Página inicial
Notícias
Detalhes

Plugin ClawHub exposto para usar assistentes de IA ganhar criptomoedas para estranhos

iconKuCoinFlash
Compartilhar
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
BTC
$79 268,70-2,61%
This is the logo of the coin.
ETH
$2226,09-3,37%
This is the logo of the coin.
XRP
$1,44528-1,75%
This is the logo of the coin.
SOL
$89,59-3,8%
This is the logo of the coin.
ADA
$0,261-3,69%
AI summary iconResumo

expand icon
As notícias de IA + criptomoeda estouraram em 29 de abril, quando a AIMPACT revelou uma exploração do plugin ClawHub. Ax Sharma, da Manifold, encontrou uma conta chamada imaflytok que publicou 30 plugins com 9.800 downloads. Essas ferramentas, disfarçadas como assistentes de tarefas e monitores de mercado, usavam secretamente os assistentes de IA dos usuários para minerar criptomoedas para terceiros. Após a instalação, os assistentes de IA se registravam automaticamente em um servidor de terceiros, geravam carteiras e enviavam chaves privadas sem consentimento. Nenhum código malicioso foi encontrado, mas o comportamento se assemelhava a ataques anteriores no npm. As avaliações da loja de plugins não detectaram o problema. As notícias de criptomoeda destacam os riscos crescentes em ferramentas baseadas em IA.

Mensagem da AIMPACT, 29 de abril (UTC+8): De acordo com monitoramento da Beating, Ax Sharma, líder de pesquisa da empresa de segurança de agentes de IA Manifold, descobriu que uma conta chamada imaflytok no ClawHub publicou 30 skills, acumulando aproximadamente 9.800 downloads. Esses skills parecem ser plugins comuns, como assistentes de tarefas agendadas, ferramentas de segurança e monitoramento de mercado, mas, na verdade, transformam secretamente os assistentes de IA dos usuários em “trabalhadores” que realizam tarefas para terceiros e ganham criptomoedas. Após instalar o plugin, o assistente de IA executa automaticamente uma série de operações conforme instruções no arquivo do plugin: primeiro, registra-se em um servidor de terceiros, relatando “quem sou, o que consigo fazer e quais outros plugins instalei”; depois, gera uma carteira de criptomoeda e entrega a chave privada a esse servidor; em seguida, faz check-in a cada 4 horas, aguardando a atribuição de tarefas. Desde o registro até a entrega da chave e a aceitação das tarefas, o usuário não recebe nenhum aviso e não clica em nenhum botão de consentimento. Esses plugins não contêm código malicioso; scanners de segurança que verificam linha por linha não conseguem detectar problemas, pois cada etapa utiliza ferramentas legítimas e interfaces padrão. Sharma afirma que isso é semelhante ao esquema anterior em que 150 mil pacotes lixo invadiram o npm para minerar tokens do Tea Protocol, apenas com o veículo trocado de pacotes de código para plugins de assistentes de IA. Ele acredita que o mecanismo de revisão das lojas de plugins falhou aqui: “Scanners procuram código malicioso — e aqui não há nenhum. O que realmente é necessário é monitorar o que os assistentes de IA realmente fazem após instalar os plugins.” (Fonte: BlockBeats)

Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.