AI-reitittimen vika altistaa kryptolompakoita varkaudelle

Tutkimuksen taustaa

Tutkimuksessa havaittiin, että jotkut reitittimet injektoivat haitallista koodia, keräävät käyttöoikeustietoja, kuten yksityisiä avaimia ja pilvitunnuksia, sekä pääsevät käsiksi selkokielisiin tietoihin katkaisemalla TLS-yhteydet käyttäjien ja tarjoajien, kuten OpenAI, Anthropic ja Google, välillä.

Havaintojen merkitys

Testauksessa paljastui tapauksia, joissa käyttöoikeustietoja oli päästy käsiksi, ja ainakin yhdessä tapauksessa Etheriä oli tyhjennetty testilompakosta käytetyn vaarantuneen avaimen avulla. Kalifornian yliopiston tutkijat paljastivat kriittisen turvallisuusriskin tekoälyekosysteemissä ja varoittivat, että tietyt kolmannen osapuolen suurten kielimallien (LLM) reitittimet voisivat altistaa käyttäjät vakaville haavoittuvuuksille, mukaan lukien kryptovaluuttojen varastaminen.

”Tutkimus tarkasteli haitallisia välikäsi-iskuja ja tunnisti useita hyökkäysvektoreita, jotka voisivat vaarantaa arkaluontoisia tietoja.”

Reitittimien toiminta

Ongelman ytimessä on se, miten nämä reitittimet toimivat. Toimiessaan välikäsiä käyttäjien ja suurten tekoälytarjoajien välillä, ne katkaisevat kuljetustason turvallisuus (TLS) -yhteydet. Tämä prosessi mahdollistaa heidän pääsyn kaikkiin siirrettyihin tietoihin selkokielisinä, mikä käytännössä asettaa heidät täydelliseen näkyvyyteen arkaluontoisten vuorovaikutusten yli.

Testauksen tulokset

Kehittäjille, jotka työskentelevät tekoälykoodausagenttien kanssa, erityisesti älykkäissä sopimuksissa tai kryptolompakoissa, tämä luo vaarallisen skenaarion, jossa yksityiset avaimet, siemenlauseet ja käyttöoikeustiedot voivat tahattomasti altistua. Testatakseen näitä riskejä tutkijat arvioivat kymmeniä maksullisia ja satoja ilmaisia reitittimiä, jotka oli hankittu julkisista yhteisöistä. Tulokset olivat hämmästyttäviä.

”Useista reitittimistä löydettiin injektoimassa haitallista koodia, kun taas toiset pääsivät käsiksi luottamuksellisiin pilvikäyttöoikeuksiin.”

Ongelman laajuus

Vaikka taloudellinen menetys kontrolloidussa kokeessa oli minimaalinen, todellisten sovellusten seuraukset ovat melko vakavia. Tutkimus paljasti myös, että jopa turvallisilta vaikuttavat reitittimet voivat ajan myötä muuttua vaarallisiksi. Tutkijoiden kuvaaman ”myrkyttämisen” kautta aiemmin harmittomat järjestelmät voivat käyttää uudelleen vuotaneita käyttöoikeustietoja, mikä lisää uhkaa koko verkossa.

Haitallisen käyttäytymisen havaitseminen

Tilannetta vaikeuttaa myös haitallisen käyttäytymisen havaitsemisen vaikeus, sillä reitittimiltä odotetaan käsittelevän arkaluontoisia tietoja osana normaalia toimintaa, mikä tekee eron laillisessa käsittelyssä ja varastamisessa lähes näkymättömäksi. Toinen riskitekijä on automaatio-ominaisuuksien, kuten ”YOLO-tilan”, nousu, jossa tekoälyagentit suorittavat komentoja ilman käyttäjän vahvistusta.

Johtopäätökset ja suositukset

Tällaisissa ympäristöissä haitallisia ohjeita voidaan toteuttaa välittömästi, mikä lisää hyväksikäytön todennäköisyyttä. Tutkijat varoittavat, että jotkut reitittimet voivat olla hiljaa vaarantuneita ilman, että operaattorit huomaavat sitä, kun taas ilmaiset palvelut voivat tahallisesti houkutella käyttäjiä edullisella pääsyllä samalla, kun ne keräävät arvokkaita tietoja. Havaintojen perusteella on selvää, että on kiireellinen tarve vahvemmille suojatoimille. Kehittäjiä kehotetaan välttämään arkaluontoisten tietojen siirtämistä tekoälyjärjestelmien kautta ja toteuttamaan tiukempia asiakaspuolen suojauksia.

