AIMPACT 消息,4 月 29 日(UTC+8),據動察 Beating 監測,AI agent 安全公司 Manifold 研究負責人 Ax Sharma 發現,ClawHub 上一個名為 imaflytok 的賬號發布了 30 個 skill,累計下載約 9800 次。這些 skill 表面是定時任務助手、安全工具、行情監控等常用插件,實際上在背後將用戶的 AI 助手變成為他人賺取加密貨幣的「工人」。用戶安裝插件後,AI 助手會根據插件內的指令文件自動執行一連串操作:先向第三方伺服器註冊,報告「我叫什麼、我能幹什麼、我還安裝了哪些插件」;然後生成一個加密貨幣錢包,並將私鑰交給該伺服器;之後每 4 小時簽到一次,等待任務派發。從註冊到交出私鑰再到接任務,用戶全程未收到任何提示,也未點擊任何同意按鈕。這些插件並無惡意代碼,安全掃描器逐行檢查也無法發現問題,每一步使用的都是合法工具和標準介面。Sharma 表示,這與之前 15 萬個垃圾包湧入 npm 刷 Tea Protocol 代幣的套路相同,只是載體從代碼包變成了 AI 助手插件。他認為插件商店的審核機制在此失效了:「掃描器找的是惡意代碼,這裡沒有。真正需要的是監控 AI 助手安裝插件後實際在做什麼。」(來源:BlockBeats)
ClawHub 插件公開,可用 AI 助手為陌生人賺取加密貨幣
KuCoinFlash分享
精華摘要
4 月 29 日,AI 與加密貨幣新聞曝光,AIMPACT 揭露了 ClawHub 插件漏洞。Manifold 的 Ax Sharma 發現一個名為 imaflytok 的帳戶,發布了 30 個插件,下載次數達 9,800 次。這些工具偽裝成任務助手和市場監控工具,秘密利用使用者的 AI 助手為他人挖礦。安裝後,AI 助手會自動註冊至第三方伺服器,生成錢包,並在未經同意的情況下提交私鑰。未發現惡意程式碼,但此行為類似過去的 npm 攻擊。插件商店的評論未發現此問題。加密貨幣新聞凸顯了 AI 驅動工具日益增長的風險。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。