交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注
ai编程工具现致命安全漏洞,加密开发者高度警惕
基于人工智能的编码工具被发现存在致命安全漏洞,加密货币开发者因此倍感紧张。仅需打开项目文件夹这一简单操作,便可能导致黑客攻击,这需要整个行业提高警惕。
漏洞原理与影响范围
区块链安全公司SlowMist于8日披露,在主流的集成开发环境和ai编码辅助工具中发现了严重的安全缺陷。该公司特别警告,加密货币及区块链开发者若打开恶意项目文件夹,无需任何额外操作,系统便可能自动遭受入侵。
该安全漏洞利用了ai编码工具处理的常规开发文件,例如LICENSE.txt或README.md文件,在其中隐藏“提示词注入”攻击手法。通过在特定的Markdown注释中秘密植入恶意指令,用户可能在毫无察觉的情况下,其ai助手会将该指令识别为合法命令,进而将恶意代码传播至整个代码库。
SlowMist指出,此类攻击可在Windows和macOS环境中发生,且对“Cursor”用户尤其致命。Cursor是一款正在快速普及的ai驱动编码界面。此漏洞最初由网络安全公司HiddenLayer于2025年9月通过“CopyPasta许可证攻击”研究首次公开。
HiddenLayer已针对包括Cursor、Windsurf、Kiro、aider在内的多款易受攻击工具进行了演示,并强调即便没有用户交互,组织的整个代码库也可能被恶意代码污染。该漏洞不仅是技术缺陷,更可能影响整个软件供应链,引发了安全界的广泛担忧。
企业激进策略与潜在风险
此漏洞的影响对于积极采用ai编码工具的大型企业尤为严重。Coinbase首席执行官布莱恩·阿姆斯特朗曾表示,计划在10月前将ai生成代码的比例提升至总量的50%。为此,他甚至提出若员工在一周内未采用ai工具将面临解雇的政策,引发了争议。
针对此类激进的推行策略,卡内基梅隆大学教授乔纳森·奥尔德里奇批评其为“疯狂之举”,并表示“绝不会将自己的资金托付给这样的组织”。Dango创始人拉里·吕也指出,“对于重视安全的企业而言,这是绝不应出现的危险信号。”
加密生态面临系统性威胁
SlowMist的报告揭示了加密货币生态系统已暴露于有组织的国家级网络攻击之下。谷歌报告称,自2024年2月以来,朝鲜黑客组织UNC5342一直在利用以太坊和BNB智能链上的恶意智能合约构建命令与控制基础设施。
该组织将基于JavaScript的BeaverTail和OtterCookie恶意代码隐藏在智能合约内部,并通过伪装成招聘面试邀请等形式的NPM软件包分发给开发者。此技术仅通过调用只读函数即可传递命令,不会在交易记录中留下痕迹,也难以被调查机构追踪,因而被称为“EtherHiding”。
此外,朝鲜组织还被揭露设立了虚假的美国法人实体,使用真实营业地址进行注册,并同时进行基于社会工程的“传染性面试”活动。区块链开发者由于同时掌管资产连接信息和智能合约核心代码,成为高价值目标,正面临集中攻击。
ai发展加剧智能合约安全忧虑
ai的发展在智能合约安全方面也引发了重大担忧。近期ai初创公司Anthropic的研究表明,在其测试环境中,ai成功自动化攻击了超过半数的智能合约,以模拟方式再现了总计55.01亿美元的安全威胁。
分析发现,GPT-5和Claude Opus 4.5在发布时间点之后部署的实时合约中,各自发现了两个有效的零日漏洞。若被实际利用,这些漏洞可能导致约3694美元的资金被盗。此项分析仅消耗了约3476美元的API成本。
Anthropic指出,随着时间的推移,基于ai攻击的经济效益正变得越来越大。由于同等计算资源可发起更多攻击,“大规模自动化黑客”正成为现实。雪上加霜的是,根据Chainalysis报告,基于ai的加密诈骗在一年内激增了456%,且全部诈骗钱包存款的60%源于经过ai伪造的身份、声音和对话。
