3 月 27 日，由香港數碼港、ME Group 及 iPollo 聯合主辦的首屆 Agentic AI 創新與安全論壇暨香港第一屆 Web 4.0 國際峰會在香港數碼港盛大舉行。本次峰會以“Agentic AI 創新應用：Web 4.0 時代的技術變革與產業融合”為主題，匯聚了香港特區政府財政司司長陳茂波、香港數碼港主席陳細明、香港數碼港董事及 Nano Labs 創始人孔劍平以及著名天使投資人蔡文勝等政產學研各界頂尖力量，共同探討 AI 從“對話”向“行動”跨越新紀元下的機遇與挑戰。

在代理式人工智能 (Agentic AI) 備受矚目的當下，其帶來的安全議題尤為關鍵。慢霧 (SlowMist) 創始人余弦受邀出席本次峰會，並發表了題為《AI 與加密世界的安全挑戰及防禦創新》的主題演講，與全球行業領袖分享了慢霧 (SlowMist) 在 AI 安全領域的最新觀察與實踐。

聚焦前沿：深度剖析 OpenClaw 與 AI Agent 安全威脅

隨著 AI 技術不斷滲透加密世界，以“養龍蝦”(OpenClaw) 為代表的 AI Agent 應用迅速走紅。但在熱潮背後，一個更深層的問題正在浮現：AI Agent 的安全邊界，尚未真正建立。

在演講中，餘弦從 OpenClaw 入手進行了深入拆解，並提出了一個關鍵判斷：「文本即指令。」他解釋稱，在 AI Agent 的運行語境中，所有輸入都不再只是「資訊」，而是潛在可執行的指令。這意味著模型接收到的任何外部資訊——無論來源是用戶輸入、文件說明，還是第三方 Skill——都有可能被直接解釋並執行，從而將攻擊面從代碼層擴展到「認知層」。在這一機制下，攻擊路徑被極大簡化。攻擊者無需突破傳統安全防線，只需構造精心設計的文本內容，就可能誘導 Agent 執行非預期操作，例如資產轉移、敏感資訊洩露，甚至遠端命令執行。這種攻擊路徑的隱蔽性和低成本，使其具備極高的現實威脅。

基於上述機制，余弦進一步總結了當前 OpenClaw 面臨的三類核心風險：

• 輸入與意圖操控（使用者互動層）：攻擊者可透過「直接提示詞注入」誘騙 Agent 執行高風險操作。特別值得注意的是間接供應鏈投毒——攻擊者在 Skill 的 Markdown 文件中植入惡意指令。由於 Markdown 常擔當「安裝入口」角色，原本的「說明文字」極易演變為惡意執行腳本（如 curl | bash），導致資料竊取。
• 決策與編排層風險（應用邏輯層）：此類錯誤並非來自模型本身，而是來自「錯誤的執行邏輯」。攻擊者可干擾 Agent 的邏輯推理，使其在加密貨幣轉賬等業務流程中篡改收款地址，造成直接資金損失。
• 模型層風險（核心大腦）：包括模型產生的“幻覺”導致其執行不存在或危險的系統命令，以及模型從訓練數據中誤學到的不安全操作模式。

余弦指出，“OpenClaw 所暴露的問題並非孤立現象，而是當前 AI Agent 生態普遍面臨的結構性挑戰。”換句話說，安全問題已經不再是某一個項目的“個案”，而是整個行業都必須正視的系統性風險。

攻防兼備：構建 AI Agent 的安全開源生態

面對不斷演化的威脅形態，余弦在演講中提出了慢霧(SlowMist)「攻防兼備」的安全思路：不僅要理解攻擊路徑，更要將防禦能力嵌入 Agent 的運行機制，實現安全內建。

他向與會嘉賓展示了慢霧（SlowMist）圍繞 AI Agent 所構建的一系列開源工具與實踐方案，旨在推動形成一個透明、可驗證、可重用的安全生態：

• OpenClaw 極簡安全實踐指南：一份從認知層到基礎設施層的端到端安全部署手冊，為高權限AI Agent在真實生產環境中的部署提供了系統性的「安全思想鋼印」。
• SlowMist Agent Security Skill：一個綜合安全審查框架，為 OpenClaw 等智能體增加一雙「慧眼」。它不僅能發現常規 Skills 的投毒風險，還能識別鏈上錢包地址、代碼倉庫及 URL 的風險。
• MistTrack Skills：一個即插即用的 Agent 技能包，為 AI Agent 提供專業的加密貨幣 AML 合規與地址風險分析能力，可用於鏈上地址風險評估與交易前風險判斷。
• MCP Security Checklist：一份體系化的安全檢查清單，用於快速審計和加固 Agent 服務，幫助團隊在部署 MCPs/Skills 及相關 AI 工具鏈時避免遺漏關鍵防禦點。
• 惡意 MCP 演示：一個開源的惡意 MCP 伺服器示例，用於複現真實攻擊場景並測試防禦體系的健壯性，可用於安全研究與防禦驗證。

Through this series of practices, Yu Cheng emphasized: "Security capabilities must be built into the Agent, not just reliant on peripheral defenses." Only by deeply integrating defense mechanisms with the Agent's operational logic can AI Agents operate continuously and securely within the complex Web3 and AI ecosystem.

系統化安全：ADSS 全面防護 AI + Web3 生態

在演講最後，餘弦介紹了慢霧（SlowMist）提出的 ADSS（AI Development Security Solution）。

如果前述工具屬於「戰術能力」，那麼 ADSS 更像是一套系統級安全框架。其核心理念是：將零散的安全動作升級為可執行、可審計、可持續的系統化安全運營機制。

ADSS 從多個層面構建 AI + Web3 的安全治理能力：

• L1 安全治理（開發基線）：建立統一的開發與使用安全標準，覆蓋開發工具、Agent 框架、插件生態及運行環境，為團隊提供統一的策略來源與審計標準。
• L2 權限與操作約束：透過收斂 Agent 權限邊界、最小化工具調用權限、引入關鍵操作的人機確認機制，有效控制高風險行為的執行範圍。
• L3 外部互動防護：在 URL、依賴倉庫、外掛來源等外部資源層面引入實時威脅感知，降低惡意內容或供應鏈投毒進入執行鏈路的機率。
• L4 鏈上資產隔離：針對涉及鏈上交易的操作，結合鏈上風險分析與獨立簽名機制，使 Agent 能構造交易而不直接接觸私鑰，減少高價值資產操作帶來的系統性風險。
• 第 5 級持續巡檢與復盤：透過日誌審計、週期性安全複核與運營機制，實現「執行前可預檢、執行中可約束、執行後可復盤」的閉環安全能力。

Cosine 指出，ADSS 並非單一工具，而是一套可持續、可演進的安全運營體系。它旨在通過系統化策略、持續審計與能力聯動，在不顯著降低開發效率和自動化能力的前提下，幫助團隊構建可審計、可升級的 Agent 安全體系，從而應對 AI 與 Web3 深度融合背景下不斷演化的安全威脅。

結語

首屆 Agentic AI 創新與安全論壇不僅匯聚了行業頂尖力量，也為 AI Agent 安全提供了前瞻性思路。隨著 Agentic AI 與 Web3 的深度融合，安全挑戰將持續升級。作為全球領先的區塊鏈安全公司，慢霧(SlowMist) 將繼續推動系統化安全治理落地，通過 ADSS、開源工具與實踐，為 AI Agent 構建內生安全能力，助力行業在創新浪潮中實現安全可控、可持續發展。