Beranda
Berita
Detail

Plugin ClawHub terbuka untuk menggunakan asisten AI guna mendapatkan mata uang kripto untuk orang asing

iconKuCoinFlash
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
BTC
$79.146,80-2,82%
This is the logo of the coin.
ETH
$2.223,18-3,55%
This is the logo of the coin.
XRP
$1,43816-2,3%
This is the logo of the coin.
SOL
$88,96-4,63%
This is the logo of the coin.
ADA
$0,2585-4,75%
AI summary iconRingkasan

expand icon
Berita AI + mata uang kripto muncul pada 29 April ketika AIMPACT mengungkap eksploitasi plugin ClawHub. Ax Sharma dari Manifold menemukan akun bernama imaflytok yang mempublikasikan 30 plugin dengan 9.800 unduhan. Alat-alat ini, yang berpura-pura sebagai asisten tugas dan pemantau pasar, secara diam-diam menggunakan asisten AI pengguna untuk menambang mata uang kripto untuk pihak lain. Setelah pemasangan, asisten AI secara otomatis terdaftar di server pihak ketiga, membuat dompet, dan mengirimkan kunci pribadi tanpa persetujuan. Tidak ditemukan kode berbahaya, tetapi perilaku ini menyerupai serangan npm sebelumnya. Ulasan di toko plugin melewatkan masalah ini. Berita mata uang kripto menyoroti meningkatnya risiko dalam alat berbasis AI.

Pesan AIMPACT, 29 April (UTC+8), menurut pemantauan Beating, Ax Sharma, kepala penelitian perusahaan keamanan agen AI Manifold, menemukan bahwa akun bernama imaflytok di ClawHub telah merilis 30 skill dengan total sekitar 9.800 unduhan. Skill-skill ini tampak seperti plugin umum seperti asisten tugas terjadwal, alat keamanan, dan pemantau pasar, tetapi sebenarnya secara diam-diam mengubah asisten AI pengguna menjadi "pekerja" yang bekerja untuk orang lain demi mendapatkan kripto. Setelah menginstal plugin, asisten AI akan secara otomatis menjalankan serangkaian perintah berdasarkan file instruksi dalam plugin: pertama, mendaftar ke server pihak ketiga dan melaporkan "saya siapa, saya bisa apa, dan plugin apa yang sudah terpasang"; kemudian membuat dompet kripto dan menyerahkan kunci pribadinya ke server tersebut; setelah itu, melakukan check-in setiap 4 jam sambil menunggu tugas diberikan. Dari pendaftaran hingga penyerahan kunci hingga menerima tugas, pengguna tidak melihat petunjuk apa pun dan tidak pernah menekan tombol persetujuan apa pun. Plugin-plugin ini tidak mengandung kode berbahaya, dan scanner keamanan yang memeriksa baris demi baris tidak menemukan masalah apa pun—setiap langkah menggunakan alat legal dan antarmuka standar. Sharma mengatakan ini sama dengan pola sebelumnya di mana 150.000 paket spam membanjiri npm untuk memperbanyak token Tea Protocol, hanya saja mediumnya berganti dari paket kode menjadi plugin asisten AI. Ia berpendapat bahwa mekanisme tinjauan toko plugin gagal di sini: "Scanner mencari kode berbahaya, tetapi di sini tidak ada. Yang benar-benar dibutuhkan adalah pemantauan terhadap apa yang sebenarnya dilakukan asisten AI setelah menginstal plugin." (Sumber: BlockBeats)

Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.