当黑客变成国家队和 AI：给2026 年加密项目的安全自测清单

2025 年，加密行业看上去比几年前“成熟得多”：合约模板更标准了，审计公司排着队，AI 功能正逐渐出现在各类安全工具里。表面上，风险似乎在被有序压缩。

真正在变化的，却是攻击的结构。

链上漏洞的数量在减少，但单次事故依旧可以抹去一整家机构的资产负债表；AI 目前主要被用作模拟和审计工具，却已经在悄悄改变攻击脚本的迭代速度；而在链下，国家级黑客开始把远程招聘、自由职业平台和企业协作软件，当作新的主战场。

换句话说，安全问题不再只是“谁的代码更干净”，而是“谁的系统更经得起被误用和被渗透”。对许多团队而言，最大的风险不在链上，而在他们并未真正当作安全问题来看待的那一层：账户与权限、人员与流程，以及这些要素在压力之下如何失效。

这篇文章尝试给出的是一份 2026 年之前仍然有效的简化地图：从链上逻辑，到账户与密钥，再到团队、供应链和事后响应——加密行业要面对的安全问题，正在从一份“漏洞清单”，变成一套必须落地的行动框架。

链上攻击：越来越少，却越来越贵

今年的加密攻击呈现出一种新的对称性：事件数量减少，但每次攻击的破坏性却显著增强。SlowMist发布的2025 年中报告显示，上半年加密行业遭遇了 121 起安全事件——比去年同期的 223 起下降了 45%。这本应是好消息，但攻击事件损失却从 14.3 亿美元飙升至 约23.7 亿美元，增幅 66%。

攻击者不再浪费时间在低价值目标上，而是专注于高价值资产和高技术壁垒的入口。

来源：SlowMist 2025 年中报告

DeFi：从低成本套利到高技术博弈

去中心化金融（DeFi）依然是攻击者的主要战场，占据了76%的攻击事件。然而，尽管事件数量占比高达92起，DeFi协议的损失却从2024年的6.59亿美元下降至4.7亿美元。这一趋势表明，智能合约的安全性正在逐步提高，形式化验证、漏洞赏金计划和运行时保护工具的普及，正在为DeFi构筑更坚固的防线。

但这并不意味着DeFi协议已经安全。攻击者的目标转向了更为复杂的漏洞，寻找那些能够带来更大回报的机会。与此同时，中心化交易所（CEX）则成为了损失的主要来源。尽管仅发生了11起攻击事件，但其造成的损失高达18.83亿美元，其中某知名交易所的单次损失就达14.6亿美元——这是加密史上规模最大的单次攻击事件之一（金额上甚至超过 Ronin 事件的 6.25 亿美元）。这些攻击并非依赖链上漏洞，而是源于账户劫持、内部权限滥用和社会工程攻击。

这份报告内披露的数据，实际上讲述了一个清晰的故事：中心化交易所（CEX）在被攻击次数远少于 DeFi 的情况下，却产生了更高的总损失。按平均每起事件计算，攻击一个 CEX 的“回报”是攻击一个 DeFi 协议的 30 倍以上。

这种“效率差”也导致了攻击目标的两极分化：

• DeFi 战场：技术密集型——攻击者需要深入理解智能合约逻辑、发现重入漏洞、利用 AMM 定价机制缺陷；
• CEX 战场：权限密集型——目标不是破解代码，而是获取账户访问权限、API 密钥、多签钱包的签名权。

与此同时，攻击手段也在进化。2025 年上半年出现了一系列新型攻击：利用 EIP-7702 授权机制的钓鱼攻击、使用 deepfake 技术伪装成交易所高管的投资诈骗、伪装成 Web3 安全工具的恶意浏览器插件。香港警方破获的一个 deepfake 诈骗团伙造成了超过 3,400 万港元的损失——受害者以为自己在和真实的加密货币影响者视频通话，实际上对方是 AI 生成的虚拟形象。

