2026 年 5 月，Web3 安全事件依旧高发。基于 GoPlus Rekt Database ，5 月共记录 近百起 有明确损失金额的安全事件，累计损失约 88,422,306 美元。

从结构看，损失高度集中在 Exploit：约 85,322,306 美元；Phishing 仍有数十起高发，损失约 300,000 美元。单月最大单笔损失约 18.8M 美元（私钥泄露），前五大事件合计约 53.55M 美元，占比约 60%，头部效应明显但未出现 4 月那种单事件“碾压式”集中。

与 Web3 同步，AI 安全风险继续从“提示词文本层”外溢到“输入通道、权限系统、记忆系统、执行链和运行时环境”。Rekt Database 显示，AudioHijack、Memory Poisoning、Prompt Injection + 权限滥用、外部内容执行链污染、漏洞链提权与沙箱逃逸 已成为 AI Agent 的核心风险面。

一、Web3 安全概览

1. 总体数据（2026 年 5 月）

• 事件数（有损失金额）：近百起
• 累计损失：88,422,306 美元
• Exploit：42 起，85,322,306 美元
• Phishing：数十起 ，300,000 美元
• 单笔最大损失：18.8M 美元
• 前五大事件合计：53.55M 美元（约 60%）

若与 4 月报告中的 629,750,929 美元总损失相比，5 月损失规模明显回落。但这并不意味着风险缓和，5 月的攻击成功率仍高，且攻击形态更偏向“合约漏洞 + 密钥 / 权限失守 + 跨链场景”复合化。

2. 主要攻击类型

• 跨链桥攻击：约 22.2M 美元
• 私钥泄露：约 32.5M 美元
• 合约漏洞：约 16M 美元
• 内鬼作案：约 7.3M 美元
• Prompt Injection：约 611.3K 美元

这表明本月不只是“合约漏洞”高发，也是“权限与密钥安全问题”大爆发。管理员密钥、多签地址私钥、跨链桥配置等成为高发安全事件。

3. 典型事件

• 5 月 14 日：匿名受害者私钥泄露，损失约 18.8M 美元（约 231 BTC）。
• 5 月 18 日：@veruscoin 跨链桥相关事件，损失约 11.58M 美元。
• 5 月 15 日：@THORChain 被攻击，损失约 10M 美元。
• 5 月 29 日：@dxsale 事件，损失约 7.3M 美元，标签指向“管理员私钥被盗 / 内鬼作案”。
• 5 月 7 日：@trustedvolumes 事件，损失约 5.87M 美元。
• 5 月 30 日：@gravity_bridge 密钥疑似泄露，损失约 5.4M 美元。
• 5 月 24 日：@StablREuro 多签阈值配置问题叠加私钥被窃，损失约 2.8M 美元。
• 5 月 20 日：@RetoSwap（Haveno 相关）P2P 协议实现漏洞，损失约 2.7M 美元。
• 5 月 4 日 与 5 月 20 日：@bankrbot 两起 Prompt Injection 相关事件，合计约 611.3K 美元。

4. 结论与建议（Web3）

• 结论一：合约漏洞依旧高频。
• 结论二：跨链桥与多签系统等暴露的私钥泄露风险极为严重。
• 结论三：Prompt Injection 已进入链上资产损失场景，不再是纯 AI 话题。

建议：

• 对管理员密钥、多签管理员、跨链配置等相关的关键地址，执行强制最小权限和分层隔离，并定期更新。
• 智能合约安全需要基于 AI 的持续审计服务，应对 AI 时代对智能合约的安全挑战。

二、AI 安全事件与趋势

5 月 AI 风险可概括为“从内容安全走向执行安全”。

1. 输入通道风险：AudioHijack

攻击者可在播客、视频、语音消息等内容中嵌入人耳难以察觉但模型可识别的指令，诱导 Agent 发起下载、外联、工具调用等动作。关键问题不是识别错误，而是“被识别后直接进入执行链”。

建议：

• 语音输入不得默认等同文本高可信输入。
• 音频解析结果进入动作链前必须过风控门槛。
• 高危动作必须显式确认，不能仅凭“听起来像用户说的”执行。

2. 记忆系统风险：Memory Poisoning

攻击者通过“伪造用户偏好 / 习惯”污染长期记忆，再用“按老规矩处理”触发高危动作。危险不在当轮 prompt，而在历史记忆被改写后导致授权逻辑偏移。

建议：

• 高危动作不能由长期记忆单独授权。
• 涉及偏好 / 习惯的记忆写入要提级审计。
• 长期记忆要可追溯、可撤销、可回滚。

3. 权限系统风险：Prompt Injection + 工具调用

bankrbot 案例暴露了“持有某类凭证 /NFT 即获得过高 agentic 权限”的设计缺陷。攻击者可在不控制私钥的情况下，借 prompt 触发资产动作，造成实际损失。

建议：

• 工具调用权限做细粒度拆分，不做“一把梭”授权。
• 金融动作强制加入白名单、限额、2FA 和人工确认。
• Prompt 风险识别应从文本检测升级为动作级策略控制。

4. 执行链风险：外部解决方案污染

当 Agent 在执行任务时主动读取外部博客、帖子、代码仓库或说明，若缺乏可信校验，外部“建议”可能转化为可执行攻击路径，引发依赖投毒、敏感文件泄露、异常外联。

建议：

• 外部内容默认不可信，需经过执行前检查。
• 对依赖安装、联网请求、读取敏感文件后的后续动作实施运行时审计。
• 将 Human-in-the-loop 放在关键执行节点，而非只放在最终输出阶段。

5. 运行时风险：漏洞链提权与逃逸

OpenClaw Claw Chain 攻击事件展示了从 prompt 注入到凭证泄露、权限提升、沙箱逃逸、宿主持久化写入的完整攻击链。说明 Agent 安全必须覆盖 prompt 层、执行层、系统层，而非单点加固。

建议：

• 及时修复已披露高危漏洞，避免已知链路可复用。
• 对插件安装、配置改写、Shell 执行、定时任务等高危动作设置硬阻断策略。
• 封堵 TOCTOU、命令拼接、鉴权标志可伪造等底层缺陷。

三、总结与展望

2026 年 5 月，Web3 侧呈现“总损失回落、结构性风险上升”的典型特征：绝对金额低于 4 月，但高危攻击路径更集中在跨链、密钥、权限与合约漏洞。AI 侧则呈现“从提示词安全迈向执行链安全”的加速转变，攻击者已经系统性利用 Agent 的输入通道、长期记忆、权限模型和运行时缺陷。

对 Web3 与 AI 系统而言，核心挑战不再是“有没有漏洞”，而是“漏洞、权限、流程和运行时是否可被链式利用”。安全建设也必须从点状防御升级为全链路治理：持续审计、最小权限、运行时护栏、强确认机制和可追溯策略缺一不可。