Không có bằng chứng cho thấy đây là hành động cố ý để đầu độc GPT, hay là GPT chủ động thu thập.

Người viết: shushu

Gần đây, một người dùng đã cố gắng phát triển một robot tự động đăng bài cho pump.fun, đã tìm kiếm sự trợ giúp về mã từ ChatGPT và vô tình gặp phải lừa đảo mạng. Người dùng này đã truy cập một trang web API Solana được ChatGPT cung cấp, tuy nhiên, trang web này thực sự là một nền tảng lừa đảo, khiến người dùng mất khoảng 2500 USD.

Theo mô tả của người dùng, một phần của mã yêu cầu gửi khóa riêng qua API. Do công việc bận rộn, người dùng đã sử dụng ví Solana chính của mình mà không kiểm tra. Sau này, khi nhớ lại, anh nhận ra mình đã mắc một sai lầm nghiêm trọng, nhưng vào thời điểm đó, sự tin tưởng vào OpenAI đã khiến anh bỏ qua rủi ro tiềm ẩn.

Sau khi sử dụng API này, kẻ lừa đảo đã nhanh chóng hành động, chỉ trong 30 phút đã chuyển toàn bộ tài sản trong ví của người dùng đến địa chỉ FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX. Ban đầu, người dùng không hoàn toàn xác nhận rằng trang web có vấn đề, nhưng sau khi kiểm tra kỹ trang chủ của tên miền, họ đã phát hiện ra những dấu hiệu đáng ngờ rõ rệt.

Hiện tại, người dùng này kêu gọi cộng đồng giúp chặn trang web @solana này và xóa thông tin liên quan khỏi nền tảng @OpenAI để ngăn chặn thêm nhiều người bị hại. Anh ấy cũng hy vọng có thể điều tra các manh mối mà đối phương để lại để đưa kẻ lừa đảo ra trước công lý.

Scam Sniffer đã phát hiện ra các kho mã độc, với mục tiêu đánh cắp khóa riêng thông qua mã được tạo ra bởi AI.

• solanaapisdev/moonshot-trading-bot

• solanaapisdev/pumpfun-api

Người dùng Github "solanaapisdev" đã tạo ra nhiều kho mã trong 4 tháng qua, cố gắng hướng dẫn AI tạo ra mã độc.

Nguyên nhân khóa riêng của người dùng bị đánh cắp là do khóa riêng đã được gửi trực tiếp đến trang web lừa đảo trong phần body của yêu cầu HTTP.

Người sáng lập SlowMist, Yu Xian, đã phát biểu rằng "Tất cả đều là những thực hành rất không an toàn, nhiều hình thức "đầu độc". Không chỉ tải lên khóa riêng, mà còn giúp người dùng tạo khóa riêng trực tuyến để sử dụng. Tài liệu cũng được viết một cách giả tạo."

Anh ấy cũng cho biết các trang web mã độc này có thông tin liên lạc rất đơn điệu, trang chính thức không có nội dung, chủ yếu là tài liệu + kho mã. "Tên miền được đăng ký vào cuối tháng 9, khiến người ta cảm thấy đây là một hành động có tính toán, nhưng không có bằng chứng cho thấy đây là hành động cố ý để đầu độc GPT, hay là GPT chủ động thu thập."

Scam Sniffer cung cấp các khuyến nghị về an ninh cho việc tạo mã bằng AI, bao gồm:

• Tuyệt đối không sử dụng mã được tạo ra bởi AI một cách mù quáng

• Luôn kiểm tra mã một cách cẩn thận

• Lưu khóa riêng trong môi trường ngoại tuyến

• Chỉ sử dụng nguồn đáng tin cậy