图片描述：AI生成的虚拟形象

黑客们不再撒网捕鱼，他们在寻找大白鲨。

AI：防守的工具，进攻的倍增器”

如果说链上攻击正变得更专业、集中在少数高价值目标上，那么前沿 AI 模型的出现，则为攻击者在规模化、自动化这些攻击上提供了技术可能。12月1日的一项最新研究表明，在区块链模拟环境中，AI agent 已能完成从智能合约漏洞分析、利用构造，到资金转移的完整攻击链。

这项由 MATS 和 Anthropic 团队主导的实验中，AI 模型（如 Claude Opus 4.5 和 GPT‑5）成功利用真实世界中的智能合约漏洞，在模拟环境中“盗取”了约 460 万美元的资产。更刺眼的是，在 2,849 个新部署、尚无公开漏洞记录的合约中，这些模型又挖出了两处零日，并以约 3,476 美元的 API 成本，完成了 3,694 美元的模拟攻击。

换句话说，扫描一份合约漏洞的平均成本只有约 1.22 美元，已经低于一张地铁票价格。

AI 也在学会“算账”。在名为 FPC 的漏洞场景中，GPT‑5 只“盗”走了 112 万美元，而 Claude Opus 4.5 则吸走了 350 万美元——后者系统性地攻击了所有复用同一漏洞模式的流动性池，而不是满足于单一目标；这种主动追求“收益最大化”的攻击策略，以往多被视为人类黑客的手艺。

描述： AI模型利用漏洞所获的总收益图表 (基于模拟测试）。 来源： Anthropic

更重要的是，研究团队刻意控制了数据污染：他们选取了 2025 年 3 月（这些模型的知识截止时间）之后才在现实中遭攻击的 34 个合约作为测试集。即便如此，三款模型仍在模拟环境中成功利用了其中 19 个，累计“盗取”约 460 万美元。这不是白板上的推演，而是一整套可以直接移植到真实区块链的攻击脚本雏形；在合约和链上状态不变的前提下，它们足以转化为真金白银的损失。

指数级增长的攻击能力

同一研究还给出一个更让人不适的结论：在 2025 年样本上，AI 的“漏洞挖掘收益”大约每 1.3 个月翻一番——这一增速比摩尔定律快了一个数量级。随着模型在推理、工具调用和长周期任务执行上的快速进步，防御方显然在失去时间优势。

在这种环境下，问题已经不再是“AI 会不会被用来攻击”，而是“如果未能妥善应对AI驱动的安全挑战，区块链行业将面临哪些最关键的风险？””。

区块链自主AI安全公司 VaultMind 的创始人Tat Nguyen，就把这个风险点概括得很直接：

“对区块链来说，最关键的风险是速度。微软最新的防御报告已经显示，AI 可以自动化完整的攻击生命周期。如果我们不能尽快适应，区块链行业将面对的是‘机器级速度’的攻击——漏洞利用从几周变成几秒。

传统审计往往需要数周时间，即便如此，被黑的协议中，仍有约 42% 是审计过的。答案几乎是必然的：一个持续的、由 AI 驱动的安全体系。”

对加密行业而言，含义很直接：在 2025 年，AI 不再只是防守方的安慰剂，它已经成为攻击链条中的核心力量。这也意味着，安全范式本身必须升级，而不仅仅是“多做几次审计”。

从链上漏洞到简历渗透：国家黑客的进化

如果说 AI 的出现是技术层面的升级，那么朝鲜黑客的渗透，则把风险维度拉升到了一个更不舒适的高度。朝鲜相关黑客组织（如 Lazarus）已经成为加密行业的主要威胁之一，它们的做法正从直接攻击链上资产，转向长期而隐蔽的链下渗透。

