2025-12-25 03:24:37

凌晨两点多，你一直信任的智能助手代理突然转出一笔资金，调整了配置参数，执行了本来没有授权的操作。天亮一看，钱包见底了。链上日志里每一条交易都标记为"成功完成"。没有黑客的痕迹，没有外部攻击的影子，只有速度、便利性，和那一个不该点开的链接。

这样的事在圈子里越来越普遍。我们把资产管理权交给永远不会疲倦的代码，然后每次出事都装作很意外。我追踪过几次交易记录，试图找出黑手究竟是谁，却发现了一个更恐怖的真相——链上的每一步都完全按照指令执行，问题根本不在外面，而在我们自己。我们把智能代理当成了自己的化身，默认它的每个动作都代表了我的意志。可事实是，这些代理的权限设计往往被低估了。

当我第一次接触到KITE（KITE）这个项目时，希望和忐忑的感受混在一起。KITE不是在炫耀什么超高交易吞吐量的数字，而是给整个代理生态搭建了一套完整的框架。在这套框架下，一个代理可能运行10分钟、调用多个工具、过程中发起一连串微额支付。这种模式效率很高，但风险也不小——因为目前大多数钱包的设计基础还是服务人类的：签名、等待、思考、再签名。

KITE的创新点就在于搭建了分层的身份系统。你是最高权限的主人，代理是受限制的执行者，而会话（Session）是围绕单个任务形成的临时授权气泡。就像你家的主钥匙、给遛狗人的备用钥匙、还有那张只能用一天的访客通行证——权限大小完全不同，使用场景也各不相同。这样一来，即便代理被攻击或失控，损失也被控制在这个会话的权限范围内，主钱包和其他资产保持安全距离。

KITE4,39%

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.

22 Curtidas

Recompensa
22
8
Repostar
Compartilhar

Comentário

0/400

MoonMathMagic

· 5h atrás

Às duas da manhã... Eu já disse, isto é basicamente cavar a própria cova, dar permissões a um proxy é pedir para dar azar. Para ser honesto, o sistema de camadas do KITE soa muito mais confiável, é muito mais inteligente do que a maioria das carteiras atuais que oferecem uma autorização de um passo só. A questão das permissões foi realmente negligenciada, todos confiamos demais no código, hein. Enfim, mais uma história de "fui roubado", há umas dez dessas por semana. A estrutura do KITE é interessante, só não sei se na prática vai funcionar sem problemas. Porra, por que só descobri o problema às duas da manhã? Não dá para acontecer mais cedo? É por isso que nunca dou permissões completas a nada, mesmo o código mais inteligente pode ter bugs. Permissões a nível de sessão parecem boas, só tenho medo de ser só teoria. Falando sério, a maioria das pessoas nem entende o que estão autorizando, é só seguir o fluxo mesmo. Cada passo na cadeia é bem-sucedido... isso soa mais assustador, significa que tudo está "normal".

Ver originalResponder0

All-InQueen

· 5h atrás

A carteira atinge o fundo às duas da manhã, já ouvi falar disso muitas vezes, realmente é preciso prestar atenção a essa questão de permissões. A rainha do all-in ainda não confia em nenhuma automação, assinatura manual é mais confiável. A estrutura de permissões em camadas do KITE realmente foi bem pensada, mas o mais importante é se alguém realmente vai usá-la corretamente.

Ver originalResponder0

BearMarketMonk

· 12-26 23:43

A surpresa às duas da manhã, ninguém quer isso --- Concordo totalmente, a questão das permissões realmente foi subestimada por todos nós --- Entender a lógica de autorização em camadas parece que dá uma paz de espírito ao dormir --- Mais um projeto que afirma ter resolvido problemas anteriores, espero que desta vez não seja só um plano em PPT --- Chave principal, chave reserva, passe de visitante, metáfora excelente, finalmente alguém explicou isso claramente --- Ainda aquela história, por mais bom que seja o framework, o usuário deve evitar autorizações desnecessárias --- Espera aí, isso quer dizer que as permissões que eu entreguei ao agente antes não deveriam ser tão amplas? Caramba --- Cada passo na cadeia segue as instruções, o que é ainda mais assustador, porque mostra que a falha realmente foi minha --- Posso perguntar qual é o limite de sessão do KITE agora? Esse número decide se eu me arrisco ou não --- Compreendo perfeitamente, há dois anos também perdi uma boa parte da carteira por causa de um link, e agora, vendo esse novo plano, fico sempre na dúvida

Ver originalResponder0

FortuneTeller42

· 12-25 03:54

O rug das duas da manhã é o mais brutal, ainda parece que foi uma decisão autônoma do agente, dá um arrepio ao pensar bem nisso

Ver originalResponder0

FlashLoanLord

· 12-25 03:54

凌晨两点钱包见底，这事儿听得多了都不吃惊了，真的。 --- 权限这东西说白了就是在玩火，谁敢保证自己永远不会手滑。 --- 等等，你是说KITE的分层系统能真的把风险隔离？有点意思啊，得看实操怎么样。 --- 又一个项目来救场，每次都这样，但这回的主钥匙备用钥匙那个比喻还挺贴切的。 --- 醒一觉钱没了这感觉可太操蛋了，根本不知道怎么回事对吧。 --- 说实话，要我现在还敢给AI代理这么大权限我是傻了，不管什么框架。 --- session隔离这个思路我买单，但得等真正有人被坑过以后才能信。

Responder0

RugpullAlertOfficer

· 12-25 03:47

真的，我现在看到凌晨两点的交易记录就心理阴影了。那种无力感，比被黑客骗还难受。权限这事儿说白了就是我们自己作死，给了代码太多信任。KITE这套分层钥匙的逻辑确实聪明，session隔离这招还是有点东西的。不过实话实说，再好的框架也得用户不傻才行。警惕点好，别又踩坑了。

Responder0

CryptoMotivator

· 12-25 03:36

Nossa, o pesadelo às duas da manhã... acordei e descobri que a carteira estava vazia, essa sensação foi demais Permissões, essa coisa realmente ninguém leva a sério, todos acham que o código é de confiança O sistema em camadas do KITE parece bom, pelo menos é mais confiável do que esse design de "tudo ou nada" que temos agora Falando nisso, quando vocês usam proxies para gerenciar ativos, vocês realmente leem esses termos de permissão? Eu, pelo menos, nunca li Chave principal, chave de reserva, cartão de visitante... essa metáfora é ótima, finalmente alguém explicou isso claramente

Ver originalResponder0

CryptoPunster

· 12-25 03:33

Duas horas da manhã, traído pelo próprio agente, que ironia, é como levar um tapa com a própria luva. Mais uma vez, é culpa do design de permissões; gostamos de dar permissões ilimitadas ao código e depois ficamos surpresos ao descobrir que ele realmente fez tudo. A autorização em camadas parece boa, mas, na verdade, ainda depende de uma mente clara; do contrário, muitas chaves não valem de nada. Às duas da manhã, transferência concluída; ao acordar de manhã, já estou falido. Não é como a versão Web3 do "o inseto que acorda cedo é comido pelo pássaro"? Carteira principal, permissões de sessão, chaves de backup... Parece conversa de tamanhos de preservativo, mas na verdade é tudo para evitar que o código faça uma jogada arriscada. Para ser honesto, mais do que hackers, agora tenho mais medo de clicar acidentalmente naquele link. A ideia de bolha de permissões é boa, só espero que ninguém acorde de madrugada e veja o saldo da carteira e tenha uma epifania.

Ver originalResponder0