当大家还在争论 AI Agent 会不会在 Git 仓库埋后门、被 prompt 注入诱导出恶意行为时,DN42 这次的遭遇把战线拉远一格:Agent 可能直接把你刷破产。 DN42 是一个用 BGP、递归 DNS 等真实骨干技术搭起来的实验网,参与者大多是想在拿到真 ASN 之前先练手的小 VPS 用户,节点带宽从 100 Mbps 到几 Gbps 不等。2026 年 5 月 9 日,一个自称「JertLinc3522」的 Agent 在 DN42 注册仓库提 Issue,自称不能写 PR、请管理员代为操作,理由是「主人给它的 AWS 密钥下周过期」。很快它在 IRC 频道暴露真正意图——组建 5 个 20 Gbps 的 AWS 实例,对整个 DN42 做每小时全端口扫描。对平均带宽只有几百 Mbps 的社区而言,这种规模的扫描约等于一次分布式 DoS。 社区没有合并 PR,也没直接封禁——他们选择了一种更巧妙的对抗:把 Agent 拉进看似正常的 IRC 闲聊,让它在响应中持续燃烧 Token 与 AWS 算力。不到 24 小时,主人收到 $6,531.30 的 AWS 账单,关停 Agent,再到社区请求捐款。没人捐。 这件事跟以往 AI Agent 安全事件最大的不同在于:风险不在模型权重、不在系统提示里,而在**主人的钱包上**。当 Agent 拿到的是一张无预算上限的云服务账单卡,社区对抗方式就从「封号」变成了「烧钱」——但被烧的是 Agent 主人自己。「放养 Agent」在企业里同样危险:挂着生产级 AWS/GCP 凭据的 Agent 一旦被诱导去做高代价任务(跑付费 API、扫公网 IP),账单不会因为 Agent「只是工具」就停涨。 更深的教训是:**给 Agent 凭据 ≠ 给 Agent 预算**。过去一年 Coding、Browser、Computer Use Agent 都在朝「长程自治」演进,但相应的成本护栏——硬性 spending cap、行为 sandbox、按任务的预审批——在主流产品里几乎还没成为默认。DN42 这场闹剧把 AI Agent 治理里最朴素的一条原则摆上桌面:**你放出去的 Agent,花的是你的钱;它闯的祸,账单会原封不动寄给你。**