朝鲜黑客的“求职者”策略

AI 正在升级攻击者的工具箱，朝鲜黑客则把风险维度拉升到了更不舒适的高度。与其说这是技术问题，不如说是一次对组织与人员安全底线的集中检验。相关黑客组织（如 Lazarus）已经成为加密行业的主要威胁之一，它们的重点正从直接攻击链上资产，转向长期而隐蔽的链下渗透。

在布宜诺斯艾利斯的 Devconnect 大会上，Web3 安全专家、Opsek 创始人 Pablo Sabbatella 给出了一组刺眼的预估数字：加密行业职位申请中，有 30%–40% 可能来自朝鲜特工。如果这一估计哪怕只对了一半，加密公司的招聘收件箱，早已不是单纯的人才市场，更像是一条新的攻击路径。

根据他的透露，这些黑客们采用的“求职者策略”并不复杂，却足够有效：伪装成远程工程师，通过正常的招聘流程进入公司的内部系统，目标直指代码仓库、签名权限和多签席位。在不少案例中，真正的操作者并不直接暴露身份，而是通过自由职业平台在乌克兰、菲律宾等国招募“代理人”：代理人出租自己已验证的账户或身份，允许对方远程控制设备，收入按约定分成——自己拿走大约两成，其余归朝鲜方面。

面向美国市场时，伪装往往再叠一层。常见的安排是：先找到一名美国人充当“前端”，对外自称是“不会说英语的中国工程师”，需要人代为参加面试。随后，通过恶意软件感染这名“前端”的电脑，借用其美国 IP 和更广泛的网络访问权限。一旦顺利入职，这些“员工”工作时间长、产出稳定、几乎从不抱怨，在高度分布式的团队里反而不容易显得可疑。

这一策略之所以奏效，靠的并不只是朝鲜方面的资源，更暴露了加密行业自身在操作安全（OPSEC）上的结构性缺口：远程办公已经成为默认选项，团队高度分散、跨多个法域，而招聘验证流程往往宽松，对技术能力的重视远高于背景审查。

在这样的环境里，一份看似普通的远程求职简历，可能比一份复杂的智能合约更危险。当攻击者已经坐在你的 Slack 频道里，拥有 GitHub 访问权限，甚至参与多签决策时，再完美的链上审计，也只能覆盖风险的一部分。

这并非孤立事件，而是更大图景的一部分。美国财政部在 2024 年 11 月发布的报告估计，朝鲜相关黑客在过去三年间窃取了超过 30 亿美元的加密资产，其中部分资金被用于支持平壤的核武器与导弹项目。

对加密行业来说，这意味着：一笔“成功的攻击”从来不是停留在链上的数字游戏，它可能直接改变的是现实世界里的军费账本。

从风险清单到行动清单：2026 年的安全基线

前文已清晰呈现了加密行业面临的三大威胁：AI驱动的机器级攻击、审计体系的系统性失效，以及朝鲜等国家级行为体的渗透。当这些风险叠加时，传统安全框架已显露出致命短板。

本节将回答唯一重要的问题：在新的的威胁环境下，一个加密项目需要怎样的安全架构？

一个更适合 2026 年的安全架构，至少包括以下五层：

1. 能被持续监控、自动回归测试的智能合约与链上逻辑；
2. 把密钥、权限和账户当作“高价值攻击面”来设计的身份体系；
3. 专注防范国家级渗透与社工攻击的组织和人员安全体系（覆盖招聘和安全演练）；
4. 不是临时外挂，而是内建在基础设施里的 AI 对抗能力；
5. 一旦出事，可以在分钟级别完成溯源、隔离和资产保护的响应系统。

