「AI投毒」防不胜防,还能用ChatGPT写代码吗?
没有证据表明是刻意投毒给GPT,还是GPT主动采集
近日,一位用户在尝试为 pump.fun 开发一个自动顶贴机器人时,向 ChatGPT 寻求代码帮助,结果却意外遭遇了网络诈骗。这位用户按照 ChatGPT 提供的代码指引,访问了一个被推荐的 Solana API 网站。然而,这个网站实际上是一个诈骗平台,导致用户损失了约 2500 美元。
根据用户描述,该代码的一部分要求通过 API 提交私钥。由于操作繁忙,用户未加审查便使用了自己的主 Solana 钱包。事后回想,他意识到自己犯下了一个严重的错误,但在当时,对 OpenAI 的信任让他忽视了潜在的风险。
在使用该 API 后,诈骗者迅速展开行动,仅用 30 分钟就将用户钱包中的全部资产转移到了地址 FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX。起初,用户并未完全确认该网站存在问题,但在仔细检查该域名的首页后,发现了明显的可疑迹象。
目前,这位用户呼吁社区帮助屏蔽这个 @solana 网站,并将相关信息从 @OpenAI 平台中移除,以防更多人受害。他也希望能通过调查对方留下的线索,将诈骗者绳之以法。
Scam Sniffer 调查发现了恶意代码仓库,其目的是通过 AI 生成的代码窃取私钥。
• solanaapisdev/moonshot-trading-bot
• solanaapisdev/pumpfun-api
Github 用户「solanaapisdev」在过去 4 个月内创建了多个代码仓库,试图引导 AI 生成恶意代码。
这位用户私钥被盗的原因是其私钥在 HTTP 请求 body 里被直接发送给钓鱼网站。
慢雾创始人余弦发言表示「这些都是非常不安全的实践,各种投「毒」。不仅上传私钥,还帮用户在线生成私钥,给用户用。文档也是写得装模做样的。」
他还表示这些恶意代码网站联系方式很单一,官网没有内容,主要就是文档+代码仓库。「域名 9 月底注册的,不得不让人觉得是有预谋的投毒,但没有证据表明是刻意投毒给 GPT,还是 GPT 主动采集。」
Scam Sniffer 针对使用 AI 辅助代码创建的安全建议,包括:
• 切勿盲目使用 AI 生成的代码
• 始终仔细审查代码
• 将私钥保存在离线环境中
• 仅使用可信来源
「原文链接」
免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。
你也可能喜欢
Perena 推出 Numeraire:一个多稳定币流动性池
简单来说 Perena 引入了 Numeraire,通过利用统一的枢纽资产 USD* 来优化市场流动性并提高运营效率。
Synthetix 推出“Synthetix Vaults”产品线,并宣布计划收购杠杆代币协议 TLX
简单来说 Synthetix 推出了新的产品线“Synthetix Vaults”,以补充其去中心化衍生品平台并使该协议的收入来源多样化。
QCP Capital:杠杆过高导致市场超买,回调在所难免
简单来说 QCP Capital 指出,由于大选之后市场严重超买,比特币正在回撤至上周初的水平,因此回调是自然而然的结果。
Anthropic 推出模型上下文协议,用于改善 AI 模型生成的响应
简单来说 Anthropic 已经开源了其模型上下文协议,使 Claude 能够连接到本地计算机上的任何资源并与任何 API 或云服务器进行交互。