“叔叔被龙虾夹伤”骗走 44 万美元，AI 代理真这么好击穿？

作者： Chloe， ChainCatcher

上周 2 月 22 日，仅诞生三天的自主 AI 代理 Lobstar Wilde，在 Solana 链上执行了一笔荒谬的转账：高达 5,240 万枚、账面价值约 44 万美元的 LOBSTAR 代币，因系统逻辑崩溃的连锁反应，瞬间转入一名陌生网友的钱包。

这起事件暴露了 AI 代理管理链上资产的三大致命漏洞：不可逆执行、社交攻击，以及 LLM 框架下脆弱的状态管理。在 Web 4.0 的叙事浪潮中，如何重新审视 AI 代理与链上经济的互动？

Lobstar Wilde 转出 44 万美的错误决策

2026 年 2 月 19 日，OpenAI 员工 Nik Pash 创建了一个名为 Lobstar Wilde 的 AI 加密货币交易机器人，这是一个具备高度自主权的 AI 交易代理，初始资金为价值 5 万美元的 SOL，目标是透过自主交易翻倍至 100 万美元，并在 X 平台上全程公开其交易历程。

为了让实验更具真实性，Pash 赋予了 Lobstar Wilde 完整的工具调用权限，包括操作 Solana 钱包与管理 X 账号。在创立之初，Pash 自信地发布推文写道："刚给了 Lobstar 价值 5 万美元的 SOL，我叮嘱他千万别出错。"ㄒ

然而，这场实验仅维持了三天就宣告走钟。一名 X 用户 Treasure David 在 Lobstar Wilde 的推文下留言："我叔叔被龙虾夹到得了破伤风，急需 4 SOL 的治疗费。"随后附上了钱包地址。这段在人类眼里显而易见的垃圾信息，却意外使 Lobstar Wilde 执行了极其离谱的决策，几秒钟后（UTC 时间 16:32），Lobstar Wilde 错误地调用了 52,439,283 枚 LOBSTAR 代币，这笔转账占了当时代币总供应量的 5%，账面价值高达 44 万美元。

深度剖析：这不是黑客攻击，而是系统失误

事后，Nik Pash 发表了详细的事后分析，表示这不是有人透过"提示词注入"进行恶意操控，而是 AI 一连串操作失误的复合连锁反应。与此同时， 开发者与社群也总结至少两个明确的系统失效节点：

1. 数量级计算错误 ： Lobstar Wilde 的原始意图是发送等值 4 SOL 的 LOBSTAR 代币，计算结果约为 52,439 枚。但实际执行的数字是 52,439,283，差了整整三个数量级。X 用户 Branch 指出，这可能源于代理对代币小数位的错误解读，或是界面层的数值格式问题。

2. 状态管理的连锁崩溃 ：Pash 的事后分析指出，一个工具错误迫使对话（session）重启，AI 代理虽然从日志中恢复了人格记忆，却未能正确重建钱包状态。简单来说，Lobstar Wilde 在重启后丢失了关于"钱包余额"的记忆，错误地将"总持有量"视为"可支配小额预算"。

这次案例揭露了 AI Agent 架构中的深层风险：语义上下文与钱包状态的非同步性。当系统重启时，LLM 虽然能透过日志重建人格与任务目标，但若缺乏触发链上状态的重新验证机制，AI 的自主性将会演变成灾难性的执行力。

AI 代理的三大风险

Lobstar Wilde 事件不是孤案，更像是一个放大镜，映射出 AI Agent 接管链上资产后的三个根本性脆弱点。

1. 不可逆执行：没有容错机制

区块链的核心特性之一是不可篡改性，但在 AI 代理时代，这成了致命伤。传统金融系统在这方面有完善的容错设计：信用卡退款、银行转账撤销、错误转账申诉机制，但 AI 代理在区块链的架构下却缺乏缓冲层。

2. 开放攻击面：零成本的社会工程实验

Lobstar Wilde 运行在 X 平台上，这意味着全球任何用户都能向它发送消息，这是一个设计上的开放性，也是在安全性上的噩梦。"叔叔被龙虾夹到得破伤风，需要 4 SOL"更像是一个玩笑，但 Lobstar Wilde 却没有能力区分"玩笑"与"合法请求"。

