自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

AI编程工具现漏洞 加密货币开发者紧急戒备…仅打开代码即可被入侵

2026-01-09 08:14:00
收藏

区块链安全公司紧急警告:ai编程助手工具存在严重漏洞

一家区块链安全公司发出紧急警告,称在基于人工智能的编程辅助工具中发现了一个致命漏洞,攻击者能借此即时入侵开发者系统。仅仅打开项目文件夹这一简单操作,就可能导致安全防线被攻破,这对区块链开发者构成了严重威胁。

该漏洞普遍存在于广泛使用的集成开发环境中。由于加密货币开发者存储的数字资产及敏感认证信息可能因此直接暴露,其影响尤为巨大。据该公司的威胁情报团队透露,已确认有多名开发者实际遭受侵害的案例。

日常操作竟成攻击入口

有问题的操作正是打开文件夹或浏览代码这类日常工作。相应的攻击无需用户额外操作,即可在Windows和Mac操作系统上自动执行系统命令。一家安全公司已于去年9月首次将此漏洞命名为“CopyPasta许可证攻击”并发布技术分析。

此外,值得注意的是,使用名为Cursor的ai编程工具的用户风险尤其高。此类攻击将恶意指令隐藏在诸如LICENSE.txt或README.md等常见的开发文档内部,诱使ai将其识别为代码编写指南。这些集成到ai辅助工具中的恶意指令,能够在整个代码库中安装后门、泄露敏感信息乃至操控系统。

有安全公司已演示证明,包括Cursor在内的多款ai开发工具均可通过类似方式被攻破。由于几乎无需用户交互,此举在安全专家中也引发了日益增长的警惕。

企业激进策略引发安全争议

此警告恰逢某加密货币交易所首席执行官布莱恩·阿姆斯特朗在公司内部全力推行ai编码之际,因而引发了更大争议。该首席执行官曾宣布将在10月前将ai生成代码的比例提升至50%,并解雇了一周内未采用ai工具的工程师。

针对这一决策,安全专家们接连表达了担忧。一家安全初创公司的创始人拉里·刘批评此为“对安全敏感组织亮起的红灯”;卡内基梅隆大学的乔纳森·奥尔德雷奇教授则评论称“这简直是疯了”,并表示“不会将资产托付给该平台”。

攻击规模与手法持续升级

基于区块链的攻击已超越单个黑客,扩展到国家级组织层面。特别是朝鲜黑客,他们通过向智能合约内植入并传播恶意代码,不断增强攻击强度。

据多家威胁应对公司分析,朝鲜某疑似情报组织结合两种恶意代码,创建了JavaScript模块,并假借招聘加密货币开发者的伪装面试进行传播。针对开发者的此类攻击,常通过伪装成国际象棋应用或软件包的NPM模块进行。

谷歌公司追踪到一个被指认为朝鲜的黑客组织,该组织在BNB智能链和以太坊链上滥用智能合约,植入了名为JADESNOW的恶意代码和INVISIBLEFERRET后门。这是在公共区块链上,通过无需费用的只读函数调用,构建起几乎无法删除的有效载荷存储机制,形成了一种分布式的指挥与控制基础设施。

特别是在去年4月,这些组织曾伪装成美国公司合法注册法人实体,进而以“受感染的技术任务”形式向开发者传递恶意代码。在南卡罗来纳州和纽约州布法罗分别注册的两家公司便是例证。

ai技术的双刃剑效应凸显

ai技术的两面性也日益显现。近期研究表明,ai模型已具备精准能力,能够找出实际运行中智能合约的漏洞,甚至计算出黑客攻击可获的收益。一家人工智能研究公司在去年底进行的实验中,ai模型对总共405个历史漏洞合约中的一半模拟攻击成功,推导出约5501亿韩元规模的潜在收益。

尤为突出的是,某些先进ai模型分析了在特定知识截止日期后部署的19个智能合约,发现了总值66亿韩元的实际漏洞。对于目前仍在币安智能链上运行的一个智能合约,其找到价值540万韩元的零日漏洞,成本仅为505万韩元。

相关报告警告称,随着时间的推移,ai发现的每个漏洞所带来的收益大约每1.3个月就会翻倍。随着ai模型性能改进,相同的预算下可发动的攻击数量将更多。

ai驱动的加密货币诈骗激增

基于ai的加密货币诈骗也在迅速蔓延。数据显示,从2024年5月到2025年4月,此类诈骗同比激增456%。目前,流入诈骗钱包的资金中,有60%基于ai生成的身份、语音克隆或聊天机器人等精密欺骗手段。

随着技术演进,安全威胁正变得更为直接和精巧。事实上,据一家区块链安全公司报告,去年12月因加密货币黑客攻击和网络攻击造成的损失为7600万美元,较11月的1.942亿美元下降了60%,但风险本身并未减少。

ai技术引入加密货币行业,在提升生产力和效率的同时,也成为了黑客手中的强大武器。此刻,维持安全与技术前进之间平衡的策略,比以往任何时候都更为迫切。

安全已成生存必需,投资者风险管理能力面临考验

随着ai与区块链融合加速,技术已成为一把双刃剑。ai编程助手带来效率和生产力飙升的同时,利用这些工具的攻击者仅凭一次“打开文件夹”就能侵入开发者系统,并轻易找出智能合约漏洞,窃取数亿资金。

尤其是参与或投资NFT、DeFi及智能合约项目的用户,很可能成为这些攻击的最终受害者。如今,“只需开发者知晓即可”的观念已不适用。在ai带来的网络威胁格局演变中,技术理解与风险评估能力也成为投资者进行安全投资的基本功。

展开阅读全文
更多新闻