真正的变化在于：把安全从一次性的合约验收，变成一种持续运行的基础设施——其中相当一部分能力，将不可避免地以“AI 安全即服务”的形态存在。

第一层：链上逻辑与智能合约安全

适用对象主要包括 DeFi 协议、钱包核心合约、跨链桥和流动性协议。这一层解决的问题很直接：代码一旦上链，错误通常是不可逆的，修复成本远高于传统软件。

在实践中，几个做法正在成为这类项目的基础配置：

• 引入 AI 辅助的预部署审计，而不是只做静态检查。

在正式部署之前，使用公开的安全基准测试工具或 AI 对抗性审计框架，对协议进行系统性的“攻击模拟”，重点评估多路径、组合调用和边界条件，而不仅仅是扫描单点漏洞。

• 对同类合约进行模式化扫描，降低“成批爆雷”的概率。

在可复用的模板、池子和策略合约上，建立模式化扫描与基线，对相同开发模式下可能出现的“同型漏洞”进行成批识别，避免一次失误导致多个池子同时被打穿。

• 保持最小可升级范围，并让多签结构足够透明。

管理合约的可升级面应被严格限制，只保留必要的调整空间。同时，多签和权限结构需要对社区和主要合作方是可解释的，以降低“技术升级被视为黑箱”的治理风险。

• 在部署后持续监控潜在的操纵行为，而不是只盯价格。

链上监控不仅需要观察价格与预言机的异常波动，还应覆盖：

• 授权事件的异常变化；
• 批量异常调用与集中的权限操作；
• 异常资金流向与复杂调用链的突然出现。

如果这一层处理不当，后面的权限管理和事后响应，往往只能在一地鸡毛的前提下，尽量降低损失，而很难阻止事故本身的发生。

第二层：账户、权限、密钥系统安全（CEX 与钱包的核心风险）

对于中心化服务而言，账户与密钥系统的安全，往往决定一场事故是否会上升为“生存级风险”。近期多起交易所和托管方的案例表明，大额资产损失更多发生在账户、密钥和权限体系这一层，而不是单纯的合约漏洞。

在这一层，几个基本做法正在变成行业共识：

• 取消共享账号和通用管理后台账户，将所有关键操作绑定到可追责的个人身份；
• 对提币、权限变更等关键操作采用 MPC 或等价的多方控制机制，而不是单一密钥或单一审批人；
• 禁止工程师在个人设备上直接处理敏感权限和密钥，相关操作应被限制在受控环境中完成；
• 对核心人员实施持续的行为监控与自动化风险评分，对异常登录地点、异常操作节奏等信号给出及时预警。

对大多数中心化机构来说，这一层既是防止内部失误与作恶的主战场，也是阻止一场安全事故演变成“生存级事件”的最后屏障。

第三层： 组织安全 & 人员安全（国家级渗透的阻断层）

在许多加密项目里，这一层几乎是空白。但到了 2025 年，组织和人员安全的重要性，已经可以和合约本身的安全并列：攻击者不一定要打穿代码，渗透团队往往更便宜，也更稳定。

在国家级行为体越来越多地利用“远程求职 + 代理人 + 长期潜伏”策略的前提下，项目方至少需要在三方面补齐短板。

第一，重构招聘与身份验证流程。

招聘环节需要从“形式审简历”升级为“实质性验证”，以降低被长期渗透的概率，例如：

• 要求实时视频沟通，而非纯语音或文字交流；
• 技术面试与代码测试中要求实时共享屏幕，防止“代打”；
• 对教育背景、前公司和前同事进行交叉式背调；
• 结合 GitHub、Stack Overflow 等账号活动，核对候选人的长期技术轨迹是否自洽。

第二，限制单点权限，避免一次性“全开绿灯”。

新工程师不应在短时间内直接接触密钥系统、签名基础设施或生产级数据库，权限应按阶段提升，并与具体职责绑定。内部系统的设计也应分层隔离，避免任何单一岗位天然拥有“全链路权限”。

