慢雾 SlowMist

Negli ultimi anni, le principali problematiche che i fornitori di servizi di asset virtuali (VASP) si trovano ad affrontare nel campo della lotta al riciclaggio di denaro (AML) sono cambiate silenziosamente.
Inizialmente, il settore si concentrava maggiormente sulla questione se "le funzionalità antiriciclaggio fossero state implementate"; ora, è emersa una domanda più pratica: se tali funzionalità abbiano effettivamente soddisfatto gli standard normativi.
过去的一年里, questo cambiamento si è accentuato. I molteplici casi di sanzioni inviano lo stesso segnale: in un quadro di applicazione delle norme orientato ai risultati, le affermazioni "sono stati effettuati investimenti ma i risultati sono insufficienti" e "non sono state adottate misure" non vengono rigorosamente distinte a livello di responsabilità.

3 月 27 日，由香港数码港、ME Group 及 iPollo 联合主办的首届 Agentic AI 创新与安全论坛暨香港第一届 Web 4.0 国际峰会在香港数码港盛大举行。本次峰会以“Agentic AI 创新应用：Web 4.0 时代的技术变革与产业融合”为主题，汇聚了香港特区政府财政司司长陈茂波、香港数码港主席陈细明、香港数码港董事及 Nano Labs 创始人孔剑平以及著名天使投资人蔡文胜等政产学研各界顶尖力量，共同探讨 AI 从“对话”向“行动”跨越新纪元下的机遇与挑战。
在代理式人工智能(Agentic AI) 备受瞩目的当下，其带来的安全议题尤为关键。慢雾(SlowMist) 创始人余弦受邀出席本次峰会，并发表了题为《AI 与加密世界的安全挑战及防御创新》的主题演讲，与全球行业领袖分享了慢雾(SlowMist) 在 AI 安全领域的最新观察与实践。

聚焦前沿：深度剖析 OpenClaw 与 AI Agent 安全威胁
随着 AI 技术不断渗透加密世界，以“养龙虾”(OpenClaw) 为代表的 AI Agent 应用迅速走红。但在热潮背后，一个更深层的问题正在浮现：AI Agent 的安全边界，尚未真正建立。
在演讲中，余弦从 OpenClaw 入手进行了深入拆解，并提出了一个关键判断：“文本即指令。”他解释称，在 AI Agent 的运行语境中，所有输入都不再只是“信息”，而是潜在可执行的指令。这意味着模型接收到的任何外部信息——无论来源是用户输入、文档说明，还是第三方 Skill——都有可能被直接解释并执行，从而将攻击面从代码层扩展到“认知层”。

