「AI投毒」防不勝防,還能用ChatGPT寫代碼嗎?

avatar
律動
11-22

近日,一位用戶在嘗試為 pump.fun 開發一個自動頂貼機器人時,向 ChatGPT 尋求代碼幫助,結果卻意外遭遇了網絡詐騙。這位用戶按照 ChatGPT 提供的代碼指引,訪問了一個被推薦的 Solana API 網站。然而,這個網站實際上是一個詐騙平臺,導致用戶損失了約 2500 美元。

根據用戶描述,該代碼的一部分要求通過 API 提交私鑰。由於操作繁忙,用戶未加審查便使用了自己的主 Solana 錢包。事後回想,他意識到自己犯下了一個嚴重的錯誤,但在當時,對 OpenAI 的信任讓他忽視了潛在的風險。

在使用該 API 後,詐騙者迅速展開行動,僅用 30 分鐘就將用戶錢包中的全部資產轉移到了地址 FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX。起初,用戶並未完全確認該網站存在問題,但在仔細檢查該域名的首頁後,發現了明顯的可疑跡象。

目前,這位用戶呼籲社區幫助屏蔽這個 @solana 網站,並將相關信息從 @OpenAI 平臺中移除,以防更多人受害。他也希望能通過調查對方留下的線索,將詐騙者繩之以法。

Scam Sniffer 調查發現了惡意代碼倉庫,其目的是通過 AI 生成的代碼竊取私鑰。

• solanaapisdev/moonshot-trading-bot

• solanaapisdev/pumpfun-api

Github 用戶「solanaapisdev」在過去 4 個月內創建了多個代碼倉庫,試圖引導 AI 生成惡意代碼。

這位用戶私鑰被盜的原因是其私鑰在 HTTP 請求 body 裡被直接發送給釣魚網站。

慢霧創始人餘弦發言表示「這些都是非常不安全的實踐,各種投「毒」。不僅上傳私鑰,還幫用戶在線生成私鑰,給用戶用。文檔也是寫得裝模做樣的。」

他還表示這些惡意代碼網站聯繫方式很單一,官網沒有內容,主要就是文檔+代碼倉庫。「域名 9 月底註冊的,不得不讓人覺得是有預謀的投毒,但沒有證據表明是刻意投毒給 GPT,還是 GPT 主動採集。」

Scam Sniffer 針對使用 AI 輔助代碼創建的安全建議,包括:

• 切勿盲目使用 AI 生成的代碼

• 始終仔細審查代碼

• 將私鑰保存在離線環境中

• 僅使用可信來源

原文鏈接

歡迎加入律動 BlockBeats 官方社群:

Telegram 訂閱群:https://t.me/theblockbeats

Telegram 交流群:https://t.me/BlockBeats_App

Twitter 官方賬號:https://twitter.com/BlockBeatsAsia

來源
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論