「AI 投毒」防不胜防,还能用ChatGPT写代码吗?
近日,一位用户在尝试为pump.fun开发一个自动顶贴机器人时,向ChatGPT寻求代码帮助,结果却意外遭遇了网络诈骗。这位用户按照ChatGPT提供的代码指引,访问了一个被推荐的SolanaAPI网站。然而,这个网站实际上是一个诈骗平台,导致用户损失了约2500美元。
根据用户描述,该代码的一部分要求通过API提交私钥。由于操作繁忙,用户未加审查便使用了自己的主Solana钱包。事后回想,他意识到自己犯下了一个严重的错误,但在当时,对OpenAI的信任让他忽视了潜在的风险。
在使用该API后,诈骗者迅速展开行动,仅用30分钟就将用户钱包中的全部资产转移到了地址FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX。起初,用户并未完全确认该网站存在问题,但在仔细检查该域名的首页后,发现了明显的可疑迹象。
目前,这位用户呼吁社区帮助屏蔽这个@solana网站,并将相关信息从@OpenAI平台中移除,以防更多人受害。他也希望能通过调查对方留下的线索,将诈骗者绳之以法。
ScamSniffer调查发现了恶意代码仓库,其目的是通过AI生成的代码窃取私钥。
•solanaapisdev/moonshot-trading-bot
•solanaapisdev/pumpfun-api
Github用户「solanaapisdev」在过去4个月内创建了多个代码仓库,试图引导AI生成恶意代码。
这位用户私钥被盗的原因是其私钥在HTTP请求body里被直接发送给钓鱼网站。
慢雾创始人余弦发言表示「这些都是非常不安全的实践,各种投「毒」。不仅上传私钥,还帮用户在线生成私钥,给用户用。文档也是写得装模做样的。」
他还表示这些恶意代码网站联系方式很单一,官网没有内容,主要就是文档+代码仓库。「域名9月底注册的,不得不让人觉得是有预谋的投毒,但没有证据表明是刻意投毒给GPT,还是GPT主动采集。」
ScamSniffer针对使用AI辅助代码创建的安全建议,包括:
•切勿盲目使用AI生成的代码
•始终仔细审查代码
•将私钥保存在离线环境中
•仅使用可信来源
