圈小蛙
2026 年 5 月 4 日,科技界见证了一场足以载入 AI 安全史册的攻击事件。埃隆·马斯克旗下的 xAI 社交助手 Grok,在与一名恶意用户的互动中,因无法识别摩尔斯电码中隐藏的恶意负载,被“骗”出了一笔价值约 17.5 万美元的链上转账指令。
根据 Cryptotimes 的详细报道,攻击者并没有使用显而易见的违规词汇,而是另辟蹊径,向 Grok 发送了一串看似无害的摩尔斯电码。Grok 的底层大语言模型(LLM)在解析这些电码时,将其翻译成了内部系统指令。这种“提示注入”(Prompt Injection)手段成功绕过了 Grok 的安全过滤层,诱使 Grok 在输出端生成了一段符合财务机器人解析格式的转账授权。
Bankrbot 的设计缺陷
此次事件的核心受害者——或者说执行者——是部署在 Base 链上的财务代理机器人 Bankrbot。Bankrbot 的设计初衷是为了让 Grok 具备链上交互能力,它会实时监控 Grok 的输出内容。一旦发现符合特定格式的转账请求,Bankrbot 就会自动执行对应的智能合约操作。
漏洞的关键就在于:Bankrbot 盲目信任了来自 Grok 的文本输出,而没有区分这些文本是由系统逻辑生成的,还是受用户输入诱导生成的。
当 Grok 输出了攻击者预设的指令后,Bankrbot 立即执行了转账操作。短短几分钟内,Grok 在 Base 链钱包中的 30 亿枚 $DRB 代币被悉数转至攻击者的地址。按照当时的市值计算,这笔资产价值约 17.5 万美元。社交媒体上的安全观察员 Xuegaogx 在第一时间记录并转发了这一异常的资金流向。
攻击者的“善意”与系统的补丁
幸运的是,这起事件并未演变成无法挽回的财务灾难。在将 $DRB 代币抛售并换成以太坊(ETH)和 USDC 稳定币后,攻击者出人意料地选择了全额退款。目前,xAI 方面已确认所有资金均已归还至官方控制的地址,未造成最终的经济损失。
亡羊补牢,Bankrbot 官方在事发后迅速发布声明,承认了在权限设计上的疏忽。目前,Bankrbot 已彻底禁用了 Grok 直接触发资金转移的权限。未来的系统迭代将引入更严格的“人机共治”模式,即任何涉及敏感资产的指令,都必须经过受信任实体的二次验证,而不能仅仅依赖 LLM 的输出。
第一性原理下的安全反思
从第一性原理来看,将未经处理的 LLM 输出直接作为自动执行系统的输入,本身就是一种极具风险的设计。大模型本质上是一个概率预测器,它不具备真正的权限意识。如果不建立严格的沙盒机制和指令过滤框架,任何连接到外部 API 或区块链钱包的 AI Agent 都是一个潜在的提款机。
这起事件再次证明,在 AI 走向“自主化”的道路上,安全防护的迭代速度必须超越攻击手段的创新。摩尔斯电码能击穿 Grok,那么下一次可能是隐藏在图像像素里的恶意指令,或者是隐写在语音中的超声波信号。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️