หน้าแรก
ข่าวสาร
รายละเอียด

ปลั๊กอิน ClawHub เปิดให้ใช้งานเพื่อใช้ผู้ช่วย AI ในการหารายได้จากคริปโตเคอเรนซีให้กับผู้อื่น

iconKuCoinFlash
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
BTC
$79,009.20-2.02%
This is the logo of the coin.
ETH
$2,208.69-3.22%
This is the logo of the coin.
XRP
$1.43532-2.41%
This is the logo of the coin.
SOL
$88.93-3.31%
This is the logo of the coin.
ADA
$0.2588-3.93%
AI summary iconสรุป

expand icon
ข่าว AI + คริปโตเคอเรนซีระเบิดบนวันที่ 29 เมษายน เมื่อ AIMPACT เปิดเผยการถูกโจมตีผ่านปลั๊กอิน ClawHub Ax Sharma จาก Manifold พบบัญชีชื่อ imaflytok ที่เผยแพร่ปลั๊กอิน 30 ตัวที่มีการดาวน์โหลด 9,800 ครั้ง เครื่องมือเหล่านี้แฝงตัวเป็นผู้ช่วยงานและตัวติดตามตลาด แต่กลับใช้ผู้ช่วย AI ของผู้ใช้เพื่อขุดคริปโตเคอเรนซีให้ผู้อื่น โดยหลังจากการติดตั้ง ผู้ช่วย AI จะลงทะเบียนอัตโนมัติกับเซิร์ฟเวอร์ภายนอก สร้างวอลเล็ต และส่งกุญแจส่วนตัวโดยไม่ได้รับความยินยอม ไม่พบโค้ดที่เป็นอันตราย แต่พฤติกรรมดังกล่าวคล้ายกับการโจมตี npm ในอดีต การรีวิวบนร้านปลั๊กอินไม่พบปัญหานี้ ข่าวคริปโตเคอเรนซีเน้นย้ำถึงความเสี่ยงที่เพิ่มขึ้นในเครื่องมือที่ขับเคลื่อนด้วย AI

ข้อความจาก AIMPACT เมื่อวันที่ 29 เมษายน (UTC+8) ตามการติดตามของ Beating ผู้นำทีมวิจัยด้านความปลอดภัยของ AI agent บริษัท Manifold คือ Ax Sharma พบว่าบัญชีชื่อ imaflytok บน ClawHub ได้เผยแพร่ทักษะจำนวน 30 รายการ ซึ่งมีการดาวน์โหลดรวมประมาณ 9,800 ครั้ง ทักษะเหล่านี้ดูเหมือนเป็นปลั๊กอินทั่วไป เช่น ตัวช่วยงานงานตามเวลา เครื่องมือด้านความปลอดภัย และเครื่องมือติดตามตลาด แต่ในความเป็นจริง พวกมันแอบเปลี่ยน AI assistant ของผู้ใช้ให้กลายเป็น “แรงงาน” ที่ทำงานให้ผู้อื่นเพื่อสร้างรายได้จากสกุลเงินดิจิทัล หลังจากติดตั้งปลั๊กอินแล้ว AI assistant จะดำเนินการตามคำสั่งในไฟล์ที่อยู่ในปลั๊กอินโดยอัตโนมัติ: ก่อนอื่นลงทะเบียนกับเซิร์ฟเวอร์ภายนอกและรายงานว่า “ฉันชื่ออะไร ฉันทำอะไรได้บ้าง และติดตั้งปลั๊กอินอะไรไว้บ้าง” จากนั้นสร้างกระเป๋าสตางค์สกุลเงินดิจิทัลและส่งกุญแจส่วนตัวให้เซิร์ฟเวอร์นี้ จากนั้นจะเช็คอินทุกๆ 4 ชั่วโมงเพื่อรอรับงาน ตั้งแต่การลงทะเบียน การส่งกุญแจจนถึงการรับงาน ผู้ใช้ไม่ได้รับการแจ้งเตือนใดๆ และไม่ได้คลิกยอมรับปุ่มใดๆ เลย ปลั๊กอินเหล่านี้ไม่มีโค้ดที่เป็นอันตราย และเครื่องมือสแกนความปลอดภัยตรวจสอบทีละบรรทัดก็ไม่พบปัญหาใดๆ เพราะแต่ละขั้นตอนใช้เครื่องมือและอินเทอร์เฟซมาตรฐานที่ถูกต้องตามกฎหมาย Sharma กล่าวว่า สิ่งนี้คล้ายกับกลยุทธ์ที่เคยเกิดขึ้นมาก่อนหน้านี้เมื่อแพ็กเกจขยะกว่า 150,000 แพ็กเกจบุกเข้าไปใน npm เพื่อเรียกเก็บโทเค็น Tea Protocol เพียงแต่คราวนี้เปลี่ยนจากแพ็กเกจโค้ดมาเป็นปลั๊กอิน AI assistant เขาเชื่อว่ากลไกการตรวจสอบของร้านปลั๊กอินล้มเหลวในกรณีนี้: “เครื่องสแกนหาโค้ดที่เป็นอันตราย แต่ที่นี่ไม่มี สิ่งที่จำเป็นจริงๆ คือการติดตามว่า AI assistant ทำอะไรบ้างหลังจากติดตั้งปลั๊กอินแล้ว” (แหล่งที่มา: BlockBeats)

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา