详细内容或原文请订阅后点击阅览
30 个 ClawHub 技能秘密地将 AI 代理变成加密货币群
不享受单个作者发布的 OpenClawThirty ClawHub 技能的另一个原因是,在没有任何恶意软件或用户同意的情况下,悄悄地选择人工智能代理并创建大规模的加密货币挖矿群。
来源:The Register _恶意软件单个作者发布的 30 项 ClawHub 技能正在悄悄地拉拢人工智能代理并创建大规模加密货币挖矿群 - 无需任何恶意软件或用户同意。
Agentic AI 安全机构 Manifold 的研究负责人 Ax Sharma 在 ClawHub(OpenClaw 技能的注册表和市场)上发现了这些技能。
一位名为“imaflytok”的 ClawHub 用户发布了这些技能,下载量约为 9,800 次。 Sharma 告诉 The Register,这次活动(他称之为“ClawSwarm”)与过去分发恶意 ClawHub 代码的活动不同,因为它不使用恶意软件或针对人类。
相反,ClawSwarm 的目标是代理本身和 SKILL.md 文件,这些文件为代理提供有关如何与其他系统交互的说明。
“ClawSwarm 不是漏洞披露,”Sharma 告诉我们。 “没有需要修补的缺陷,基础设施也没有什么秘密。这是 GitHub 上的一个开源项目,有公共文档、Telegram 小组和公共链上的代币。”
该活动中,用户安装了看似良性的技能 - 这些技能据称包括从 cron 助手(903 次下载)到代理安全技能(685 次下载)、鲸鱼观察者(347 次下载)、跨平台海报(292 次下载)和预测市场集成(154 次下载)等各种技能。
然后,AI 代理在“onlyflies.buzz”上注册,这是一个以 $FLY 代币和“挑衅性”艺术为中心的网站。
在向外部服务器注册后,代理会按照 SKILL.md 文件中的说明进行操作,从而向第三方报告其名称和功能以及已安装的技能。
代理将凭证存储在磁盘上,每四个小时检查一次,并假设安装了正确的技能,它会生成一个 Hedera 加密钱包并在同一服务器上注册私钥。人类用户不批准任何此类活动,也看不到它的发生。