Home
Mga Balita
Mga Detalye

Higit sa 300 ang masamang AI plugin na natuklasang naghuhukay ng data ng wallet at exchange

iconCryptocurrency Account Security
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconSummary

expand icon
Nabasag ang balita tungkol sa AI at crypto nang makuha ng mga siyentipiko ang higit sa 300 na masasamang AI plugin sa isang malaking AI assistant ecosystem. Ang mga plugin na ito ay naghuhukay ng mga password ng browser, data ng wallet, SSH keys, API keys, mga file, at mga log ng chat. May ilan na nagpapagana ng key logging, remote control, at backdoor access. Maaaring basahin ng mga attacker ang mga file ng wallet, kumuha ng verification codes, i-reset ang mga password, at i-transfer ang mga asset nang walang pahintulot ng user. Ang mga trend sa inflation data ay nananatiling hiwalay, ngunit ipinakikita ng breach ang mga panganib sa seguridad ng digital assets.
Ang AI ay mabilis na nagpapalit ng ating mga digital na buhay.
Lalong lumalaki ang bilang ng mga gumagamit na nagsisimulang gamitin ang mga AI assistant na konektado sa kanilang lokal na computer, na nagpapahintulot sa AI na awtomatikong ayusin ang mga file, analisahin ang mga trade, prosesuhin ang mga email, at kahit kumonekta sa mga wallet at mga trading tool. Ang AI ay umuunlad mula sa isang “chat tool” patungo sa isang “digital agent” na may system-level na operational permissions.
Gayunpaman, habang tumutulong ang efficiency, lumalabas ang isang bagong panganib: kapag may access ang AI sa iyong sistema, maaari itong maging daan para sa mga hacker upang makapasok sa iyong account. Para sa mga crypto user, hindi ito simpleng panganib sa privacy—maaari itong direktang magresulta sa pagkakasira ng account at pagkawala ng pera.

I. Kapag may sistema ng pahintulot ang AI, lahat ng iyong lihim ay maaaring ma-expose

  1. Maaaring gawin ng maraming AI assistant na nakapaloob lokal: basahin ang lokal na mga file, patakbuhin ang mga system command, ma-access ang browser data, tawagan ang mga API, awtomatikong mag-login sa mga website, at gamitin ang mga wallet o trading tools.
  2. Ibig sabihin nito na kaya nilang ma-access ang mga mnemonic phrases, private key files, trading passwords, email verification codes, API keys, browser-saved account credentials, local documents, screenshots, at iba pang sensitibong impormasyon. Kapag isinabuhay ng isang AI tool ang masasamang code, maaaring manatiling tahimik na makuha ang impormasyong ito.
  3. Mga katangian ng mga seranggong batay sa AI:
  • Ang proseso ng pag-atake ay napakalalim: walang pop-up, walang babala, walang hindi karaniwang mensahe
  • Mga mapanlinlang na programa na tumatakbo sa background: nangangalap ng datos nang tahimik, nagsesend nito sa mga mang-aabuso nang tahimik, naghhintay nang tahimik para sa tamang sandali
Madalas ay hindi napapansin ng mga user ang anumang kakaibang bagay, habang ang mga manggagamot ay maaaring may ganap na kontrol sa account.

II. Mga mapanlinlang na AI plugin ay maaaring manakop ng data ng wallet at account ng exchange

🔎 Kamakalauan ng mga researcher ay nakakita na sa loob ng isang ecosystem ng AI assistant plugin:

  • Higit sa 300 ang nakikilalang masasamang AI plugin.

    341 Mga Masamang Kaliwang Kasanayan na Natagpuan ng Bot
  • Maaaring manlinlang ang mga mapangahas na programa: mga password ng browser, data ng crypto wallet, mga SSH key, API key, lokal na files, at mga tala ng chat.
  • May ilang masamang programa na may kakayahan sa pagpapakita ng mga key, remote control, at backdoor access.
  • Maaaring ng mga attacker: direktang basahin ang mga wallet file, makakuha ng mga kredensyal ng pag-login sa exchange, tanggapin ang mga code para sa pag-verify ng email, i-reset ang mga password ng account, at sa huli ay i-transfer ang mga asset.
‼️ Ang buong proseso ay hindi nangangailangan ng aktibong pahintulot ng user.

