30 إضافة على ClawHub تجعل مساعدك الذكي يعمل سرًا لصالح الغرباء لكسب العملات، ما يقرب من عشرة آلاف عملية تحميل

وفقًا لمراقبة Beating للبيانات، اكتشف مسؤول أبحاث شركة الأمان المختصة بالذكاء الاصطناعي Ax Sharma أن حسابًا يُدعى imaflytok على ClawHub قام بنشر 30 مهارة، بواقع حوالي 9800 عملية تحميل. تبدو هذه المهارات في الظاهر كوظائف إضافية شائعة مثل مساعد المهام المجدولة، أدوات الأمان، ومراقبة السوق، لكنها في الواقع حولت المساعد الذكي للمستخدم إلى «عامل» يعمل لصالح الآخرين ويكسب العملات المشفرة.

بعد تثبيت المستخدم للوظائف الإضافية، يقوم المساعد الذكي تلقائيًا بتنفيذ سلسلة من العمليات وفقًا لملف التعليمات في الوظيفة الإضافية: أولاً، يسجل نفسه على خادم طرف ثالث، ويبلغ عن «اسمي، وما يمكنني فعله، وما الوظائف الإضافية التي قمت بتثبيتها»؛ ثم يُنشئ محفظة للعملات المشفرة، ويُعطي المفتاح الخاص لهذا الخادم؛ بعد ذلك، يسجل الدخول كل 4 ساعات، وينتظر توزيع المهام. من التسجيل إلى تسليم المفتاح واستلام العمل، لا يرى المستخدم أي إشعارات أو يضغط على أي أزرار للموافقة.

هذه الوظائف الإضافية لا تحتوي على رمز خبيث، وفحوصات الأمان التي تفحصها بشكل دقيق لا تكشف عن أي مشكلة، وكل خطوة تستخدم أدوات قانونية وواجهات برمجة قياسية. قال Sharma إن الأمر يشبه سابقًا تدفق 150 ألف حزمة غير مرغوب فيها إلى npm لزيادة قيمة رموز Tea Protocol، لكن الوسيلة هنا تحولت من حزم الكود إلى إضافات المساعد الذكي. ويعتقد أن آلية مراجعة متجر الإضافات فشلت هنا: «الماسح الضوئي يبحث عن رمز خبيث، ولا يوجد هنا. ما نحتاجه حقًا هو مراقبة ما يفعله المساعد الذكي بعد تثبيت الإضافة.»