在这一机制下，攻击路径被极大简化。攻击者无需突破传统安全防线，只需构造精心设计的文本内容，就可能诱导 Agent 执行非预期操作，例如资产转移、敏感信息泄露，甚至远程命令执行。这种攻击路径的隐蔽性和低成本，使其具备极高的现实威胁。
基于上述机制，余弦进一步总结了当前 OpenClaw 面临的三类核心风险：
输入与意图操控（用户交互层）： 攻击者可通过“直接提示词注入”诱骗 Agent 执行高危操作。特别值得警惕的是间接供应链投毒——攻击者在 Skill 的 Markdown 文档中植入恶意指令。由于 Markdown 往往承担“安装入口”角色，原本的“说明文本”极易演变为恶意执行脚本（如 curl | bash），导致数据窃取。决策与编排层风险（应用逻辑层）： 这种错误并非来自模型本身，而是来自“错误的执行逻辑”。攻击者可以干扰 Agent 的逻辑推理，使其在加密货币转账等业务流程中篡改收款地址，造成直接资金损失。模型层风险（核心大脑）： 包括模型产生的“幻觉”导致其执行不存在或危险的系统命令，以及模型从训练数据中误学到的不安全操作模式。
余弦指出，“OpenClaw 所暴露的问题并非孤立现象，而是当前 AI Agent 生态普遍面临的结构性挑战。”换句话说，安全问题已经不再是某一个项目的“个案”，而是整个行业都必须正视的系统性风险。
攻防兼备：构建 AI Agent 的安全开源生态
面对不断演化的威胁形态，余弦在演讲中提出了慢雾(SlowMist) “攻防兼备”的安全思路：不仅要理解攻击路径，更要将防御能力嵌入 Agent 的运行机制，实现安全内建。
他向与会嘉宾展示了慢雾(SlowMist) 围绕 AI Agent 所构建的一系列开源工具与实践方案，旨在推动形成一个透明、可验证、可复用的安全生态：
OpenClaw 极简安全实践指南：一份从认知层到基础设施层的端到端安全部署手册，为高权限AI Agent在真实生产环境中的部署提供了系统性的“安全思想钢印”。SlowMist Agent Security Skill：一个综合安全审查框架，为 OpenClaw 等智能体增加一双“慧眼”。它不仅能发现常规 Skills 的投毒风险，还能识别链上钱包地址、代码仓库及 URL 的风险。MistTrack Skills：一个即插即用的 Agent 技能包，为 AI Agent 提供专业的加密货币 AML 合规与地址风险分析能力，可用于链上地址风险评估与交易前风险判断。MCP Security Checklist： 一份体系化的安全检查清单，用于快速审计和加固 Agent 服务，帮助团队在部署 MCPs/Skills 及相关 AI 工具链时避免遗漏关键防御点。恶意 MCP 演示：一个开源的恶意 MCP 服务器示例，用于复现真实攻击场景并测试防御体系的健壮性，可用于安全研究与防御验证。
通过这一系列实践，余弦强调：”安全能力必须内建于 Agent，而非仅依赖外围防护。”只有将防御机制与 Agent 的运行逻辑深度绑定，AI Agent 才能在复杂的 Web3 与 AI 生态中持续、安全地运作。
系统化安全：ADSS 全面防护 AI + Web3 生态
在演讲最后，余弦介绍了慢雾(SlowMist) 提出的 ADSS (AI Development Security Solution)。
如果说前述工具属于“战术能力”，那么 ADSS 更像是一套系统级安全框架。其核心理念是：将零散的安全动作升级为可执行、可审计、可持续的系统化安全运营机制。

ADSS 从多个层面构建 AI + Web3 的安全治理能力：
L1 安全治理（开发基线）：建立统一的开发与使用安全标准，覆盖开发工具、Agent 框架、插件生态及运行环境，为团队提供统一的策略来源与审计标准。L2 权限与操作约束：通过收敛 Agent 权限边界、最小化工具调用权限、引入关键操作的人机确认机制，有效控制高风险行为的执行范围。L3 外部交互防护：在 URL、依赖仓库、插件来源等外部资源层面引入实时威胁感知，降低恶意内容或供应链投毒进入执行链路的概率。L4 链上资产隔离：针对涉及链上交易的操作，结合链上风险分析与独立签名机制，使 Agent 能构造交易而不直接接触私钥，减少高价值资产操作带来的系统性风险。L5 持续巡检与复盘：通过日志审计、周期性安全复核与运营机制，实现“执行前可预检、执行中可约束、执行后可复盘”的闭环安全能力。
余弦指出，ADSS 并非单一工具，而是一套可持续、可演进的安全运营体系。它旨在在不显著降低开发效率和自动化能力的前提下，通过系统化策略、持续审计与能力联动，帮助团队构建可审计、可升级的 Agent 安全体系，从而应对 AI 与 Web3 深度融合背景下不断演化的安全威胁。
结语
首届 Agentic AI 创新与安全论坛不仅汇聚了行业顶尖力量，也为 AI Agent 安全提供了前瞻性思路。随着 Agentic AI 与 Web3 的深度融合，安全挑战将持续升级。作为全球领先的区块链安全公司，慢雾(SlowMist) 将继续推动系统化安全治理落地，通过 ADSS、开源工具与实践，为 AI Agent 构建内生安全能力，助力行业在创新浪潮中实现安全可控、可持续发展。

