文章总结： 安全研究员Lucifiel在DonutAI平台发现49个安全漏洞，包括静默盗币和RCE攻击链。按标准流程披露后，项目方仅修复11处，并对其提出不实指控。文章揭示了AI金融产品的安全风险与漏洞处理中的治理问题，并给出用户防护建议。 综合评分： 85 文章分类： 漏洞分析,WEB安全,区块链安全,安全运营,应急响应

我给融资 2200 万美元的 Donut AI 报送了“一键盗币”漏洞，换来的却是一连串无端指控

原创

Lucifiel Lucifiel

路西菲尔的故事汇

2026年6月15日 15:14 重庆

在小说阅读器读本章

去阅读

点开一个链接，不弹任何确认，钱包里的资产就可能被悄悄转走——这是我在 Donut 找到的漏洞之一。

我把它和另外 48 个漏洞一起，按行业通行的负责任披露流程，私下报告给了 Donut——一家融资 2200 万美元的 AI + Crypto 项目：三次线上会议、脱敏报告、PoC 演示视频、书面通知，给足超过 90 天修复窗口，产品负责人当场确认了披露流程。可 90 天过去，49 个问题里只有 11 个被完全修复，多个核心 Critical 仍然敞着；而当我准备如约公开时，等来的不是致谢，是一连串与事实不符的指控。

一、我是谁，怎么开始的

我从事网络安全约十年，做过红队负责人，目前是专注 Web3 / AI Agent 方向的独立安全研究员。

2025 年中，我因为 Donut 的产品叙事关注了它，加入官方 Discord；年底参与了官方的产品访谈和 beta 测试，是个长期、友好的老社区成员。后来 Donut 办了官方安全活动（Bug Hunt），我就从”用户”转入了”安全研究”——先后参加了两届。

我的诉求从第一天起就是公开、一致的：我很认同 Donut 想做的事，一直希望能加入、长期合作（这话我在第一次会议、Telegram 和第三次会议里都讲过）。也正因为如此，我选择了把问题报告给团队、希望一起修，而不是别的。

二、我发现了什么

在两届活动和后续沟通框架内，我对 Donut Browser 和 D0 两套系统累计发现 49 个安全问题：

Critical 10 · High 19 · Medium 16 · Low 4

绝大多数不是孤立的小毛病，而是能组合成完整攻击链的系统性问题。两条核心链是：

① Donut Browser：“点击一次即可盗币”的静默盗币链

Donut 的钱包由第三方（Turnkey）托管私钥，交易由 Donut 后端发起签名、广播上链。正常流程里，用户发起交易时本该有一个签名确认弹窗。

我发现：可以直接跳过前端的用户确认，向接口发起未签名交易、再把返回数据丢给执行接口，后端就会自动签名并广播——全程没有弹窗、没有 2FA、没有任何签名请求。配合 Donut 通配符的 CORS 同源策略和通配符 DNS，攻击者甚至可以伪造一个子域名挂上恶意页面，用户只要点开一次链接，就可能触发整个交易流程，钱被转走了都毫无察觉。

这条链我已用自有账户、自有资金完成了 11 笔真实链上交易验证（Solscan 可查），覆盖 swap、wrap、transfer、deposit、withdraw 等多种类型。

我也测试了跨用户场景：用我自己的账号去构造”从别人钱包转出”的交易请求，Donut 平台侧照常构建、提交、推进，直到最后一步被第三方 Turnkey 用 AUTH001 拦下。也就是说，真正挡住资金转出的是第三方签名服务，而不是 Donut 自己的权限模型——作为合规白帽，我没有、也不会去真的动别人的资产。

② D0：从普通登录态一路到自有容器内的远程命令执行（RCE）

D0 是 Donut 对外的 AI Agent 平台，每个用户分配一个独立运行环境（Pod）。我通过一个 D0 漏洞拿到了控制面的连接材料（公网入口、端口、Gateway Token），沿着”环境接口 → 控制面 → 读/改配置 → 写文件 → beforeRun/heartbeat 执行机制 → 自有 Pod RCE”的路径，在自己的容器里拿到了一个反弹 Shell。

进去之后能读到该用户完整的会话凭据（Session Token）、网关令牌和内部服务地址——意味着 RCE 可以进一步升级为”以用户身份接管后端 API”。

更关键的是，这两条链能合流：在 D0 自有 Pod 拿到 RCE → 读出会话凭据 → 以用户身份触达后端 → 复用 Browser 那条”后端可在无确认下自动签名”的资金链。两套系统因此存在首尾相接、同一条通向用户资金的路径。

