市场行情不好的时候，安全事件就开始密集出现。 Solv Protocol 被攻击，损失约 270 万美元； Gondi 因合约漏洞损失 78 个 NFT； Step Finance 在 1 月底被黑 3000 万美元后，直接宣布关停。 这其实不是偶发事件，而是 Web3 一直没解决的底层问题： 安全，不是附属问题，而是增长的前提。 在传统金融里，系统出事还有追回、冻结、仲裁。 但在 DeFi，合约本身就是银行、清算系统和资金池。 一旦漏洞被打穿，资产往往不是受损，而是直接消失。 所以真正成熟的玩家，看的不是项目收益率有多高，而是它能不能活过几轮安全周期。 更关键的是，下一阶段 AI Agent 会把这件事变得更复杂。 未来的 AI Trading Agent、AI 钱包、AI DeFi 策略，本质上都在把“决策权”和“执行权”交给自动化系统。 一旦 Agent 可以调用钱包、合约或 API，被 prompt injection、恶意插件或权限劫持利用，风险会比传统合约漏洞更大。 过去黑客研究的是合约。 未来黑客研究的，可能是 模型、Agent、插件、权限系统和链上执行 的整条路径。 所以我越来越觉得，下一轮真正重要的，不只是 AI + Crypto，而是中间必须补上的那一层：Security Infrastructure。 未来真正关键的三个方向： AI Agent 安全层：限制调用权限与行为边界 链上实时风控：发现异常交易后自动熔断 AI 审计系统：持续检测合约和执行逻辑漏洞 没有这层基础设施，AI + DeFi 不是创新加成，反而可能是风险放大器。 web3行业里一个很真实的现象是：很多项目愿意为增长、叙事和流动性花钱，但真正愿意持续投入安全的并不多。 可历史已经反复证明，在 Web3 里，真正杀死项目的，往往不是如何扛过熊市，而是一次安全事故。 所以我现在看项目有个很简单的标准：安全预算大于市场预算的，反而更值得关注。否则 TVL 再高，也可能只是下一个黑客的流动性池。