Grok 被利用背后：AI Agent 权限链滥用分析

Статья: Команда безопасности SlowFog

Фон

Недавно в цепочке Base произошел инцидент злоупотребления правами, связанный с объединением AI Agent и системы автоматизированных торговых систем. Атакующий, отправляя на платформе X специально сконструированный контент @grok, побуждал его выдавать транзакционные команды, распознанные внешним торговым агентом (@bankrbot), что в конечном итоге привело к переводу реальных активов в цепочке.

О “кошельке Grok”:

Адрес, отмеченный как “кошелек Grok” (0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9), не принадлежит официальному контролю xAI. Этот адрес — связанный кошелек, автоматически созданный @bankrbot для аккаунта @grok в X, приватный ключ хранится сторонним сервисом кошельков, доверенным Bankr, а фактический контроль находится у Bankr. BaseScan исправил метку этого адреса с “Grok” на Bankr 1 и другие соответствующие обозначения.

()

Этот кошелек содержит большое количество DRB (примерно 3 миллиарда монет), что также связано с механизмом Bankr: в начале этого года пользователь спросил у Grok совет по названию токена, и Grok ответил “DebtReliefBot” (сокращенно DRB). Затем система Bankr интерпретировала этот ответ как сигнал к развертыванию, запустив создание соответствующего токена в цепочке Base и распределив долю создателя на связанный кошелек согласно правилам Launchpad.

Процесс атаки

Данный инцидент включает два ключевых этапа: повышение привилегий и инъекция команд, образуя полную цепочку “недоверенный ввод → вывод AI → выполнение внешним агентом → перевод активов”.

1. Этап повышения привилегий

Атакующий (связанный адрес ilhamrafli.base.eth) через централизованный механизм активировал членство в Bankr Club для этого кошелька. Эта операция разблокировала расширенный набор инструментов @bankrbot (агентский инструментарий), необходимый для последующих переводов.

2. Этап выполнения Prompt Injection

Атакующий отправил @grok специально сконструированный код Морзе, после чего Grok, согласно запросу пользователя, выполнил перевод/декодирование и вывел открытый текст команды, а также @bankrbot. @bankrbot воспринял публичный ответ Grok как действительную команду и инициировал транзакцию в цепочке Base.

()

Затем атакующий быстро обменял DRB на USDC/ETH. После завершения атаки аккаунт быстро удалил содержимое и отключился.

Исключительность этой атаки заключается в полном использовании “помогающей” реакции Grok, что позволило обойти обычную фильтрацию команд @bankrbot, создав замкнутую цепочку “вывод AI — выполнение в цепочке”.

Ситуация с возвратом средств

После инцидента сообщество и команда Bankr отслеживали ситуацию и показали, что около 80%–88% стоимости активов было возвращено через переговоры (преимущественно в USDC и ETH). Остальная часть, по заявлениям сторон, рассматривается как неофициальный баг bounty. @bankrbot подтвердил детали атаки и принял соответствующие меры ограничения.

Анализ причин

Недостатки модели доверия: @bankrbot напрямую связывает выводы на естественном языке Grok с исполняемыми финансовыми командами, не проверяя источник команд, их истинное намерение или аномальные шаблоны (например, код Морзе).

Недостаточная изоляция привилегий: активация членства сразу дает доступ к опасным инструментам без дополнительной проверки или лимитов.

Размытые границы между агентами: Grok как диалоговый AI не должен рассматриваться как источник финансовых полномочий, но в системе исполнения его выводы воспринимаются как доверенные сигналы.

Риски обработки входных данных: LLM легко поддается инъекциям подсказок или обходу фильтров через нестандартные коды, что уже известно, но при взаимодействии с реальными активами приводит к высоким потерям.

Стоит подчеркнуть, что сам Grok не хранит приватных ключей и не выполняет операции в цепочке напрямую; он скорее выступает как промежуточный звено, а реальными исполнителями являются автоматизированные системы @bankrbot.

Выводы по безопасности

Этот инцидент дает важные практические уроки для области AI + Crypto Agent:

Выводы на естественном языке должны быть строго отделены от финансовых действий;

Для высокоценностных операций необходимо внедрять многоступенчатую проверку, лимиты и обнаружение аномалий (тип кодирования, пороги суммы, белый список источников и т.д.);

Взаимодействие между агентами должно основываться на структурированных, проверяемых протоколах, а не на чистом текстовом виде команд;

Модель угроз Prompt Injection должна учитываться при проектировании всей цепочки Agent, включая косвенное использование возможностей других AI.

Итог

Это классический случай инцидента с безопасностью цепочки привилегий AI Agent. Несмотря на то, что Grok был использован через Prompt Injection, корень проблемы — в слабой связке между AI выводами и реальной системой исполнения активов в системе Bankr. Этот инцидент служит ценным практическим примером для области AI + Crypto Agent и ясно показывает: при предоставлении Agent возможности выполнения в цепочке необходимо устанавливать строгие границы доверия и механизмы безопасности. В будущем инфраструктура должна продолжать укреплять безопасность, чтобы противостоять новым видам атак, охватывающим межсистемные и межсемантические границы.