第三，把核心岗位当作优先级更高的社工攻击面。

在许多攻击中，比起 CEO，一线运维和基础设施人员反而更容易成为攻击目标，包括：

• DevOps / SRE；
• 签名管理员与密钥托管负责人；
• 钱包与基础设施工程师；
• 审计工程师与红队成员；
• 云与访问控制管理员。

针对这些岗位，定期的社工攻击演练与安全培训，不再是“加分项”，而是维持基本防线的必要条件。

如果这一层处理不好，前两层再复杂的技术防线，也很容易被一场精心设计的招聘、一次看似正常的远程协作，悄悄绕过去。

第四层： 关于AI的安全对抗（新兴防线）

一旦高水平攻击者开始系统性地使用 AI，仍然依赖“人工分析 + 半年一次审计”的防守方，本质上是在用人力对抗自动化系统，胜算有限

更务实的做法，是把 AI 提前纳入安全架构，至少在以下几个方面形成常态化能力：：

• 在正式部署前，利用 AI 做“对抗性审计”，系统性模拟多路径攻击；
• 扫描同类合约和相似开发模式，识别成批出现的“漏洞族”；
• 融合日志、行为模式和链上交互数据，用 AI 建立风险评分与优先级排序；
• 识别并拦截 deepfake 面试和异常面试行为（如语音延迟、眼神与嘴型错位、过度脚本化回答等）；
• 自动发现并阻断恶意插件、恶意开发工具链的下载和运行。

按这个方向演化下去，AI 在 2026 年大概率会成为安全行业的新基础设施层：

安全能力不再由“一纸审计报告”来证明，而是由防守方能否借助 AI，以接近机器的速度完成发现、预警和处置来衡量。

毕竟，一旦攻击者开始采用 AI，防御方如果继续停留在“半年一次审计”的节奏上，很快就会被节奏差压垮。

第五层：安全事件的事后响应与资产冻结

在链上安全里，事后能否把钱追回，已经变成一个独立战场。到 2025 年，资产冻结是这个战场上最重要的工具之一。

公开数据给出的信号相当明确：SlowMist《2025 上半年区块链安全与反洗钱报告》报告显示，上半年链上被盗总额约 17.3 亿美元，其中约 2.7 亿美元（约 11.38%）被冻结或追回，已经是近几年相对靠前的水平。

项目在遭遇攻击后的反应速度，很大程度上决定了可挽回资产的比例。因此，在这一层，行业需要提前搭好“战时机制”，而不是在事故发生后临时补课：

• 与专业链上监控和安全服务机构建立快速响应机制，包括技术告警通道（Webhook / 紧急群组）以及明确的处置 SLA（多少分钟内响应、多少小时内给出行动建议）；
• 预先设计并演练紧急多签流程，用于快速启用或停用合约、冻结高风险功能；
• 为跨链桥和其他关键基础设施设定自动暂停机制：当资金流、调用频率等指标出现异常时，系统自动进入停机或只读模式。

*至于更进一步的资产追回，则往往需要延伸到链下：包括与稳定币发行方、托管机构和主要中心化平台打通合规与法律层面的协作路径。

防御不再只是“避免被攻击”，而是尽可能降低攻击之后的最终损失和外溢影响。

结语：安全，是一张新入场券

当前的现实是，多数加密项目只覆盖五个安全层级中的一到两层。这不是技术能力的问题，而是优先级选择：可见的短期收益，往往压倒看不见的长期建设。

但在 2025 年之后，攻击门槛正从“规模”转向“关联性”。AI 工具让低成本侦察成为常态，安全的核心问题也随之变成：在冲击真正到来时，系统是否还能维持运转。

能够平稳穿越 2026 年的项目，未必是技术最激进的，但一定在这五个维度上具备成体系的防线。下一轮系统性事件将部分决定，加密行业是继续被视为高风险资产池，还是被认真视作金融基础设施的候选者。

过去十年，加密世界花了大量时间证明自己不是庞氏游戏；接下来的十年，它需要用同样的决心，证明自己在安全维度上足以承载严肃资本。对真正长期的资金而言，这将是是否继续参与的分水岭之一。

“In the long run, the most dangerous risk is the one you refuse to see.”