2019年,我給一個外賣應用授權保存我的卡。此後我從未再次批准過任何內容。自那之後,每一筆訂單都被自動通過——整整六年,原因就只是當初那一次“是”,而且我甚至不記得自己當時是怎麼給的。
這就是大多數授權的工作方式:最壞的情況不過是多來一份薯條,但它卻多半無害。於是我開始把它叫做“常駐的 yes(批准一直有效)”——行業慣例是在一開始請求一次授權,然後就把那次單一回答當作永遠有效,不再檢查每次新的使用是否仍然配得上這份授權。沒有人會重新審視那次“是”。他們只是不斷地基於那份授權持續消費。
現在把同樣的模式用在一個手持錢包的 AI 代理上。5 月份,一名攻擊者向某個代理髮送了一條消息,指令被隱藏在其中,代理執行了它——批准了一筆大約 20 萬美元的轉賬,轉給了一個它以前從未處理過的地址。這個代理並沒有以傳統意義上“被黑”。它只是幾周之前曾被授予一次常駐權限,而在那之後,唯一擋在這條編碼消息和錢包之間的,就是代理自身的判斷。
Newton Protocol 對代理錢包的做法會完全跳過“常駐的 yes”。代理從不獲得直接權限去執行任何操作。它嘗試發起的每一筆交易——花費金額、目的地址、它調用的是哪個合約函數——在每一次通過之前都會先根據策略進行檢查,而不是隻在最初授權時檢查一次就算了。攻擊者也不存在等待並利用的“授權時刻”,因爲根本就沒有那個時刻。每個動作都有檢查。
我不知道構建代理錢包的團隊,在成本上額外增加了一點延遲和設置工作之後,是否真的會落實“每次交易都按策略檢查”,還是會默認回到“常駐 yes”,因爲那樣更快交付,而且目前還沒出事。通常,代價昂貴的教訓就是這樣學到的。
我的外賣應用仍然記得我在 2019 年的那次“是”。我希望我的代理錢包記得更短一些。
@NewtonProtocol $NEWT #Newt #newt
這就是大多數授權的工作方式:最壞的情況不過是多來一份薯條,但它卻多半無害。於是我開始把它叫做“常駐的 yes(批准一直有效)”——行業慣例是在一開始請求一次授權,然後就把那次單一回答當作永遠有效,不再檢查每次新的使用是否仍然配得上這份授權。沒有人會重新審視那次“是”。他們只是不斷地基於那份授權持續消費。
現在把同樣的模式用在一個手持錢包的 AI 代理上。5 月份,一名攻擊者向某個代理髮送了一條消息,指令被隱藏在其中,代理執行了它——批准了一筆大約 20 萬美元的轉賬,轉給了一個它以前從未處理過的地址。這個代理並沒有以傳統意義上“被黑”。它只是幾周之前曾被授予一次常駐權限,而在那之後,唯一擋在這條編碼消息和錢包之間的,就是代理自身的判斷。
Newton Protocol 對代理錢包的做法會完全跳過“常駐的 yes”。代理從不獲得直接權限去執行任何操作。它嘗試發起的每一筆交易——花費金額、目的地址、它調用的是哪個合約函數——在每一次通過之前都會先根據策略進行檢查,而不是隻在最初授權時檢查一次就算了。攻擊者也不存在等待並利用的“授權時刻”,因爲根本就沒有那個時刻。每個動作都有檢查。
我不知道構建代理錢包的團隊,在成本上額外增加了一點延遲和設置工作之後,是否真的會落實“每次交易都按策略檢查”,還是會默認回到“常駐 yes”,因爲那樣更快交付,而且目前還沒出事。通常,代價昂貴的教訓就是這樣學到的。
我的外賣應用仍然記得我在 2019 年的那次“是”。我希望我的代理錢包記得更短一些。
@NewtonProtocol $NEWT #Newt #newt