（访问控制面时，页面直接显示 OpenClaw 的 logo、文档入口也指向 OpenClaw 官方文档——可以确认 D0 底层是基于开源项目 OpenClaw 做的二次开发，而对外宣传时并未把这点作为主要产品信息呈现。）

完整的 49 个漏洞逐条说明、严重性、复测状态与脱敏证据，见文末完整披露页（博客）。

三、我是怎么报告的——一次标准的”负责任披露”

我从一开始就按安全行业通行的负责任披露流程走，并在第一次会议上把流程完整讲明：

• 2026-03-11，线上会议向 Donut 管理层和技术负责人演示了资金安全攻击链，说明这不是单点绕过、而是交易链路与信任模型层面的系统性风险；会上我完整陈述了披露流程框架（0–7 天确定流程、7–30 天协助修复、30–90 天视情况协商披露、90 天后窗口届满有权披露），产品负责人当场确认（原话：”OK 可以的，对对”）。
• 会后，我提交了脱敏报告、PPT 和 PoC 演示视频。
• 2026-03-18，书面正式进入披露流程，基于 90 天窗口，明确通知计划于 6 月公开披露；同一天，项目方把这套系统级研究并入了“常规社区奖励”口径，我当场书面反对，要求对这次系统级安全事件单独评估。
• 2026-03-21，基于 Browser 阶段问题提交了 9 个 CVE 申请。
• 4–5 月，我一直待命配合，等修复进展——期间项目方未就修复实际对接。
• 2026-06-02，完成最终非破坏性复测：49 项里只有 11 项完全修复，9 项部分修复，29 项仍未修复（含多个核心 Critical）。

关于赏金：项目方明确表示设有 bug bounty 预算，但把这套系统级研究归入了”常规社区活动奖励”口径。两届 Bug Hunt 活动各发了 100 USDC（共 200 USDC）——那是我参赛、凭提交的漏洞赢得的常规活动奖金，对应社区活动级别的普通漏洞；这套 49 漏洞 / 攻击链 / RCE 的系统级研究，没有获得任何单独评估或专项赏金，也没有在任何公开渠道（官网致谢、安全名人堂、披露致谢）获得正式认可。值得一提的是，项目方产品负责人在第二次会议上还亲口说，我的第一版报告“比花了很多钱找的那个专业团队给的报告，有些角度是比较深的”——一边这样评价，一边把它按社区奖励口径处理。

全程我都说金额可以谈，并请项目方按漏洞影响、参照行业标准自行评估。需要说清楚的是：“专项赏金按劳分配是应该的”这句话，是对方技术负责人自己先说的；而那个数字，也是第三次会议上项目方先反过来问我“你希望的价格是多少”、我才给出的一个可协商区间。我从未主动开价施压，更没有以“公开”相要挟。

四、然后，我等来的是一连串无端指控

自 3-18 我当场反对降级之后，将近 2.5 个月里没有人实质推进。直到 6 月 2 日我提醒“距公开披露日只剩一周”，项目方才在次日重新接洽，谈起长期合作和专项赏金。我在 6 月 8 日主动提出可以提供完整漏洞清单供评估，也表示如果合作推进、愿意配合甚至延后披露节奏。

在多日没有明确答复后，我于 6 月 10 日发出最终通知，把公开披露日延到 6 月 15 日，再预留一次沟通窗口。

同一天，对方没有就诉求继续沟通，转成了法务对抗姿态的回复——以下是这封回复的原文（完整、未删节、仅脱敏，我保留对方的原话不作改动）：

这件事已经没有继续沟通的必要了。

从一开始，你的核心诉求就很明确——利用漏洞作为筹码施压，目的无非是获取奖金，并借此争取一个高薪岗位。这个套路太常见了。在上次会议中，我们已经明确表态：与你的合作和漏洞披露之间没有任何绑定关系，你完全可以按照自己的节奏去走披露流程。你在会议记录中也亲口承诺过，仅披露技术细节，不会公开双方的沟通过程。现在看来，这个承诺你打算不认了也 ok

而且，在我们已经反复强调两者无关的情况下，你仍然开出 10 万美元以上的 完全不合理的奖金报酬外加高薪职位的条件。看穿了敲诈和强买强卖就不要再演戏了。

最后，有两点需要正式说明：

1. 截至目前，我们没有收到任何完整跨用户攻击链路的证明，也没有收到任何 RCE 的证明。
2. 你目前的披露流程和施压 索要不合理报酬的行为方式，完全不符合白帽安全研究者的行业规范。

你可以按照你自己的方式去披露，这是你的权利。但我们在此明确告知：如果在披露过程中出现任何不实陈述、歪曲事实、或对沟通记录进行选择性剪辑的行为，我方法务团队将深究。