Aiheeseen liittyvät julkaisut

Uusimmat käyttäjältä Blog

CLARITY-laki: 14 työpäivää jäljellä ennen kuin ikkuna sulkeutuu

CLARITY-lain nykytila CLARITY-laki on siirtynyt tiistaina vaiheeseen, jota analyytikot kutsuvat ”tehdään tai kuollaan” -ikkunaksi. Senaatti palasi pääsiäislomalta noin 14 työpäiväksi ennen kuin keskitason politiikka täyttää kalenterin, ja Yhdysvaltojen historian suurin kryptolainsäädäntö uhkaa

Goldman Sachs hakee lupaa Bitcoin-tulo-ETF:lle, joka on sidottu optioihin

Goldman Sachsin uusi hakemus Bitcoin ETF:lle Goldman Sachs jätti tiistaina hakemuksen pörssinoteeratusta rahastosta, joka pyrkii tuottamaan tuloja sijoittajille myymällä optioita, jotka liittyvät Bitcoinin hintaan. Tämä hakemus korostaa Wall Streetin jättiläisen asteittaista lähestymistapaa

Stablecoin-maksut Yhdysvalloissa voisivat pian olla verovapaita PARITY-lain mukaan

Uudistettu PARITY-laki Uudistettu PARITY-laki vapauttaisi päivittäiset säännellyt stablecoin-maksut pääomatuloista, mikä asettaisi ne samalle tasolle käteismäisten transaktioiden kanssa Yhdysvaltojen verokoodissa. Washingtonissa laaditun uuden digitaalisten omaisuuserien PARITY-lain luonnoksen mukaan säänneltyjen dollarin sidottujen stablecoinien avulla

Deutsche Börsen 200 miljoonan dollarin panostus Krakenissa korostaa TradFinin kryptotavoitteita

Deutsche Börsen Investointi Krakenissa Deutsche Börse, saksalainen pörssitoimija, on ottanut 200 miljoonan dollarin osuuden Kraken-kryptovaluuttapörssistä. Tämä investointi merkitsee yhtä merkittävimmistä institutionaalisista panostuksista globaalissa kryptovaluuttapörssissä. ”Saksalainen pörssitoimija Deutsche Börse on hankkinut 200 miljoonan

Tether lanseeraa itsehoitopalvelun “tether.wallet” USDT:lle, kullalle ja Bitcoinille

Tetherin uusi itsehoitopalvelu Tetherin uusi itsehoitopalvelu, tether.wallet, tuo USDT-rahoitusratkaisut suoraan käyttäjien käsiin yhdistäen stablecoin-infrastruktuurin kuluttajamaksusovellukseen. Tether on lanseerannut tether.walletin, digitaalisen lompakon, joka yhdistää käyttäjät suoraan yrityksen globaaliin maksujärjestelmään ja selvitysinfrastruktuuriin, laajentaen sen

Nigel Farage kohtaa mahdollisen FCA-tutkinnan yhteyksistä Bitcoin-varainhoitoyritykseen

Nigel Faragen kutsu sääntelytutkintaan Nigel Farage on saanut kutsun viralliseen sääntelytutkintaan taloudellisesta osallistumisestaan kryptovaluuttayritykseen Stack BTC sen jälkeen, kun hän esiintyi yrityksen mainosmateriaalissa. Liberaalit demokratit ovat lähettäneet kirjeen Financial Conduct Authoritylle (FCA)

Yhdysvaltain DOJ avaa 40 miljoonan dollarin korvausrahaston OneCoin-petoksen uhreille

OneCoin-petoksen uhrit voivat hakea korvauksia OneCoin-petoksen uhrit voivat nyt hakea korvauksia liittovaltion korvausohjelman kautta, joka on rahoitettu takavarikoiduista varoista. Yhdysvaltain oikeusministeriö ilmoitti maanantaina, että yli 40 miljoonaa dollaria takavarikoituja varoja on varattu

Uudet Pro-DeFi -politiikat osoittavat, että SEC ei odota Kongressin toimia kryptovaluutan suhteen

SEC:n uusi politiikka hajautetulle rahoitukselle SEC julkaisi maanantaina uuden politiikan, joka vapauttaa tietyt hajautetun rahoituksen (DeFi) käyttöliittymät keskeisistä rekisteröintivaatimuksista. Tämä proaktiivinen siirto osoittaa, että sääntelyviranomainen etenee täysillä kryptovaluutta-agendansa kanssa, riippumatta Kongressin toimista.

’Emme Maksa Rikollisille’: Kryptovaihtopalvelu Kraken Kiristetään Varastetun Datan Takia

Rikollisryhmän uhkaus Krakenille Rikollisryhmä uhkaa julkaista varastettua asiakastietoa kryptovaihtopalvelusta Kraken. Yritys raportoi asiasta maanantaina ja julkisti konfliktin sosiaalisessa mediassa. ”Emme maksa rikollisille; emme koskaan neuvottele huonojen toimijoiden kanssa,” kirjoitti Krakenin turvallisuusjohtaja Nick

Ripple’n RLUSD: Ghanan Verotuksen Uudistus ja MSME:iden Tehostaminen

Ghanan maksujärjestelmän kehitys Ghanan maksujärjestelmä siirtyy tasaisesti kohti lohkoketjupohjaista selvitystä, sillä perinteiset pankkijärjestelmät rajoittavat edelleen nopeutta, pääsyä ja tehokkuutta pienille yrityksille. Trident Digital Tech Holdings Ltd.:n (TDTH) uusi aloite yhteistyössä Ripple Strategy