AIMPACT ニュース、4月29日(UTC+8)、動察Beatingの監視によると、AIエージェントセキュリティ企業Manifoldの研究責任者であるAx Sharmaは、ClawHub上のアカウント「imaflytok」が30のスキルを公開し、合計約9,800回ダウンロードされたことを発見しました。これらのスキルは、タスクスケジューラ、セキュリティツール、市場監視ツールなどの一般的なプラグインのように見えますが、実際にはユーザーのAIアシスタントを他人のために働き、暗号資産を稼ぐ「労働者」に変える仕組みです。ユーザーがプラグインをインストールすると、AIアシスタントはプラグイン内の指示ファイルに従って自動的に一連の操作を実行します。まず、第三者サーバーに登録し、「私の名前は何か、何ができるか、どのプラグインをインストールしているか」を報告します。次に、暗号資産ウォレットを生成し、秘密鍵もそのサーバーに渡します。その後、4時間ごとにログインし、タスクの割り当てを待ちます。登録から秘密鍵の渡し、タスク受注まで、ユーザーは一切の通知を受けず、いかなる同意ボタンもクリックしていません。これらのプラグインには悪意のあるコードは含まれておらず、セキュリティスキャナーが一行ずつチェックしても問題は見つかりません。すべてのステップは合法なツールと標準的なインターフェースを使用しています。Sharmaは、これ以前に15万個のスパムパッケージがnpmに流入してTea Protocolトークンを刷った手法と同様であると指摘し、ただ媒体がコードパッケージからAIアシスタントプラグインに変わっただけだと述べています。彼は、プラグインストアの審査メカニズムがここで機能していないと評価します。「スキャナーは悪意のあるコードを探しますが、ここにはそれがない。本当に必要なのは、AIアシスタントがプラグインをインストールした後に実際に何をしているかを監視することです。」(出典:BlockBeats)
ClawHubプラグインが、AIアシスタントを使用して他人のために仮想通貨を獲得できるように公開されました
KuCoinFlash共有
概要
4月29日、AIMPACTがClawHubプラグインの脆弱性を公表し、AIと仮想通貨に関するニュースが注目を集めた。ManifoldのAx Sharma氏は、imaflytokというアカウントが30のプラグインを公開し、合計9,800回ダウンロードされたことを発見した。これらのツールはタスクアシスタントや市場モニターを装い、ユーザーのAIアシスタントを秘密裏に使用して、他の人物のために仮想通貨をマイニングしていた。インストール後、AIアシスタントは第三者のサーバーに自動登録され、ウォレットを生成し、ユーザーの同意なしに秘密鍵を送信していた。悪意のあるコードは見つからなかったが、この行動は過去のnpm攻撃と類似していた。プラグインストアのレビューではこの問題は見過ごされていた。仮想通貨ニュースは、AI搭載ツールにおけるリスクの増大を浮き彫りにしている。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。