Contesto
Nel mondo di Web3, la sicurezza non è mai un "compito" che può essere completato con un segno di spunta, ma è una maratona senza fine. Tuttavia, per lungo tempo, la comprensione dell'industria della "sicurezza" è rimasta ferma nel vecchio paradigma delle revisioni una tantum - sostituendo il controllo del codice a un certo punto nel tempo con "certezza" prima del lancio.
Tuttavia, con l'evoluzione continua delle minacce come attacchi combinati tra protocolli, arbitraggio di prestiti flash, fuga di chiavi private e dirottamenti del frontend, questa "sicurezza a istantanea" sta rapidamente diventando obsoleta. In particolare, dopo che l'Agent AI è evoluto da "strumento di supporto" a "esecutore automatico", il panorama degli attacchi si è ulteriormente ampliato a nuove dimensioni come l'iniezione di suggerimenti e il avvelenamento della catena di fornitura di Skills/MCPs, i rischi di sicurezza stanno mostrando una maggiore dinamicità e interconnesione. In questo contesto, le capacità di sicurezza devono anch'esse subire un aggiornamento.

Il 24 marzo 2026, gli sviluppatori AI stavano ancora scrivendo codice, mentre LiteLLM su PyPI veniva silenziosamente 'avvelenato'. Con un numero di download mensili che raggiungeva i 97 milioni, la libreria open source Python LiteLLM è stata manomessa di notte, con due versioni contaminate (1.82.7, 1.82.8) che sono state silenziosamente caricate. In sole tre ore, decine di migliaia di ambienti di sviluppo e sistemi aziendali potrebbero essere stati esposti a rischi di fuga di dati. A differenza degli attacchi comuni, questo evento non è stato un'iniezione malevola isolata, ma un attacco a catena pianificato con cura dall'organizzazione di hacker TeamPCP.

https://x.com/LiteLLM/status/2036503343510778061

1. Sfondo
Il team di sicurezza Slow Fog ha monitorato un attacco alla supply chain, il file di script frontend ospitato da Apifox CDN ufficiale (hxxps[:]//cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js) è stato infettato da codice JavaScript malevolo gravemente offuscato. Questo codice malevolo si nasconde dietro una funzionalità di tracciamento statistico legittima e, quando eseguito nell'ambiente client desktop Apifox Electron, ruba le credenziali di autenticazione dell'utente e informazioni sensibili del sistema, inviandole a un server C2 controllato dall'attaccante, per poi recuperare ed eseguire codice remoto arbitrario, realizzando un'esecuzione remota di comandi completa (RCE).

Con l'evoluzione degli AI Agent da "strumenti ausiliari" a "esecutori automatici", sempre più Agent iniziano a possedere la capacità di installare plugin (Skills / MCP), chiamare API esterne, leggere documenti e persino partecipare direttamente alle interazioni on-chain. Ma nel frattempo, un problema più reale emerge: quando un Agent può eseguire tutto, come può determinare cosa è sicuro?
Nel mondo reale, un gran numero di attacchi non è più limitato a vulnerabilità tradizionali, ma avviene attraverso librerie di codice dannoso, iniezione di parole chiave, documenti mascherati, contaminazione della catena di approvvigionamento, induzione sociale, e altri mezzi, per effettuare il "dirottamento cognitivo" degli AI Agent. Sulla base di questo contesto, SlowMist annuncia ufficialmente: SlowMist Agent Security Skill 0.1.1 (https://github.com/slowmist/slowmist-agent-security), un framework di revisione della sicurezza completo per gli AI Agent.

I. Premessa
Con il rapido sviluppo della tecnologia dei modelli su larga scala, gli agenti di intelligenza artificiale si stanno gradualmente evolvendo da semplici assistenti intelligenti in sistemi automatizzati in grado di eseguire autonomamente le attività. Questo cambiamento è particolarmente evidente nell'ecosistema Web3. Sempre più utenti stanno iniziando a sperimentare l'utilizzo di agenti di intelligenza artificiale nell'analisi di mercato, nella generazione di strategie e nel trading automatizzato, rendendo realtà l'"assistente di trading automatizzato 24 ore su 24, 7 giorni su 7". Con Binance e OKX che lanciano diverse AI Skill, Bitget che lancia il sito di risorse Agent Hub Skills e Lobster GetClaw, che non richiede installazione, gli agenti possono accedere direttamente alle API delle piattaforme di trading, ai dati on-chain e agli strumenti di analisi di mercato, assumendosi così, in una certa misura, le attività di decisione ed esecuzione del trading che originariamente richiedevano l'intervento manuale.

