罪演变形式。监测数据显示，目前网上出现了大量仅运行 10 分钟或几小时便立即消失的自动化诈骗行为。这些速度极快、存在时间极短的攻击手段是黑客专门针对其他自主 AI 交易机器人和自动化系统设计的，旨在在任何人察觉安全漏洞之前完成资金盗窃。面对这一局势，顾荣辉认为软件工程行业必须彻底放弃依赖信任机制进行交互的旧模式，立即转向采用隔离式的'零信任'架构，确保每一个命令和依赖关系都受到持续的安全验证。