ตามที่นักวิจัยของ Manifold อย่าง Ax Sharma ระบุ ปลั๊กอิน 30 รายการบน ClawHub ที่ปลอมตัวเป็นเครื่องมือ AI ที่ดูถูกต้องตามกฎหมายถูกดาวน์โหลดมากกว่า 9,800 ครั้ง ขณะเดียวกันก็แอบเปลี่ยนผู้ช่วย AI ของผู้ใช้ให้กลายเป็นแรงงานด้านสกุลเงินดิจิทัล ปลั๊กอินเหล่านี้ เผยแพร่ภายใต้บัญชี imaflytok ปรากฏเป็นตัวกำหนดเวลางานและเครื่องมือสำหรับการติดตามตรวจสอบตามปกติ แต่กลับมีคำสั่งที่ซ่อนอยู่ซึ่งดำเนินการการทำงานที่ไม่ได้รับอนุญาต.

เมื่อถูกติดตั้ง ปลั๊กอินจะลงทะเบียนผู้ช่วย AI ของผู้ใช้กับเซิร์ฟเวอร์บุคคลที่สามโดยอัตโนมัติ สร้างกระเป๋าเงินสกุลเงินดิจิทัล และดึงคีย์ส่วนตัวโดยปราศจากความยินยอมของผู้ใช้หรือการแจ้งให้ทราบ จากนั้นผู้ช่วยจะเช็กอินทุกๆ 4 ชั่วโมงเพื่อรอการมอบหมายงาน Sharma ระบุว่าปลั๊กอินไม่มีโค้ดที่เป็นอันตรายซึ่งตรวจจับได้โดยเครื่องสแกนความปลอดภัย ใช้เพียงอินเทอร์เฟซมาตรฐานและเครื่องมือที่ถูกต้องตามกฎหมาย ทำให้ยากต่อการระบุผ่านการตรวจสอบความปลอดภัยแบบเดิมๆ

news.view.source

news.article.disclaimer

news.related.news

04-29 02:24

การรั่วไหลของข้อมูล Polymarket เผยข้อมูลกว่า 300K รายการ ขณะที่ผู้ไม่หวังดีปล่อยเครื่องมือสำหรับการโจมตี

04-29 00:31

อดีตประธาน PayPal David Marcus เปิดตัวกระเป๋าเงิน Bitcoin ที่ขับเคลื่อนโดยเอเจนต์ AI

04-28 19:12

ผู้ใช้ Robinhood ถูกกำหนดเป้าหมายโดยแคมเปญฟิชชิงที่ใช้ประโยชน์จากฟีเจอร์ Gmail Dot Alias

04-28 17:52

มัลแวร์ GlassWorm ฝังส่วนขยายแบบรอการทำงาน 73 รายการใน OpenVSX เพื่อขโมยกระเป๋าเงินคริปโต

04-28 08:31