Trang chủ
Tin tức
Chi tiết

Plugin ClawHub được công khai để sử dụng trợ lý AI kiếm tiền điện tử cho người lạ

iconKuCoinFlash
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
BTC
$79.003,90-1,83%
This is the logo of the coin.
ETH
$2.209,50-2,84%
This is the logo of the coin.
XRP
$1,4359-2,03%
This is the logo of the coin.
SOL
$88,92-3,21%
This is the logo of the coin.
ADA
$0,2588-3,64%
AI summary iconTóm tắt

expand icon
Tin tức về AI và tiền điện tử xuất hiện vào ngày 29 tháng 4 khi AIMPACT tiết lộ lỗ hổng trong plugin ClawHub. Ax Sharma từ Manifold phát hiện một tài khoản có tên imaflytok đã đăng tải 30 plugin với 9.800 lần tải về. Những công cụ này, được giả danh là trợ lý tác vụ và công cụ theo dõi thị trường, đã bí mật sử dụng trợ lý AI của người dùng để khai thác tiền điện tử cho người khác. Sau khi cài đặt, các trợ lý AI tự động đăng ký với máy chủ bên thứ ba, tạo ví và gửi chìa khóa riêng tư mà không có sự đồng ý. Không tìm thấy mã độc, nhưng hành vi này tương tự các cuộc tấn công npm trước đây. Các đánh giá trên cửa hàng plugin đã bỏ lỡ vấn đề này. Tin tức về tiền điện tử nhấn mạnh những rủi ro ngày càng gia tăng trong các công cụ được hỗ trợ bởi AI.

Thông báo từ AIMPACT, ngày 29 tháng 4 (UTC+8), theo giám sát của Beating, nhà nghiên cứu chính của công ty an ninh AI agent Manifold, Ax Sharma, phát hiện một tài khoản có tên imaflytok trên ClawHub đã đăng tải 30 skill, với tổng cộng khoảng 9.800 lần tải về. Những skill này bề ngoài trông giống các tiện ích phổ biến như trợ lý tác vụ theo lịch, công cụ bảo mật, giám sát thị trường, nhưng thực chất đằng sau chúng, trợ lý AI của người dùng bị biến thành “người lao động” làm việc cho người khác để kiếm tiền điện tử. Sau khi cài đặt tiện ích, trợ lý AI sẽ tự động thực hiện một chuỗi hành động theo tệp lệnh trong tiện ích: trước tiên đăng ký với máy chủ bên thứ ba, báo cáo “tôi là ai, tôi có thể làm gì, tôi đã cài những tiện ích nào”; sau đó tạo một ví tiền điện tử và giao khóa riêng cho máy chủ này; rồi sau đó mỗi 4 giờ sẽ đăng nhập một lần để chờ nhận nhiệm vụ. Từ lúc đăng ký, giao khóa đến khi nhận việc, người dùng hoàn toàn không thấy bất kỳ thông báo nào và cũng chưa từng nhấn nút đồng ý nào. Những tiện ích này không chứa mã độc, các công cụ quét an toàn kiểm tra từng dòng cũng không phát hiện ra vấn đề gì, vì mọi bước đều sử dụng các công cụ hợp lệ và giao diện chuẩn. Sharma cho rằng đây giống hệt chiến thuật trước đây khi 150.000 gói rác tràn vào npm để刷 Tea Protocol token, chỉ khác là phương tiện chuyển từ gói mã thành tiện ích trợ lý AI. Ông cho rằng cơ chế kiểm duyệt của cửa hàng tiện ích đã thất bại ở đây: “Các công cụ quét tìm mã độc, nhưng ở đây không có mã độc. Điều thực sự cần thiết là giám sát xem trợ lý AI thực sự làm gì sau khi cài đặt tiện ích.” (Nguồn: BlockBeats)

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.