人工智能正在迅速改變我們的數位生活。
越來越多用戶開始使用連接到本地電腦的 AI 助理,讓 AI 能自動整理檔案、分析交易、處理郵件,甚至連接錢包和交易工具。AI 正從「聊天工具」演變為具有系統級操作權限的「數位代理」。
然而,儘管效率提升,一項新風險正悄然出現:當 AI 訪問您的系統時,也可能成為駭客入侵您帳戶的入口。對於加密貨幣使用者而言,這不僅是隱私風險,更可能直接導致帳戶被盜和資金損失。
I. 當 AI 擁有系統權限時,您的所有秘密都可能被洩露
- 許多本地部署的 AI 助手基本上可以:讀取本地檔案、執行系統指令、存取瀏覽器資料、呼叫 API、自動登入網站,以及操作錢包或交易工具。
- 這意味著他們可以存取:助記詞、私鑰檔案、交易密碼、郵件驗證碼、API密鑰、瀏覽器儲存的帳戶憑證、本地文件、截圖及其他敏感資訊。一旦 AI 工具被植入惡意程式碼,這些資訊可能會被靜默竊取。
- 基於人工智能的攻擊特徵:
- 攻擊過程極為隱蔽:無彈窗、無警告、無異常通知
- 惡意程式在背景運行:靜默收集資料、靜默傳送給攻擊者、靜默等待合適時機
用戶通常不會察覺任何異常,而攻擊者可能已完全控制該帳戶。
II. 惡意 AI 插件可竊取錢包和交易所帳戶資料
🔎 安全研究人員最近發現,在一個 AI 助理插件生態中:
- 機器人發現 341 項惡意爪技能
已識別出超過 300 個惡意 AI 插件。
- 惡意程式可竊取:瀏覽器密碼、加密錢包資料、SSH 金鑰、API 密鑰、本機檔案和聊天記錄。
- 一些惡意程式甚至具有鍵盤記錄功能、遠端控制功能和後門存取功能。
- 攻擊者可:直接讀取錢包檔案、取得交易所登入憑證、截取郵件驗證碼、重置帳戶密碼,並最終轉帳資產。
‼️ 整個過程無需用戶主動授權。
III. 為何 AI 助理已成為攻擊者的新目標
原因很簡單:AI 助理擁有比普通軟體更高的權限和更廣泛的資料存取權限。傳統惡意軟體只能竊取有限的資料。
然而,AI 代理可以存取:包括但不限於檔案系統、瀏覽器、郵件、錢包、聊天記錄和 API 權限。
它們至關重要:具有系統管理員級別存取權限的自動化執行器。一旦被入侵,等同於攻擊者取得您整個電腦的控制權。
IV. 加密貨幣用戶面臨的真實風險
如果您的 AI 助理被植入惡意程式,攻擊者可能獲取:
- 助記詞洩露:助記詞 = 錢包的完全控制權 攻擊者可以:還原錢包並轉帳所有資產
- 交易所帳戶被接管:攻擊者可獲取登入密碼、郵件驗證碼、API密鑰,然後:登入帳戶 ➝ 修改安全設定 ➝ 提幣和轉帳
- API密鑰盜竊 攻擊者可:執行交易、創建惡意訂單、操縱帳戶資金
- 電子郵件帳戶遭入侵:電子郵件是帳戶安全的核心。攻擊者可:重置交易所密碼 ➝ 控制多個帳戶
V. 7 項關鍵措施以保護您的帳戶安全
為保護您的帳戶和資產安全,請嚴格遵守以下安全原則:
- 切勿在 AI 工具中儲存助記詞或私鑰
- ❌避免:在 AI 聊天中輸入助記詞、將助記詞以純文字形式儲存在電腦上、將助記詞儲存在本機檔案中
- ✅推薦:使用離線儲存方式和硬體錢包
- 請勿允許 AI 工具存取錢包檔案
- ❌避免:將錢包檔案放置於公開目錄或授予 AI 讀取權限。
- 請使用獨立的裝置進行交易
- ✅推薦:請勿在交易設備上安裝實驗性 AI 工具。請將使用 AI 的設備與交易設備分開。
- 請勿安裝未知的 AI 插件或技能
- 🧐 特別注意:來自非官方來源的外掛、未經驗證的 GitHub 專案,或需要執行 shell 腳本的工具
- ⚠️ 攻擊者經常使用偽造的外掛、偽造的工具和偽造的更新程式來植入惡意軟體
- 啟用所有 KuCoin 安全功能
- 包括:登入密碼、交易密碼、2FA 二次驗證和 Passkey 認證。這些措施能有效降低風險
- 請勿將 API 密鑰暴露給 AI 工具
- ✅如需如此:限制權限並停用提現權限
- 定期檢查裝置安全性
- 包括:已安裝的軟體、瀏覽器外掛程式和異常登入活動
⚠️ 請記住:任何具有系統級權限的軟體都可能成為攻擊入口。
特別是在加密貨幣世界中:一旦助記詞或帳戶憑證遭到洩露,資產可能會永久損失。