一名安全研究员在 Coinbase AgentKit 中发现了一个严重的提示词注入漏洞。该漏洞允许攻击者劫持 AI 智能体,从而执行未经授权的金融交易和服务器指令。
该漏洞由研究员 x402wardern 公布。通过该漏洞,不受信任的用户输入可以操纵大语言模型(LLM),使其在缺乏人工监管的情况下执行敏感工具。
在针对 Base Sepolia 测试网的一次演示攻击中,该研究员成功触发了向攻击的控制地址转账 ETH 的 `native_transfer` 操作。此外,该漏洞还可能导致无限次的 ERC20 代币授权,并允许在智能体上下文中执行具备 SSH 能力的操作。
缺乏人工监管的执行过程
该漏洞源于 AgentKit 在处理工具执行时的架构缺陷。当大语言模型处理负载时,攻击者可以诱导其通过操作提供程序(action provider)直接调用 `native_transfer` 或 `approve` 等敏感操作。
“核心问题不在于私钥泄露,而在于执行控制权,”x402warden 报告称。研究员指出,从用户输入到工具调用的整个流程中,对于高风险操作缺乏强制性的“人工介入确认”步骤。
Coinbase 已证实该漏洞的存在,并向该研究员发放了 2,000 美元的赏金。尽管 Coinbase 将该漏洞的严重程度评定为“中级”,但研究员并不认同这一评估。他指出,该风险不仅限于钱包资金被盗,还可能扩展到智能体层面的远程代码执行。
该漏洞于 2026 年 2 月 24 日被报告,距离 Coinbase 发布其 Agentic Wallets 仅 13 天。研究员指出,这种攻击面的迅速出现,凸显了在缺乏强有力中间防护措施的情况下,将大语言模型与具备钱包功能的工具相连接所带来的风险。