Il 13 marzo, la conferenza di lancio del prodotto “Monitoraggio dei fondi on-chain e confini di conformità nell'era dell'AI · Conferenza di lancio dei nuovi prodotti di SlowMist” è stata tenuta con successo al CAI CAFE di Causeway Bay, Hong Kong, co-organizzata da SlowMist e ME Group. In un contesto di rapida evoluzione dell'industria degli asset digitali e di un quadro normativo globale sempre più completo, questa conferenza si è concentrata sulle applicazioni innovative della tecnologia AI nel monitoraggio della sicurezza on-chain, lanciando ufficialmente il prodotto di sicurezza centrale annuale di SlowMist - SlowMist KYT, e discutendo insieme ai leader del settore il nuovo equilibrio tra sicurezza degli asset e protezione della privacy nell'era Web3.

Sfondo
Negli ultimi anni, i fornitori di servizi di asset virtuali (VASP) sono stati ripetutamente avvisati: la lotta contro il riciclaggio di denaro (AML) e il monitoraggio delle transazioni (KYT) non sono "elementi aggiuntivi di conformità", ma la soglia di sopravvivenza per la continua operatività. Nel 2025, molte piattaforme di punta o rinomate sono state pesantemente multate per insufficiente conformità alle normative anti-riciclaggio:
BitMEX è stata multata di 100 milioni di dollari dal Dipartimento di Giustizia degli Stati Uniti (DOJ) per non aver stabilito, implementato e mantenuto un sistema adeguato ed efficace di lotta al riciclaggio di denaro e di conoscenza del cliente, violando il (Bank Secrecy Act);
OKX è stata multata di oltre 504 milioni di dollari dal Dipartimento di Giustizia degli Stati Uniti (DOJ) per non aver implementato un adeguato monitoraggio KYC e delle transazioni, che ha portato a flussi di denaro illegali;

Lo sviluppo rapido della tecnologia AI sta cambiando il percorso tecnologico del monitoraggio della sicurezza on-chain e della tecnologia di conformità. Dalla tracciabilità dei fondi on-chain all'identificazione del rischio di riciclaggio, sempre più istituzioni stanno prestando attenzione alla capacità dell'AI nell'analisi dei dati on-chain e nell'intelligence sulle minacce, così come alle nuove possibilità che essa offre nel contesto normativo di conformità.
Come azienda leader globale nella sicurezza della blockchain, SlowMist si unirà al ME Group il 13 marzo a Hong Kong per l'evento di lancio di "Monitoraggio dei fondi on-chain e confini di conformità nell'era dell'AI · Lancio di nuovi prodotti SlowMist". Questo evento si concentrerà sulle applicazioni innovative della tecnologia AI nel monitoraggio della sicurezza on-chain, sull'equilibrio tra sicurezza degli asset e privacy nel contesto delle tendenze globali di conformità, e presenterà per la prima volta i nuovi prodotti di punta annuali di SlowMist, esplorando insieme ai partner del settore nuove direzioni per la sicurezza e lo sviluppo della conformità in Web3.

MistEye per la retina (percezione delle minacce), MistTrack per il sistema immunitario (controllo dei rischi on-chain), le pratiche di sicurezza OpenClaw per lo scheletro (vincoli comportamentali), MistAgent per il cervello (analisi profonda e audit), ADSS per l'armatura (garanzia dell'intero ciclo di vita) di un'architettura di difesa integrata.

1. Riepilogo esecutivo (problema, soluzione, valore)
Con l'integrazione profonda della catena degli strumenti AI e delle attività Web3, OpenClaw/Agent sta passando da un ruolo di supporto a un nodo di produttività centrale in grado di eseguire direttamente azioni ad alta autorizzazione. Nel frattempo, la superficie di attacco si è espansa dai tradizionali difetti di codice ai livelli di suggerimento, catena di approvvigionamento degli strumenti, esecuzione del sistema e livello degli asset on-chain, con rischi che presentano una maggiore interconnessione e capacità distruttive.

