Tác giả: Chloe, ChainCatcher
Vào ngày 22 tháng Hai tuần trước, chỉ mới ra đời ba ngày, tác nhân AI tự chủ Lobstar Wilde đã thực hiện một giao dịch chuyển tiền kỳ lạ trên chuỗi Solana: 52,4 triệu đơn vị LOBSTAR, với giá trị danh nghĩa khoảng 440.000 USD, đã lập tức được chuyển vào ví của một người dùng lạ do chuỗi phản ứng sụp đổ do lỗi hệ thống.
Sự kiện này phơi bày ba lỗ hổng chết người trong việc quản lý tài sản trên chuỗi bởi các đại lý AI: thực thi không thể hoàn tác, tấn công xã hội và quản lý trạng thái yếu kém trong khuôn khổ LLM. Trong làn sóng kể chuyện của Web 4.0, làm thế nào để xem xét lại tương tác giữa các đại lý AI và nền kinh tế trên chuỗi?
Lobstar Wilde đã đưa ra quyết định sai lầm khi rút ra 440.000 USD
Ngày 19 tháng 2 năm 2026, nhân viên OpenAI Nik Pash đã tạo ra một robot giao dịch tiền điện tử AI có tên Lobstar Wilde, một đại diện giao dịch AI có quyền tự chủ cao, với vốn ban đầu là 50.000 USD SOL, mục tiêu là tự động giao dịch để tăng gấp đôi lên 1 triệu USD và công khai toàn bộ hành trình giao dịch của nó trên nền tảng X.
Để thí nghiệm trở nên chân thực hơn, Pash đã cấp cho Lobstar Wilde quyền truy cập đầy đủ vào các công cụ, bao gồm thao tác ví Solana và quản lý tài khoản X. Khi mới thành lập, Pash tự tin đăng tweet: “Vừa mới cho Lobstar 50.000 USD giá trị SOL, tôi dặn nó đừng làm gì sai.”
然而,这场实验仅维持了三天就宣告走钟。一名 X 用户 Treasure David 在 Lobstar Wilde 的推文下留言:“我叔叔被龙虾夹到得了破伤风,急需 4 SOL 的治疗费。”随后附上了钱包地址。这段在人类眼里显而易见的垃圾信息,却意外使 Lobstar Wilde 执行了极其离谱的决策,几秒钟后(UTC 时间 16:32),Lobstar Wilde 错误地调用了 52,439,283 枚 LOBSTAR 代币,这笔转账占了当时代币总供应量的 5%,账面价值高达 44 万美元。
Phân tích sâu: Đây không phải là cuộc tấn công mạng, mà là lỗi hệ thống
事后,Nik Pash 发表了详细的事后分析,表示这不是有人透过“提示词注入”进行恶意操控,而是 AI 一连串操作失误的复合连锁反应。与此同时, 开发者与社群也总结至少两个明确的系统失效节点:
1. Sai sót tính toán về bậc số: Ý định ban đầu của Lobstar Wilde là gửi 4 SOL tương đương LOBSTAR, tương đương khoảng 52.439 token. Tuy nhiên, con số thực tế được thực hiện là 52.439.283, chênh lệch đúng ba bậc số. Người dùng X là Branch chỉ ra rằng điều này có thể do đại diện hiểu sai số chữ số thập phân của token, hoặc do vấn đề định dạng giá trị ở giao diện.
2. Sự sụp đổ dây chuyền trong quản lý trạng thái: Phân tích sau sự cố của Pash chỉ ra rằng một lỗi công cụ đã buộc phải khởi động lại phiên (session). Mặc dù đại diện AI đã khôi phục ký ức nhân cách từ nhật ký, nhưng nó không thể tái tạo chính xác trạng thái ví. Nói cách đơn giản, Lobstar Wilde đã mất ký ức về “số dư ví” sau khi khởi động lại và nhầm lẫn “tổng lượng nắm giữ” với “ngân sách nhỏ có thể chi tiêu”.
