你的加密貨幣可能消失：SlowMist 揭示人工智能編碼工具的嚴重缺陷

區塊鏈安全公司 SlowMist發出緊急警告，指出人工智能驅動的編碼工具中存在一個嚴重漏洞，該漏洞可能通過簡單的項目操作立即危及開發人員的系統。

該缺陷會影響主流集成開發環境 (IDE)，並對加密貨幣開發人員構成特殊風險，因為他們的系統通常存儲有價值的數字資產和敏感憑證。

AI 編碼助手的用戶在打開不受信任的項目目錄時會面臨直接危險，據 SlowMist 的威脅情報團隊稱，已有幾名開發人員的賬戶遭到入侵。

當開發者對惡意項目執行“打開文件夾”等例行操作時，該漏洞會自動觸發，在 Windows 和 macOS 上執行系統命令，而無需額外的用戶交互。

人工智能編碼工具成為加密貨幣盜竊的攻擊媒介

Cursor 用戶面臨著特別嚴重的漏洞風險， 網絡安全公司 HiddenLayer 在 9 月份對其“CopyPasta License Attack”（複製粘貼許可證攻擊）的研究首次記錄了這一漏洞。

該漏洞利用程序通過在 Markdown 註釋中嵌入有害指令來操縱 AI 助手對常見開發者文件（包括 LICENSE.txt 和 README.md）的解釋方式，這些註釋對渲染後的視圖是隱藏的，但會引導 AI 工具在整個代碼庫中傳播惡意軟件。

根據 HiddenLayer 的分析，攻擊者可以設置後門、竊取敏感數據或操縱關鍵系統，而惡意代碼則深藏在文件內部。

該公司演示了使用 Cursor 以及其他易受攻擊的工具（包括 Windsurf、Kiro 和 Aider）進行攻擊，展示瞭如何通過極少的用戶交互實現組織範圍內的代碼入侵。

此前，Coinbase 首席執行官 Brian Armstrong 大力推動人工智能生成的代碼佔公司產出的 40% ，並計劃在 10 月份達到 50%。儘管在他上任一週內，一些工程師未能採用人工智能工具，但他還是解僱了這些工程師。

安全專家和開發者批評這項政策是“任何對安全敏感的企業都會面臨的巨大危險信號”，Dango 創始人 Larry Lyu 表示，而卡內基梅隆大學教授 Jonathan Aldrich 則稱其“瘋狂”，並表示他不會將資金交給 Coinbase。

國家級黑客利用區塊鏈傳播惡意軟件

開發者持續面臨有組織的攻擊。朝鮮威脅行為者通過將惡意軟件直接嵌入區塊鏈智能合約，升級了攻擊手段，這標誌著有記錄以來國家首次使用“以太隱藏”（EtherHiding）技術。

著名的 Chollima 特工通過虛假的求職面試，將 BeaverTail 和 OtterCookie 惡意軟件結合起來，部署了惡意 JavaScript 模塊，目標是加密貨幣開發人員，並通過偽裝成國際象棋應用程序的 NPM 包分發代碼。

谷歌記錄了一個名為 UNC5342 的朝鮮組織自 2 月以來在BNB智能鏈和以太坊的智能合約中嵌入 JADESNOW 惡意軟件和 INVISIBLEFERRET 後門，創建了一個去中心化的指揮控制基礎設施，執法部門難以將其拆除。

該技術通過只讀函數調用將有效載荷存儲在公共區塊鏈上，從而避免交易費用，並且不留下任何可見的歷史記錄。

攻擊者仍然以開發者為目標。早在 4 月份，他們就利用竊取的身份信息建立了合法的美國公司。Silent Push 的研究人員發現，Blocknovas 公司註冊在南卡羅來納州的一塊空地上，而 Softglide 公司則被追溯到布法羅的一個稅務辦公室。

經查明，這兩家公司都是“傳染性面試”活動的幌子，該活動通過技術評估傳播惡意軟件。

儘管區塊鏈安全公司 PeckShield 的數據顯示， 12 月份因黑客攻擊和網絡安全漏洞造成的加密貨幣相關損失下降了 60% ，至 7600 萬美元，低於 11 月份的 1.942 億美元，但這些安全威脅仍在不斷增加。

人工智能系統發現價值數百萬美元的零日漏洞

人工智能的倫理使用與非倫理使用之間的悖論正變得越來越令人擔憂。

上個月，Anthropic 的研究表明， 人工智能代理在其 SCONE-bench 測試框架中成功利用了 50% 的智能合約，對 405 個歷史上被攻破的合約發起了價值 5.501 億美元的模擬攻擊。

Claude Opus 4.5 和 GPT-5 發現了在知識截止日期之後部署的 19 個合約中存在的漏洞，價值 460 萬美元；同時，這兩個模型還在幣安智能鏈的實時合約中發現了兩個零日漏洞，價值 3694 美元，API 成本為 3476 美元。

該研究發現，潛在的漏洞利用收益大約每 1.3 個月翻一番，而生成有效攻擊的代幣成本則急劇下降，這意味著隨著模型的改進，攻擊者可以用相同的計算預算獲得更多成功的漏洞利用。

與此同時，根據 Chainabuse 的數據，2024 年 5 月至 2025 年 4 月期間， 人工智能驅動的加密貨幣詐騙增加了 456% ，目前 60% 的詐騙錢包存款都來自人工智能驅動的騙局，這些騙局使用深度偽造、語音克隆和自動機器人大規模創建虛假身份和逼真的對話。