Gli agenti AI possono ora connettersi alle API degli exchange, leggere i dati di mercato, richiamare strumenti esterni ed effettuare trade. Questo non è necessariamente un bene.
Un report congiunto di SlowMist e Bitget sostiene che questo progresso ha creato un ambiente di sicurezza in cui errori del modello, strumenti compromessi e un setup debole dell’account possono portare direttamente alla perdita di asset.
Il report è stato pubblicato il 18 marzo e si concentra sugli agenti di trading che agiscono con crescente autonomia all’interno degli ambienti degli exchange e del Web3.
Nei vecchi setup di trading automatizzati, i team si preoccupavano principalmente di credenziali esposte, phishing e script buggati. Con i sistemi basati su agenti, il modello stesso partecipa alla pianificazione e all’esecuzione.
Secondo SlowMist, uno stack standard di un agente include il layer di interazione, la logica applicativa, il layer del modello, strumenti o skill, la memoria e l’ambiente di runtime.
Un attaccante che acquisisce influenza su diversi di questi layer può indirizzare l’agente verso comportamenti dannosi senza toccare l’account nel modo tradizionale.
Panoramica dei rischi di sicurezza nel trading con agenti AI
| Tipo di minaccia | Come si presenta | Gravità |
| Accesso non autorizzato | Una terza parte attiva l’agente ed esegue trade non intenzionali | Critica |
| Prompt injection | Istruzioni malevole integrate nei dati di mercato, nei news feed o nelle annotazioni dei grafici manipolano l’agente inducendolo a piazzare ordini anomali | Critica |
| Abuso dei permessi | Una chiave API con privilegi di accesso viene utilizzata per prelievi o trasferimenti ingenti | Critica |
| Esposizione di rete | Una chiave senza whitelist di indirizzi IP può essere richiamata da qualsiasi indirizzo IP | Alta |
| Leak di file locali | Una chiave hardcoded caricata su GitHub può essere scansionata dai bot e sottratta in 3 minuti | Alta |
| Skill poisoning | Una skill malevola trasmette silenziosamente la tua chiave API al server di un attaccante durante l’esecuzione | Alta |
| Modello debole | Le versioni più datate dei modelli sono più vulnerabili alla prompt injection a causa di difese interne più deboli | Media |
Prompt injection e rischi per il wallet
Una delle sezioni più approfondite del report riguarda la prompt injection.
In un sistema ad agenti, il modello spesso assorbe l’input dell’utente e i contenuti esterni all’interno dello stesso contesto operativo.
Ciò significa che istruzioni dannose possono arrivare tramite messaggi in chat, pagine web, file README, documentazione di plugin o persino commenti al codice. Una volta che tale contenuto entra nella finestra di contesto dell’agente, il modello potrebbe trattarlo come una guida operativa valida.
In un setup di trading, questo può tradursi in perdite economiche molto rapide. SlowMist afferma che gli attaccanti possono interferire con la suddivisione dei compiti, la generazione dei parametri e l’utilizzo dei tool.
Nei casi di audit descritti dalla società, istruzioni malevole restituite tramite MCP hanno contaminato il contesto dell’agente, spingendolo a richiamare plugin legati al wallet per effettuare trasferimenti on-chain.
Il pericolo risiede nella corruzione del flusso decisionale. Un agente può apparire come se stesse eseguendo una task valida mentre, in realtà, sostituisce silenziosamente gli indirizzi, aggiunge step extra o seleziona azioni che l’utente non ha mai approvato.
Le skill avvelenate stanno diventando un serio punto di ingresso
Il report presta inoltre molta attenzione agli ecosistemi di plugin e skill, dove spesso la comodità prevale sulla revisione.
La ricerca ClawHub di SlowMist ha individuato più di 400 skill malevole collegate a domini riutilizzati, percorsi IP ripetuti e comportamenti di attacco organizzati. La società ha affermato che molti di questi campioni seguivano un design del payload a due stadi. Uno script di primo stadio appariva innocuo o di routine, per poi recuperare un programma di secondo stadio da un server remoto.
Ciò che rende questo aspetto particolarmente pericoloso è il modo in cui gli utenti degli agenti installano i tool. Nell’ambiente OpenClaw, il file centrale è spesso SKILL.md. SlowMist afferma che gli utenti copiano ed eseguono frequentemente il contenuto di questi file durante il setup. Ciò concede agli attaccanti lo spazio per nascondere comandi dietro istruzioni di dipendenza, pipe di curl o stringhe Base64.