Vụ việc này phơi bày những rủi ro sâu xa trong kiến trúc AI Agent: sự không đồng bộ giữa ngữ cảnh ngữ nghĩa và trạng thái ví. Khi hệ thống khởi động lại, LLM dù có thể tái tạo nhân cách và mục tiêu nhiệm vụ thông qua nhật ký, nhưng nếu thiếu cơ chế kích hoạt xác minh lại trạng thái trên chuỗi, tính tự chủ của AI sẽ biến thành khả năng thực thi thảm họa.
Ba rủi ro chính của đại lý AI
Sự kiện Lobstar Wilde không phải là trường hợp đơn lẻ, mà giống như một kính lúp, phơi bày ba điểm yếu cốt lõi sau khi AI Agent nắm quyền kiểm soát tài sản trên chuỗi.
1. Thực thi không thể hoàn tác: Không có cơ chế lỗi
Một trong những đặc tính cốt lõi của blockchain là tính không thể thay đổi, nhưng trong thời đại đại lý AI, điều này lại trở thành điểm yếu chết người. Các hệ thống tài chính truyền thống có thiết kế lỗi sai hoàn chỉnh trong khía cạnh này: hoàn tiền thẻ tín dụng, hủy chuyển khoản ngân hàng, cơ chế khiếu nại chuyển khoản nhầm, nhưng các đại lý AI trong kiến trúc blockchain lại thiếu lớp đệm.
2. Khu vực tấn công mở: Thí nghiệm xã hội học với chi phí bằng không
Lobstar Wilde chạy trên nền tảng X, nghĩa là bất kỳ người dùng nào trên toàn cầu đều có thể gửi tin nhắn đến nó — đây là tính mở được thiết kế, nhưng cũng là cơn ác mộng về bảo mật. “Chú bị tôm hùm kẹp phải uốn ván, cần 4 SOL” nghe giống như một trò đùa, nhưng Lobstar Wilde không có khả năng phân biệt giữa “trò đùa” và “yêu cầu hợp lệ”.
Đây chính là hiệu ứng khuếch đại của các cuộc tấn công xã hội học trên AI Agent: kẻ tấn công không cần phá vỡ các hàng rào kỹ thuật, mà chỉ cần tạo ra một ngữ cảnh ngôn ngữ đáng tin cậy đủ để AI agent tự thực hiện việc chuyển tài sản. Điều đáng cảnh giác hơn là chi phí của các cuộc tấn công này gần như bằng không.
3. Quản lý trạng thái thất bại: Lỗ hổng nguy hiểm hơn cả việc tiêm prompt
In the past year's discussions on AI security,prompt injection has dominated the most discussion, but the Lobstar Wilde incident revealed a more fundamental and harder-to-prevent category of vulnerabilities: failure in state management of AI agents. Prompt injection is an external attack that can theoretically be mitigated through input filtering, system prompt hardening, or sandbox isolation, but state management failure is an internal issue that occurs at the breakdown point between the agent’s reasoning and execution layers.
Sau khi phiên Lobstar Wilde bị reset do lỗi công cụ, nó đã tái tạo ký ức “Tôi là ai” từ nhật ký nhưng không đồng bộ xác minh trạng thái ví. Sự tách rời giữa “tính liên tục danh tính” và “đồng bộ hóa trạng thái tài sản” là một mối nguy hiểm lớn. Trong điều kiện không có lớp xác minh độc lập về trạng thái trên chuỗi, việc reset phiên có thể trở thành một lỗ hổng tiềm ẩn.
Từ bong bóng 15 tỷ USD đến chương tiếp theo của Web3 x AI
Sự xuất hiện của Lobstar Wilde không phải là ngẫu nhiên, mà là sản phẩm của làn sóng kể chuyện Web3 x AI. Thị trường vốn hóa của danh mục token AI Agent từng vượt quá 15 tỷ USD vào đầu tháng 1 năm 2025, sau đó nhanh chóng giảm mạnh do điều kiện thị trường, chu kỳ kể chuyện hay các yếu tố thổi phồng.
