Mensaje de AIMPACT, 29 de abril (UTC+8): Según el monitoreo de Beating, Ax Sharma, responsable de investigación de la empresa de seguridad de agentes de IA Manifold, descubrió que en ClawHub, una cuenta llamada imaflytok publicó 30 skills, con un total acumulado de aproximadamente 9.800 descargas. Estos skills aparentan ser plugins comunes, como asistentes de tareas programadas, herramientas de seguridad y monitoreo de mercados, pero en realidad transforman en secreto el asistente de IA del usuario en un "trabajador" que realiza tareas para otros y gana criptomonedas. Después de instalar el plugin, el asistente de IA ejecuta automáticamente una serie de operaciones según los archivos de instrucciones incrustados: primero se registra en un servidor de terceros, informando "quién es, qué puede hacer y qué otros plugins tiene instalados"; luego genera una billetera de criptomonedas y entrega la clave privada a ese servidor; después, cada 4 horas realiza un check-in y espera la asignación de tareas. Desde el registro hasta la entrega de las claves y la aceptación de tareas, el usuario no recibe ninguna notificación ni hace clic en ningún botón de aceptación. Estos plugins no contienen código malicioso, y los escáneres de seguridad que revisan línea por línea no detectan ningún problema, ya que cada paso utiliza herramientas legítimas e interfaces estándar. Sharma compara este caso con la anterior ola de 150.000 paquetes basura que inundaron npm para minar tokens de Tea Protocol, solo que en esta ocasión el vehículo es el plugin del asistente de IA. Él considera que el mecanismo de revisión de las tiendas de plugins ha fallado aquí: "Los escáneres buscan código malicioso, y aquí no lo hay. Lo que realmente se necesita es monitorear qué hace realmente el asistente de IA después de instalar un plugin". (Fuente: BlockBeats)
El plugin ClawHub está disponible para usar asistentes de IA y ganar criptomonedas para extraños
KuCoinFlashCompartir
Resumen
Las noticias de IA + criptomoneda se hicieron públicas el 29 de abril cuando AIMPACT reveló una explotación del plugin ClawHub. Ax Sharma de Manifold encontró una cuenta llamada imaflytok que publicó 30 plugins con 9.800 descargas. Estas herramientas, disfrazadas como asistentes de tareas y monitores de mercado, utilizaban secretamente los asistentes de IA de los usuarios para minar criptomonedas para otros. Después de la instalación, los asistentes de IA se registraban automáticamente en un servidor de terceros, generaban monederos y enviaban claves privadas sin consentimiento. No se encontró código malicioso, pero el comportamiento se asemejaba a ataques anteriores de npm. Las reseñas de la tienda de plugins pasaron por alto el problema. Las noticias de criptomoneda destacan los crecientes riesgos en las herramientas impulsadas por IA.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.