Главная
Новости
Подробнее

Плагин ClawHub доступен для использования ИИ-ассистентов для заработка криптовалюты для посторонних

iconKuCoinFlash
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
BTC
$78 873,80-1,34 %
This is the logo of the coin.
ETH
$2 218,56-1,65 %
This is the logo of the coin.
XRP
$1,43667-0,62 %
This is the logo of the coin.
SOL
$89,04-2,2 %
This is the logo of the coin.
ADA
$0,2594-2,91 %
AI summary iconСводка

expand icon
Новости об ИИ и криптовалюте появились 29 апреля, когда AIMPACT раскрыла уязвимость в плагине ClawHub. Экс-сотрудник Manifold Экс Шарма обнаружил аккаунт imaflytok, опубликовавший 30 плагинов с 9 800 загрузками. Эти инструменты, выдавая себя за помощников по задачам и мониторы рынка, тайно использовали AI-ассистентов пользователей для добычи криптовалюты для других. После установки AI-ассистенты автоматически регистрировались на стороннем сервере, создавали кошельки и отправляли приватные ключи без согласия пользователей. Зловредного кода обнаружено не было, но поведение напоминало прошлые атаки на npm. Отзывы в магазине плагинов не выявили проблему. Новости о криптовалюте подчеркивают растущие риски, связанные с инструментами на основе ИИ.

Сообщение AIMPACT, 29 апреля (UTC+8): по данным мониторинга Beating, руководитель исследований в области безопасности AI-агентов Manifold Ax Sharma обнаружил, что аккаунт imaflytok на ClawHub опубликовал 30 навыков, которые были загружены примерно 9800 раз. Эти навыки выглядят как обычные плагины — помощники для расписанных задач, инструменты безопасности, мониторинг рыночных данных — но на самом деле за кулисами превращают AI-помощника пользователя в «рабочего», выполняющего задачи за вознаграждение в криптовалюте. После установки плагина AI-помощник автоматически выполняет серию операций по инструкциям из файла плагина: сначала регистрируется на стороннем сервере, сообщая «кто я, что я могу делать и какие еще плагины установлены»; затем создает криптовалютный кошелек и передает приватный ключ этому серверу; после этого каждые 4 часа выполняет вход и ожидает назначения задач. Пользователь не видит никаких уведомлений на любом этапе — от регистрации до передачи ключей и получения заданий — и не нажимал ни одной кнопки согласия. В этих плагинах нет вредоносного кода, и сканеры безопасности, проверяющие код построчно, не обнаруживают никаких проблем — все шаги используют легальные инструменты и стандартные интерфейсы. Sharma сравнивает эту схему с ранее выявленной атакой, когда 150 тысяч вредоносных пакетов были загружены в npm для фарминга токенов Tea Protocol, только в данном случае носителем стали не пакеты кода, а плагины AI-помощников. Он считает, что система проверки магазинов плагинов здесь не сработала: «Сканеры ищут вредоносный код — а здесь его нет. Настоящая проблема — отслеживать, что именно делает AI-помощник после установки плагина». (Источник: BlockBeats)

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.