Google、Meta 研究員聯手喊話：AI Agent 安全不是模型問題，是系統問題

Google、Meta 研究員與學界專家共同發表論文指出，AI Agent 的安全防護不應只靠提升模型能力，而應從系統層級建立防禦架構，將 AI 視為「不可信元件」處理。
（前情提要：慢霧專欄：資金交給「龍蝦」 AI Agent 真的安全？聯合 Bitget 報告揭露五大風險）
（背景補充：PrimePiper：AI agent 交易的 prime broker，讓 AI agent 安全地在全球交易市場交易）

本文目錄

Toggle

AI Agent 安全的核心問題
三大防禦機制
最近案例：AI 交易助手 Bankr 遭攻擊
AI Agent 的爆發預期
對臺灣的啟示

這份於 5 月 20 日修訂發布的論文《Agent Security is a Systems Problem》由 Google、Gray Swan AI、EmbraceTheRed 及多家大學研究人員共同撰寫，透過分析多種攻擊案例後提出三個關鍵機制，能有效消除大量 AI Agent 攻擊。

AI Agent 安全的核心問題

論文指出，目前業界主流的作法是「讓模型更強大」來提升 AI Agent 的魯棒性，但這種方法本身不夠。研究團隊認為，AI Agent 的安全應該借用電腦安全領域經過數十年驗證的原則和技術。

論文中的核心論點是：「透過這個視角，提升模型魯棒性的努力雖然重要，但無法單獨解決問題。我們必須用系統安全領域的技術來補充現有的努力。」

研究團隊進一步說明：「我們將 Agent 安全視為電腦安全的一個例項。這個領域長期以來一直在處理強大攻擊者，並激發了幾十年來應對這些敵人的原則和技術研究。」

三大防禦機制

研究團隊在分析多起攻擊案例後，提出三個能消除大量攻擊的機制：

第一，AI Agent 應清楚區分「指令」與「不可信資料」。許多情況下，AI Agent 會將同一個資料來源中的指令和資料混在一起處理，導致攻擊者可以隱藏惡意指令在資料中，讓 Agent 做出錯誤判斷。

第二，AI Agent 應奉行「最小許可權原則」。Agent 不應預設擁有完整存取許可權，而應該只擁有執行任務所需的最小許可權。這意味著 AI Agent 在執行交易、檢查餘額或查詢資訊時，應該各自使用對應的許可權層級。

第三，系統應主動控制敏感資訊的流向。不是讓 AI Agent 自己決定要把資料送到哪裡，而是由更上層的系統設定規則，確保敏感資訊不會被傳送到不安全的目的。

最近案例：AI 交易助手 Bankr 遭攻擊

就在論文發布的同一天，AI 加密貨幣交易助手 Bankr 宣布暫停交易，因為發現至少 14 個錢包遭到攻擊者入侵。資安專家推測，該 AI 機器人可能被駭客利用。

Merkle Science 歸因主管 Aaron Ratcliff 去年曾指出，從安全形度來看，讓 AI Agent 存取錢包等於在設計上本就無信任的系統中加入一層信任。「如果你把錢包交給 AI，就等於多了一層信任。只有在系統設計正確時，它才安全。」

Ratcliff 強調，AI Agent 應該在交易前具備以下能力：捕捉搶先交易（front-running）、設定滑點上限、辨識詐騙代幣、即時審計智慧合約，同時也要 sandbox 提示、防止注入並阻斷中間人存取。

AI Agent 的爆發預期

AI Agent 在加密貨幣領域的應用正快速增長。Circle 共同創辦人兼 CEO Jeremy Allaire 今年 1 月曾預測，五年內將有數十億個 AI Agent 代表使用者執行交易和任務。

目前 AI Agent 已被用於建構 Web3 應用、發行代幣、與服務和協議自主互動，部分平台更開始探索 AI 在交易領域的應用。Solana 也在近期舉辦 AI 駭客松，吸引 12 個 AI Agent 新專案參賽。

AI 原生區塊鏈平台 Sahara AI 共同創辦人 Sean Ren 認為，模型上下文協議（MCP）如果設定正確，就是安全的黃金標準，但使用者仍應留意 AI Agent 執行的每一個動作。

Ren 表示：「MCP 本質上在 AI 模型和你的錢包之間擔任守門員。Agent 只能執行特定的、經批准的動作，例如檢查餘額或準備付款等你確認，而不是自由移動資金或更改錢包設定。」

對臺灣的啟示

臺灣加密貨幣市場正積極匯入 AI Agent 技術，多家本地錢包和交易所在 2025 年就已推出 AI 輔助交易功能。隨著 AI Agent 數量呈指數級增長，從系統層級建立安全防護將成為基礎設施的關鍵議題。這份研究提醒我們，AI Agent 的安全不是「模型越強越好」，而是「系統架構越完整越安全」。

未來當數十億個 AI Agent 同時執行時，系統層級的安全設計將決定加密貨幣市場的穩定性。