Mentre l'industria degli asset digitali si sviluppa rapidamente, la complessità dei flussi di fondi on-chain e i requisiti normativi stanno aumentando costantemente. Dalla lotta contro il riciclaggio di denaro (AML) al monitoraggio dei fondi (KYT), dall'identificazione dei rischi on-chain alla cooperazione globale per la conformità, sicurezza e conformità stanno diventando una parte indispensabile delle infrastrutture Web3.
In questo contesto, SlowMist collaborerà con ME Group per tenere il "Conferenza di lancio del prodotto: Monitoraggio e confini della conformità dei fondi on-chain nell'era dell'AI · Nuovo prodotto SlowMist" a Hong Kong il 13 marzo. Non è solo un'introduzione di un prodotto, ma anche un dialogo approfondito sul futuro della sicurezza degli asset digitali e della conformità globale. Vi invitiamo a testimoniare insieme a noi questo importante momento.

Introduzione
Con l'aumento rapido delle capacità degli agenti intelligenti autonomi, agenti AI come OpenClaw, che hanno privilegi terminali e persino Root, stanno giocando un ruolo centrale in scenari come l'automazione delle operazioni, le operazioni on-chain, la gestione dei sistemi e la pianificazione di compiti complessi. Non solo possono comprendere le istruzioni, ma possono anche interagire profondamente con i sistemi operativi, gli ambienti di rete e i servizi esterni, diventando veri e propri soggetti intelligenti in grado di eseguire compiti.
Tuttavia, questa capacità è accompagnata da rischi significativi. Le misure di sicurezza tradizionali (come chattr +i, firewall) spesso non riescono a gestire i flussi di lavoro automatizzati degli agenti e sono difficili da difendere contro attacchi specifici ai modelli di linguaggio di grandi dimensioni (LLM), come l'iniezione di prompt. Nel garantire la massimizzazione delle capacità, come possiamo realizzare un rischio controllabile e un'operazione auditabile, diventando un problema che deve essere risolto in ogni scenario di applicazione di agenti intelligenti ad alta autorizzazione.

Autore: Slow Mist White Hat wowo
Editore: 77
Questo articolo è stato pubblicato da Slow Mist White Hat wowo e si basa sul suo riepilogo delle audit di sicurezza pratiche condotte su vari prodotti di browser a impronta digitale mainstream.
Introduzione
Il browser a impronta digitale (Antidetect Browser) è un software di tipo strumentale che è rapidamente emerso negli ultimi anni, ampiamente utilizzato per la gestione multi-account nel commercio elettronico transfrontaliero, le operazioni sui social media, la pubblicità, e per le interazioni di airdrop nel campo Web3 ("guadagnare soldi facile"), gestione di più portafogli e altri scenari. Il suo punto di forza principale è "isolamento dell'impronta digitale del browser, protezione della sicurezza dell'account", gli utenti spesso custodiscono un gran numero di asset digitali di alto valore - inclusi stati di accesso alle piattaforme di e-commerce, sessioni sui social media, credenziali di pagamento, e anche chiavi private e frasi seed dei portafogli di criptovaluta - all'interno di esso.

Autore: Yao & sissice
Editor: 77
Contesto
Di recente, il progetto open source AI Agent OpenClaw ha ottenuto una popolarità inaspettata, il suo centro plugin ufficiale ClawHub ha rapidamente attirato un gran numero di sviluppatori. Il team di sicurezza di Slow Fog ha monitorato e scoperto che ClawHub sta diventando un nuovo obiettivo per gli aggressori per implementare l'avvelenamento della catena di fornitura. A causa della mancanza di meccanismi di revisione completi e rigorosi sulla piattaforma, un gran numero di skill dannose è già stato mescolato, utilizzato per diffondere codice malevolo o pubblicare contenuti dannosi, portando a rischi di sicurezza potenziali per sviluppatori e utenti.
Il team di sicurezza di Slow Fog ha avviato un'analisi immediata dopo l'esposizione dell'incidente, e ha emesso avvisi per il lato cliente tramite MistEye, mentre continua a monitorare le nuove skills dannose su ClawHub.

