• 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

危险的AI路由器瞄准加密货币开发者:新型安全威胁

2026-04-13 16:04:08
收藏

关键要点

理解YOLO模式漏洞

研究团队的安全建议

加州大学的研究人员发现,有26个被攻破的第三方人工智能路由服务植入了恶意代码并窃取了敏感凭证。

攻击者成功从一个由研究团队控制的测试钱包中提取了以太币。

这些路由服务对所有传输的数据拥有完全且未加密的可见性,从而暴露了私钥和助记词。

一项被称为“YOLO模式”的自动执行功能使得人工智能系统无需用户批准即可执行指令。

安全专家建议,不要通过人工智能辅助开发环境传输任何私人加密密钥。

一个来自加州大学的研究团队发现,某些第三方人工智能路由平台存在严重的安全漏洞,这些漏洞可能导致加密货币凭证被盗以及恶意代码被植入开发环境。

一项新发布的学术论文公布了这些研究发现,该研究探讨了调查人员所称的针对大型语言模型基础设施生态系统的“恶意中介攻击”。

这些人工智能路由平台充当位于软件开发者和主要人工智能服务提供商之间的中介服务。它们的主要功能是管理和引导跨不同人工智能平台的API流量。

根本性的安全缺陷源于这些路由器会终止加密连接。这种架构设计使它们能够以完全未加密的方式查看流经其系统的所有通信。

使用Claude Code等人工智能辅助编码工具进行智能合约开发或创建加密货币钱包的区块链开发者,可能会在不知情的情况下通过这些中介平台泄露私钥和助记词。

该调查审查了28个商业路由服务以及从各个在线开发者社区收集的400个免费替代方案。

结果显示,有9个平台主动植入恶意指令,2个平台采用复杂的规避技术,另有17个平台试图窃取研究人员控制的身份验证凭证。

在一个记录在案的实例中,一个路由服务成功地从研究团队故意设置的一个易受攻击的钱包中提取了以太币。记录的经济损失不到50美元。

研究人员指出,鉴于路由平台在正常运营过程中本身就以明文形式访问敏感信息,对于最终用户来说,几乎无法区分正常的凭证处理和实际的窃取行为。

理解YOLO模式漏洞

该学术论文重点指出了许多人工智能代理平台中存在的一个特别令人担忧的配置选项,称为“YOLO模式”。当此功能激活时,人工智能系统可以自主执行操作,绕过单个用户的授权提示。

此功能显著放大了安全威胁。当路由平台引入恶意指令时,YOLO模式允许这些指令被执行,而没有任何人工干预或监督的机会。

研究人员还发现,先前可信的路由服务可能会被暗中攻破,而运营商却无法察觉。免费的流媒体平台尤其可能以廉价的API访问作为吸引用户的策略,同时窃取凭证。

研究团队的安全建议

调查团队建议开发者实施强大的客户端安全措施,并建立严格的协议,禁止通过任何人工智能代理环境传输私钥或助记词。

作为全面的解决方案,研究人员建议人工智能服务提供商对其输出实施加密签名。这种机制将使开发者能够验证其代理接收的指令确实来自指定的人工智能模型。

研究团队强调,LLM API路由平台占据了一个关键的安全边界,而人工智能行业目前默认认为其是可信的。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
30.00% 70.00%
利好
利空

热门币种

更多
更多新闻
自选
我的自选
查看全部
市值 价格 24h%
SVG Image
新闻
搜索相关最新新闻
社区
搜索相关最新动态
币种