「AI投毒」防不勝防，還能用ChatGPT寫代碼嗎？

近日，一位用戶在嘗試為 pump.fun 開發一個自動頂貼機器人時，向 ChatGPT 尋求代碼幫助，結果卻意外遭遇了網絡詐騙。這位用戶按照 ChatGPT 提供的程式碼指引，造訪了一個被推薦的 Solana API 網站。然而，這個網站實際上是一個詐騙平台，導致用戶損失了約 2500 美元。

根據使用者描述，該程式碼的一部分要求透過API 提交私鑰。由於操作繁忙，用戶未加審查便使用了自己的主 Solana 錢包。事後回想，他意識到自己犯下了一個嚴重的錯誤，但在當時，對 OpenAI 的信任讓他忽略了潛在的風險。

使用該API 後，詐騙者迅速展開行動，僅用30 分鐘就將用戶錢包中的全部資產轉移到了地址FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX。起初，用戶並未完全確認網站有問題，但在仔細檢查網域的首頁後，發現了明顯的可疑跡象。

目前，這位用戶呼籲社區協助封鎖這個@solana 網站，並將相關資訊從@OpenAI 平台中移除，以防更多人受害。他也希望能透過調查對方留下的線索，將詐騙者繩之以法。

Scam Sniffer 調查發現了惡意程式碼倉庫，其目的是透過 AI 產生的程式碼竊取私鑰。

• solanaapisdev/moonshot-trading-bot

• solanaapisdev/pumpfun-api

Github 使用者「solanaapisdev」在過去4 個月內創建了多個程式碼倉庫，試圖引導AI 產生惡意程式碼。

這位使用者私鑰被盜的原因是其私鑰在HTTP請求body 裡被直接發送給釣魚網站。

慢霧創辦人餘弦發言表示「這些都是非常不安全的實踐，各種投「毒」。不僅上傳私鑰，也幫用戶在線上產生私鑰，給用戶用。文檔也是寫得裝模做樣的。 」

他也表示這些惡意程式碼網站聯絡方式很單一，官網沒有內容，主要就是文檔+程式碼倉庫。 「網域9 月底註冊的，不得不讓人覺得是有預謀的投毒，但沒有證據顯示是刻意投毒給GPT，還是GPT 主動採集。」

Scam Sniffer 針對使用AI 輔助程式碼建立的安全建議，包括：

• 切勿盲目使用AI 產生的程式碼

• 始終仔細檢視程式碼

•將私鑰保存在離線環境中

• 僅使用可信任來源

「原文連結」