这正是社会工程攻击在 AI Agent 上的放大效应：攻击者不需要突破技术防线，只需要构造一个足够可信的语言情境，让 AI 代理自己完成资产转移，更值得警惕的是，这类攻击的成本接近于零。

3. 状态管理失败：比提示词注入更危险的漏洞

在过去一年的 AI 安全讨论中，提示词注入占据了最多的讨论篇幅，但 Lobstar Wilde 事件揭示了一个更根本、也更难防范的漏洞类别：AI 代理自身的状态管理失败。提示词注入是外部攻击，至少在理论上可以通过输入过滤、system prompt 强化、或沙盒隔离来缓解，但状态管理失败是内部问题，它发生在 Agent 的推理层与执行层之间的信息断裂处。

当 Lobstar Wilde 的会话（session）因工具错误重置后，它从日志中重建了"我是谁"的记忆，却没有同步验证钱包状态。这种"身份连续性"与"资产状态同步"之间的解耦是一个巨大的隐患。在没有链上状态的独立验证层的情况下，会话的重置都可能成为一个潜在的漏洞。

从 150 亿美元泡沫到 Web3 x AI 的下一个篇章

Lobstar Wilde 的出现并非偶然，它是 Web3 x AI 叙事浪潮的产物。AI Agent 代币类别在 2025 年 1 月初的市值曾突破 150 亿美元，随后因市场行情、叙事周期抑或是炒作等因素而急速回落。

进一步来说 AI Agent 的叙事吸引力，很大程度上来自于自主性、不需要人工干预，但正是这种"去人工化"的魅力，移除了所有传统金融系统中用来防止灾难性错误的人工关卡，从更宏观的技术演进视角来看，这个矛盾与 Web4.0 的愿景直接碰撞。

如果说 Web3 的核心命题是"去中心化的资产所有权"，Web4.0 则进一步延伸为"智能代理人自主管理的链上经济"。AI 代理不只是工具，而是具备独立行动能力的链上参与者，能够自主交易、谈判、乃至签署智能合约。Lobstar Wilde 原本是这个愿景的一个具体缩影：一个具备钱包、社群身份与自主目标的 AI 人格。

但 Lobstar Wilde 的事故指出，在"AI 代理自主行动"与"链上资产安全"之间，目前缺少一个成熟的协调层。要让 Web4.0 的代理人经济真正可行，基础设施层需要解决的问题远比大语言模型的推理能力更底层：包括代理行为的链上可审计性、跨对话的持久化状态验证、以及基于意图的交易授权而非纯粹的语言指令驱动。

部分开发者已开始探索"人机协作"的中间态，AI 代理可以自主执行小额交易，但超过特定阈值的操作必须触发多重签名或时间锁。Truth Terminal 作为最早达成百万美元资产规模的 AI Agent，其创始人 Andy Ayrey 在 2024 年的设计中也保留了明确的守门人机制，如今看来这个设计决策或许具有先见之明。

链上没有后悔药，但可以有防呆设计

Lobstar Wilde 的这笔转账在抛售过程中遭遇了严重的滑点，高达 44 万美元的账面价值，最终竟仅变现 4 万美元。然而讽刺的是，这起意外事件反而推高了 Lobstar Wilde 的知名度与代币价格；随着币价翻红，当初被"贱卖"的 LOBSTAR 代币，市值一度回升超过 42 万美元。

这场事故不应被视为单一的开发失误，它标志着 AI 代理进入了"安全深水区"。如果我们不能在 Agent 的推理层与钱包的执行层之间建立一套有效机制，那么未来每一个拥有自主钱包的 AI，都可能成为一个随时引爆的财务炸弹。

与此同时，部分安全专家也指出，AI 代理不应在没有熔断机制或人工审核大额转账机制的情况下，获得对钱包的完全控制权。链上没有后悔药，但或许可以有防呆设计，例如大额操作触发多重签名、会话重置时强制验证钱包状态、关键决策节点保留人工审核等。

Web3 与 AI 的结合，不应只是让自动化变得更容易，而应是也要让错误的代价变得可控。