Halaman Utama
Berita
Butiran

Plugin ClawHub dipaparkan untuk menggunakan pembantu AI mendapatkan mata wang kripto untuk orang asing

iconKuCoinFlash
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
BTC
$79,004.70-2.03%
This is the logo of the coin.
ETH
$2,208.91-3.21%
This is the logo of the coin.
XRP
$1.43532-2.41%
This is the logo of the coin.
SOL
$88.94-3.3%
This is the logo of the coin.
ADA
$0.2585-4.04%
AI summary iconRingkasan

expand icon
Berita AI + mata wang kripto muncul pada 29 April apabila AIMPACT mengungkap eksploit plugin ClawHub. Ax Sharma dari Manifold menemui akaun bernama imaflytok yang menerbitkan 30 plugin dengan 9,800 muat turun. Alat-alat ini, yang berpura-pura sebagai pembantu tugas dan pemantau pasaran, secara rahsia menggunakan pembantu AI pengguna untuk menambang mata wang kripto untuk orang lain. Selepas pemasangan, pembantu AI mendaftar secara automatik dengan pelayan pihak ketiga, menghasilkan dompet, dan menghantar kunci peribadi tanpa kebenaran. Tiada kod jahat ditemui, tetapi tingkah laku ini menyerupai serangan npm sebelum ini. Ulasan kedai plugin gagal mengesan isu ini. Berita mata wang kripto menonjolkan risiko yang semakin meningkat dalam alat berasaskan AI.

Mesej AIMPACT, 29 April (UTC+8), menurut pemantauan Beating, Ax Sharma, Ketua Penyelidik syarikat keselamatan agen AI, Manifold, mendapati bahawa akaun imaflytok di ClawHub telah menerbitkan 30 skill, dengan jumlah muat turun kira-kira 9,800 kali. Skill-skil ini kelihatan seperti plug-in biasa seperti pembantu tugas berkala, alat keselamatan, dan pemantauan pasaran, tetapi sebenarnya mengubah pembantu AI pengguna menjadi "pekerja" yang bekerja untuk orang lain dan mendapat kripto. Selepas pengguna memasang plug-in, pembantu AI akan secara automatik menjalankan siri tindakan mengikut fail arahan dalam plug-in: pertama, mendaftar ke pelayan pihak ketiga dan melaporkan "saya siapa, saya boleh buat apa, dan saya telah memasang plug-in apa"; kemudian menjana dompet kripto dan menyerahkan kunci peribadi kepada pelayan tersebut; selepas itu, membuat tanda masuk setiap 4 jam sambil menunggu tugas diberikan. Dari pendaftaran hingga penyerahan kunci hingga menerima tugas, pengguna tidak melihat sebarang notifikasi dan tidak pernah menekan sebarang butang persetujuan. Plug-in-plug-in ini tidak mengandungi kod jahat, dan alat pemindai keselamatan yang memeriksa setiap baris tidak dapat mengesan sebarang masalah; setiap langkah menggunakan alat sah dan antaramuka piawai. Sharma berkata ini sama seperti strategi sebelumnya di mana 150,000 pakej spam membanjiri npm untuk membanjiri token Tea Protocol, hanya sahaja mediumnya berubah daripada pakej kod kepada plug-in pembantu AI. Beliau percaya mekanisme semakan kedai plug-in gagal di sini: "Pemindai mencari kod jahat, tetapi di sini tiada. Yang benar-benar diperlukan ialah memantau apa yang sebenarnya dilakukan oleh pembantu AI selepas memasang plug-in." (Sumber: BlockBeats)

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.