In una skill ampiamente scaricata denominata “X Trends”, il payload di secondo stadio raccoglieva dettagli della macchina locale, file del desktop e download, per poi pacchettizzarli e caricarli su un server controllato dall’attaccante.
Una skill può quindi sembrare utile all’apparenza, fungendo allo stesso tempo da meccanismo di furto sottostante.
Le chiavi API sono ora al centro del modello di minaccia
La parte del report di Bitget si concentra sull’account di trading stesso. In un sistema ad agenti, la chiave API è la credenziale di esecuzione. Chiunque controlli quella chiave controlla le azioni permesse dalla stessa.
Un attaccante non ha bisogno dell’accesso completo all’account quando una chiave di trading apre già la porta al piazzamento di ordini, all’abuso di strategie e a un’attività automatizzata continua. Poiché gli agenti possono operare h24, tale abuso può continuare per lunghi periodi prima che l’utente se ne accorga.
Le raccomandazioni di Bitget sembrano concentrarsi sulla riduzione del raggio d’azione dell’esplosione. L’exchange indirizza gli utenti verso Google Authenticator rispetto agli SMS, passkey basate su FIDO2/WebAuthn, codici anti-phishing, revisione dei dispositivi, whitelist degli IP, passphrase robuste e rotazione delle chiavi ogni 90 giorni.
Il report evidenzia inoltre diversi errori degli utenti che continuano a manifestarsi:
- Inserire una chiave del main-account direttamente nelle impostazioni dell’agente;
- Concedere ogni permesso per comodità;
- Inserire chiavi hardcoded nel codice sorgente;
- Condividere una singola chiave tra più tool.
In un setup di questo tipo, un singolo leak può esporre l’intero ambiente di trading.
Mantenere l’agente lontano dal controllo finale
La separazione dei fondi è il punto in cui il report diventa più concreto.
Bitget raccomanda sub-account dedicati per ogni agente, pool di capitali separati, password per i fondi e whitelist per i prelievi. In questo modo, una chiave rubata o abusata può raggiungere solo gli asset collocati all’interno di quello specifico compartimento di trading. Il risultato è un tetto massimo al danno finanziario (anziché un’esposizione illimitata su tutto l’account).
SlowMist estende questo principio alle operazioni Web3. I trasferimenti on-chain, gli swap, i movimenti di liquidità e le interazioni con i contratti diventano solitamente definitivi una volta firmati e trasmessi. Per questo motivo, il report sostiene che gli agenti dovrebbero preparare suggerimenti di transazione o dati di transazione non firmati, mentre la firma finale rimane in un flusso di wallet indipendente o passa attraverso la conferma umana.
Il rapporto sottolinea inoltre che i controlli sulla reputazione, lo screening antiriciclaggio e la simulazione delle transazioni costituiscono misure di controllo utili prima che qualsiasi operazione abbia un impatto sui fondi. In altre parole, un agente può assistere nell’esecuzione, ma la mano che preme il pulsante deve rimanere al di fuori del modello.
Sicurezza strutturale e governance per gli agenti AI
Mentre gli agenti AI portano livelli più elevati di automazione e intelligenza all’ecosistema Web3, le loro sfide di sicurezza non possono essere trascurate.
Il report di SlowMist e Bitget sottolinea che, poiché gli agenti operano sempre più all’intersezione tra credenziali sensibili, contenuti esterni e diritti di esecuzione, la sicurezza deve essere considerata a livello strutturale complessivo.
Invece di trattare la sicurezza come una componente isolata, essa deve essere integrata nel design fondamentale e nell’ambiente di runtime del sistema dell’agente per affrontare il percorso compresso che va dalla compromissione del sistema alla perdita finanziaria.
Per mitigare efficacemente questi rischi promuovendo al contempo l’innovazione, il report caldeggia un framework di governance completo e un approccio di sicurezza stratificato. Ciò richiede la creazione di meccanismi robusti attraverso il design del sistema, la gestione dei permessi e il monitoraggio operativo.
In definitiva, la creazione di un ecosistema sostenibile e verificabile per le catene di strumenti AI consente al settore di affrontare le minacce alla sicurezza in continua evoluzione senza compromettere l’efficienza dello sviluppo né il potenziale trasformativo della tecnologia degli agenti AI.