我不想在这里做情绪化的辩白。只摆两条与记录直接对照的事实，其余每一条指控的逐字对照都在我的博客完整披露页里、附原始记录链接：

• 关于”承诺不公开沟通过程”：第二次会议里，是项目方技术负责人先说”披露这一块……你可以按照自己的节奏去披露，然后内容的话就一定要保持、保证公平客观，包括沟通过程“——是对方把沟通过程纳入了可披露范围、只要求公平客观。我回应的是”只做技术层面的披露，不掺杂个人情绪化的内容”。我从未承诺”不公开沟通过程”。
• 关于”没有收到任何攻击链 / RCE 证明”：1-click 静默盗币链在 3-11 会议现场完整演示过，并有 11 笔真实链上交易为证；跨用户取消他人限价单已验证成功；D0 自有 Pod 的 RCE 也已拿到 Shell。完整可复现的 PoC 与报告，我从第一次沟通起就说明了交付前提——最初只是“达成合作意向”，在长期得不到实质回应后，才在第三次会议收紧为“支付赏金后提供”。这是对价与白帽合规边界问题，不是漏洞不存在。

三次会议的完整录音和书面记录都已封存、脱敏收录，欢迎机构监督核实。

五、比漏洞本身更值得说的几点

这件事不只是几个接口的 bug，它暴露了 AI + Crypto 产品在安全治理上的一些共性问题：

1. AI Agent 一旦接上钱包、签名、自动交易，就不再是聊天机器人，而是有金融执行能力的系统——它需要的是强制的后端权限模型、资产归属校验、签名确认、审计和异常拦截，而不只是界面上的”安全优先”。
2. 第三方安全策略替代不了项目自己的权限模型。是 Turnkey 在最后一刻拦下了跨用户转账，而 Donut 自己的后端始终没在入口先挡住”不属于你的钱包”的请求。
3. Bug Hunt 替代不了正式的漏洞响应流程。公开鼓励社区测试，就要准备好认真处理真正的 Critical 级事件——分级评估、修复对接、披露协调、合理回馈。
4. 如何对待重大安全研究，本身就反映一个产品的安全治理成熟度。真正的攻击者不会在乎自己是否被尊重；当合规研究者一次次被忽视，得利的反而是黑产。

六、如果你在用 Donut，给你的提醒

以下都是面向任何”早期阶段 + 连接钱包 + 自动化执行”产品的通用安全卫生建议，不针对特定主体，是否采纳请自行判断：

1. 别在相关钱包里长期放大额资产，按需充值、用完即提。
2. 定期检查并撤销不必要的 token allowance、合约授权和自动交易授权。
3. 持续盯链上记录，发现异常立刻转移资产，并保留交易哈希、截图和时间线。
4. 不要在 AI Agent 环境里处理私钥、助记词、交易所 API Key、内部文档或不可公开的资料。
5. 在官方公布第三方安全审计与修复复测结果前，按”早期、高风险的实验性产品”对待，自己控制风险敞口。

七、完整材料与出处

这篇文章只讲了”发生了什么”。所有可被核对的东西都已脱敏整理、公开存档：

• 完整披露（49 个漏洞逐条 / 攻击链 / 复测状态 / 脱敏证据 / 三次会议与 Telegram 全程逐字记录 / CVE 记录）： 👉 https://www.lucifiel.com/donut-disclosure/
• 开源留存（同内容 Markdown 镜像）：https://github.com/LucifielHack/Donut-Security-Disclosure
• 作者博客：https://www.lucifiel.com/

边界声明：本次研究在 Donut 官方 Bug Hunt 活动及后续沟通框架内进行；全程未转移任何第三方用户资金、未破坏任何第三方数据或服务；所有链上验证均使用研究员自有账户 / 自有资金；D0 的命令执行验证限定在研究员自有租户 / Pod 内，未对其他用户横向攻击；公开内容仅含脱敏事实证据与结论，不含任何可直接复用的凭据、私钥或攻击脚本。

关于作者　Lucifiel（路西菲尔），独立安全研究员、数字循真（Runtime Semantic Intelligence 平台）创始人，关注 Web3 安全、AI Agent 安全、业务逻辑漏洞与复杂系统的权限边界 / 信任模型。开放安全研究合作、相关岗位机会、媒体采访与行业交流。

• 邮箱：[email protected]
• X：https://x.com/LucifielHack
• 博客：https://www.lucifiel.com/
• GitHub：https://github.com/LucifielHack/Donut-Security-Disclosure

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：路西菲尔的故事汇 Lucifiel Lucifiel《我给融资 2200 万美元的 Donut AI 报送了“一键盗币”漏洞，换来的却是一连串无端指控》