Nel febbraio 2026, con il Consensus Hong Kong 2026 in arrivo, Hong Kong ospiterà una serie di eventi del settore focalizzati su Web3, pagamenti e fintech. Come azienda specializzata nella sicurezza dell'ecosistema blockchain, SlowMist parteciperà il 9 febbraio a due importanti summit durante la settimana degli eventi del Consensus Hong Kong 2026, per un dialogo approfondito con rappresentanti del settore provenienti da istituzioni finanziarie, fornitori di servizi di pagamento e dall'ecosistema Web3, esplorando le sfide di sicurezza e le pratiche di conformità nel processo di implementazione su larga scala della finanza on-chain.
Summit sui Pagamenti di Nuova Generazione 2026

Il 30 gennaio, la cerimonia di premiazione del "Programma di riconoscimento delle élite della sicurezza informatica 2025" organizzato dal Dipartimento di Polizia di Hong Kong in collaborazione con l'Ufficio delle Politiche Digitali (DPO) e l'Ufficio per la Promozione della Produttività di Hong Kong (HKPC) si è svolta presso il Club degli Ufficiali della Polizia di Hong Kong. SlowMist ha ricevuto il "Premio per il contributo eccellente alla sicurezza informatica" nel campo del "Premio Professionale per la Sicurezza Informatica 2025"; contemporaneamente, il partner e Chief Information Security Officer di SlowMist, Zhang Lianfeng, ha ricevuto il "Premio Eccellente" nel campo dell'audit e della consulenza sulla sicurezza informatica nel "Premio Professionale per la Sicurezza Informatica 2025".

Autore: Yao
编辑：77
Sfondo
Recentemente, il laboratorio Chainbase ha monitorato e catturato un'attività di phishing mascherata da "audit/conferma di conformità", e ha sincronizzato i campioni dannosi correlati, dopo averli desensibilizzati, con il team di sicurezza Slow Mist. Entrambe le parti hanno collaborato per indagare e analizzare il campione dannoso.
Gli aggressori iniziano inducendo i destinatari a rispondere con "conferma del nome legale dell'azienda in inglese", poi continuano con frasi come "audit esterno FY2025" e "conferma di vesting del token scadenza" e inviano allegati dannosi in formato Word/PDF. Attraverso ingegneria sociale, inducono le vittime ad aprire gli allegati e seguire le istruzioni, rubando così credenziali o dati sensibili.

Dal suo stabilimento il 26 gennaio 2018, SlowMist ha trascorso otto anni nel campo della sicurezza blockchain. Otto anni possono non sembrare tanto su una linea temporale, ma in un settore in rapida evoluzione e costante innovazione, è abbastanza per affrontare più cicli di alti e bassi, cambi di paradigmi tecnologici e ripetuti aggiornamenti delle minacce alla sicurezza. Mantenendo la ferma convinzione di 'portare sicurezza all'ecosistema blockchain', SlowMist ha sempre investito con amore infinito nella ricerca e nella pratica della sicurezza, incarnando l'impegno per la sicurezza attraverso le azioni. Affinché la tecnologia venga affilata attraverso attacchi reali e risposte rapide, e attraverso l'accumulo di tempo, costruendo lentamente il valore della sicurezza di SlowMist.

Autori: enze & Lisa
Modifica: 77
Contesto
L'8 gennaio 2026, il protocollo di calcolo decentralizzato Truebit Protocol ha subito un attacco, con l'attaccante che ha guadagnato circa 8.535 ETH (circa 26,44 milioni di dollari) sfruttando una vulnerabilità del contratto. Di seguito è riportata un'analisi dettagliata dell'evento da parte del team di sicurezza SlowMist.

Causa principale
Il contratto di Purchase del Truebit Protocol, nel calcolare la quantità di ETH necessaria per coniare token TRU, ha subito un'anomalia nel calcolo del prezzo a causa della mancanza di protezione contro l'overflow nell'operazione di addizione intera, consentendo all'attaccante di coniare una grande quantità di token a costo quasi zero e di prelevare i fondi di riserva del contratto.