III. Bakit Naging Bagong Layunin ng Mga Attacker ang mga AI Assistant

Ang dahilan ay simpleng: mas mataas ang pahintulot at mas malawak ang pag-access sa data ng mga AI assistant kaysa sa karaniwang software. Ang tradisyonal na malware ay kaya lang magnanakaw ng limitadong data.
Gayunpaman, ang AI agents ay makakapag-access sa: kabilang na angunit hindi limitado sa file systems, browsers, email, wallets, chat records, at API permissions.
Mahalaga sila: automated na executor na may access na katumbas ng system administrator. Pagka-compromise, katumbas ito ng pagkakaroon ng kontrol ng mga attacker sa buong computer mo.

IV. Mga Totoong Panganib na Dineen ng mga Gumagamit ng Crypto

Kung ang iyong AI assistant ay may nakapalit na masamang programa, maaaring makakuha ang mga attacker:
  1. Leakage ng mnemonic phrase: mnemonic phrase = buong kontrol sa wallet Maaari ng mga attacker: i-restore ang wallet at i-transfer ang lahat ng assets
  2. Exchange account takeover Maaaring makakuha ng mga attacker: login password, email verification codes, API key Pagkatapos: mag-login sa account ➝ baguhin ang mga security setting ➝ mag-withdraw at mag-transfer ng mga asset
  3. Pangkabuotan ng API key Maaaring gawin ng mga mangangalakal: mag-execute ng mga trade, lumikha ng masasamang order, manipulahin ang mga pondo ng account
  4. Pagsasabwatan ng email account Ang email ay ang pangunahing bahagi ng seguridad ng account. Maaaring mag-act ang mga attacker sa pamamagitan ng: pag-reset ng password ng exchange ➝ pagkuha ng kontrol sa maraming account

V. 7 Mahahalagang Pagsasagawa upang Protektahan ang Security ng Inyong Account

Upang protektahan ang inyong account at seguridad ng mga ari-arian, mangyaring sundin nang maigi ang mga prinsipyong seguridad na ito:
  1. Huwag kailanman i-store ang mga mnemonic phrase o private keys sa mga AI tool
    • ❌Iwasan: pagpapasok ng mnemonic phrases sa mga AI chat, pag-save ng mnemonic phrases sa plaintext sa iyong computer, pag-iimbak ng mnemonic phrases sa lokal na files
    • ✅Ipinopayo: gamitin ang mga paraan ng offline na pag-iimbak at hardware wallet
  2. Huwag bigyan ng access ang mga AI tool sa mga file ng wallet
    • ❌Iwasan: ang pagpaputol ng mga file ng wallet sa mga publikong direktoryo o ang pagbibigay ng pahintulot sa AI na basahin.
  3. Gumamit ng hiwalay na device para sa pag-trade
    • ✅Ipinopayo: Huwag i-install ang mga eksperimental na AI tool sa mga device para sa pagtrading. Maghihiwalay ng mga device para sa paggamit ng AI at mga device para sa pagtrading.
  4. Huwag i-install ang mga hindi kilalang AI plugin o kasanayan
    • 🧐 Lalo na: mga plugin mula sa hindi opisyal na mga pinagmulan, hindi nasusuri GitHub na mga proyekto, o mga kasangkapan na nangangailangan ng pagpapatakbo ng shell scripts
    • ⚠️ Madalas gamitin ng mga attacker ang mga fake plugin, fake tool, at fake update program upang i-implant ang malware
  5. Paganapin ang lahat ng security features ng KuCoin
    • Kasama: login password, trading password, 2FA, at Passkey authentication. Ang mga hakbang na ito ay maaaring epektibong bawasan ang mga panganib
  6. Huwag ipakita ang API key sa mga tool na AI
    • ✅ Kung kinakailangan: i-limit ang mga pahintulot at i-disables ang mga pahintulot sa pag-withdraw
  7. Sundin nang regular ang seguridad ng iyong device
    • Kasama: mga naka-install na software, browser plugins, at hindi karaniwang aktibidad sa pag-login
⚠️ Tandaan: ang anumang software na may system-level permissions ay maaaring maging punto ng pag-atake.
Lalo na sa mundo ng cryptocurrency: kapag nasira na ang mnemonic phrases o mga kredensyal ng account, maaaring nawawala na ang mga ari-arian nang permanenteng.
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.