「AI投毒」防不胜防,还能用ChatGPT写代码吗?

欧意
欧意交易所

欧意交易所

全球前三大交易所之一,新用户注册可拆数字盲盒,100%可以获得数字货币

点击注册 进入官网

更多交易所入口

一站式注册各大交易所、点击进入加密世界、永不失联,币安Binance/欧易OKX/GATE.IO芝麻开门/Bitget/抹茶MEXC/火币Huobi

点击进入 永不失联

近日,一位用户在尝试为 pump.fun 开发一个自动顶贴机器人时,向 ChatGPT 寻求代码帮助,结果却意外遭遇了网络诈骗。这位用户按照 ChatGPT 提供的代码指引,访问了一个被推荐的 Solana API 网站。然而,这个网站实际上是一个诈骗平台,导致用户损失了约 2500 美元。



根据用户描述,该代码的一部分要求通过 API 提交私钥。由于操作繁忙,用户未加审查便使用了自己的主 Solana 钱包。事后回想,他意识到自己犯下了一个严重的错误,但在当时,对 OpenAI 的信任让他忽视了潜在的风险。



在使用该 API 后,诈骗者迅速展开行动,仅用 30 分钟就将用户钱包中的全部资产转移到了地址 FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX。起初,用户并未完全确认该网站存在问题,但在仔细检查该域名的首页后,发现了明显的可疑迹象。



目前,这位用户呼吁社区帮助屏蔽这个 @solana 网站,并将相关信息从 @OpenAI 平台中移除,以防更多人受害。他也希望能通过调查对方留下的线索,将诈骗者绳之以法。


Scam Sniffer 调查发现了恶意代码仓库,其目的是通过 AI 生成的代码窃取私钥。


• solanaapisdev/moonshot-trading-bot

• solanaapisdev/pumpfun-api


Github 用户「solanaapisdev」在过去 4 个月内创建了多个代码仓库,试图引导 AI 生成恶意代码。



这位用户私钥被盗的原因是其私钥在 HTTP 请求 body 里被直接发送给钓鱼网站。



慢雾创始人余弦发言表示「这些都是非常不安全的实践,各种投「毒」。不仅上传私钥,还帮用户在线生成私钥,给用户用。文档也是写得装模做样的。」


他还表示这些恶意代码网站联系方式很单一,官网没有内容,主要就是文档+代码仓库。「域名 9 月底注册的,不得不让人觉得是有预谋的投毒,但没有证据表明是刻意投毒给 GPT,还是 GPT 主动采集。」


Scam Sniffer 针对使用 AI 辅助代码创建的安全建议,包括:


• 切勿盲目使用 AI 生成的代码

• 始终仔细审查代码

• 将私钥保存在离线环境中

• 仅使用可信来源


「原文链接」

目录[+]