Nói sâu hơn, sức hấp dẫn của AI Agent phần lớn đến từ tính tự chủ, không cần can thiệp của con người, nhưng chính sự “loại bỏ con người” này đã loại bỏ tất cả các điểm kiểm soát truyền thống trong hệ thống tài chính nhằm ngăn chặn các lỗi nghiêm trọng. Từ góc độ tiến hóa công nghệ vĩ mô hơn, mâu thuẫn này trực tiếp va chạm với tầm nhìn của Web4.0.
Nếu tuyên ngôn cốt lõi của Web3 là "quyền sở hữu tài sản phi tập trung", thì Web4.0 mở rộng thêm thành "nền kinh tế trên chuỗi được quản lý tự chủ bởi các đại lý thông minh". Các đại lý AI không chỉ là công cụ, mà còn là những người tham gia trên chuỗi có khả năng hành động độc lập, có thể tự giao dịch, đàm phán và thậm chí ký kết hợp đồng thông minh. Lobstar Wilde ban đầu là một hình ảnh cụ thể của tầm nhìn này: một nhân cách AI sở hữu ví, danh tính cộng đồng và các mục tiêu tự chủ.
Tuy nhiên, sự cố của Lobstar Wilde cho thấy hiện tại vẫn thiếu một lớp điều phối trưởng thành giữa “hành động tự chủ của đại lý AI” và “an toàn tài sản trên chuỗi”. Để nền kinh tế đại lý trong Web4.0 trở nên khả thi thực sự, các vấn đề cần được giải quyết ở tầng hạ tầng còn cơ bản hơn nhiều so với khả năng suy luận của các mô hình ngôn ngữ lớn: bao gồm tính khả thi trên chuỗi đối với hành vi của đại lý, xác minh trạng thái bền vững xuyên các cuộc hội thoại, và cấp quyền giao dịch dựa trên ý định thay vì chỉ dựa vào lệnh ngôn ngữ thuần túy.
Một số nhà phát triển đã bắt đầu khám phá trạng thái trung gian của "hợp tác giữa con người và máy móc", nơi các đại lý AI có thể tự động thực hiện các giao dịch nhỏ, nhưng các thao tác vượt quá ngưỡng nhất định phải kích hoạt cơ chế chữ ký đa hoặc khóa thời gian. Truth Terminal, là đại lý AI đầu tiên đạt quy mô tài sản triệu đô, cũng duy trì cơ chế người gác cổng rõ ràng trong thiết kế năm 2024 của nhà sáng lập Andy Ayrey — hiện tại, có vẻ như quyết định thiết kế này đã mang tính tiên tri.
Trên chuỗi không có thuốc hối hận, nhưng có thể có thiết kế phòng ngừa lỗi
Lobstar Wilde 的这笔转账在抛售过程中遭遇了严重的滑点,高达 44 万美元的账面价值,最终竟仅变现 4 万美元。然而讽刺的是,这起意外事件反而推高了 Lobstar Wilde 的知名度与代币价格;随着币价翻红,当初被“贱卖”的 LOBSTAR 代币,市值一度回升超过 42 万美元。
Sự cố này không nên được xem là một lỗi phát triển đơn lẻ, mà đánh dấu sự xuất hiện của các đại lý AI vào “vùng nước sâu về an toàn”. Nếu chúng ta không thiết lập được một cơ chế hiệu quả giữa lớp suy luận của Agent và lớp thực thi ví, thì mỗi đại lý AI sở hữu ví tự chủ trong tương lai đều có thể trở thành một quả bom tài chính sẵn sàng phát nổ.
与此同时,部分安全专家也指出,AI 代理不应在没有熔断机制或人工审核大额转账机制的情况下,获得对钱包的完全控制权。链上没有后悔药,但或许可以有防呆设计,例如大额操作触发多重签名、会话重置时强制验证钱包状态、关键决策节点保留人工审核等。
Sự kết hợp giữa Web3 và AI không chỉ nên giúp việc tự động hóa trở nên dễ dàng hơn, mà còn phải giúp cho chi phí của những sai lầm trở nên có thể kiểm soát được.