$NEIRO 🔥 Điều đang xảy ra SlowMist, một công ty bảo mật

$NEIRO 
🔥 Điều đang xảy ra
SlowMist, một công ty bảo mật blockchain lớn, đã phát đi cảnh báo khẩn cấp về một lỗ hổng nghiêm trọng trong các công cụ lập trình được hỗ trợ bởi AI và các môi trường phát triển tích hợp (IDE) hiện đại. Theo cảnh báo của họ:
Việc chỉ mở một thư mục dự án không đáng tin cậy trong IDE sử dụng trợ lý lập trình AI có thể kích hoạt việc thực thi mã độc thầm lặng trên máy tính của bạn — mà không cần chạy bất kỳ tập lệnh nào một cách thủ công.
Vấn đề này ảnh hưởng đến các nhà phát triển trên cả hai nền tảng Windows và macOS, và đã liên quan đến các vụ xâm nhập thực tế.
🧠 Cách thức khai thác
Chiến thuật tấn công này lợi dụng cách các công cụ AI lập trình xử lý các tệp dự án như README.md và LICENSE.txt.
Kẻ tấn công chèn các lời nhắc độc hại bên trong các phần chú thích mà AI đọc như các lệnh. Những lệnh này có thể kích hoạt phần mềm độc hại hoặc backdoor khi IDE xử lý thư mục.
Các công cụ như Cursor (và một số công cụ khác) đặc biệt dễ bị ảnh hưởng trong các minh họa về khai thác này.
🪙 Vì sao các nhà phát triển tiền mã hóa đặc biệt dễ bị tổn thương
Các nhà phát triển làm việc trên các dự án tiền mã hóa thường lưu trữ các khóa riêng tư, thông tin xác thực API, hạt giống ví hoặc các tập lệnh triển khai cục bộ. Nếu máy tính phát triển bị xâm nhập qua phương thức này:
Phần mềm độc hại có thể trộm cắp các khóa riêng tư hoặc thông tin xác thực.
Kẻ tấn công sau đó có thể đánh cắp tiền mã hóa, thao túng hợp đồng hoặc duy trì truy cập lâu dài.
Đây không chỉ là giả thuyết — các báo cáo cho thấy đã có các trường hợp nhà phát triển bị xâm nhập liên quan đến kiểu tấn công này.
🦠 Không phải vấn đề cô lập — bối cảnh rộng hơn
Cảnh báo này nằm trong xu hướng lớn hơn khi chính các công cụ AI (hoặc các sinh thái mà chúng được tích hợp) đang trở thành các bề mặt tấn công:
Các phát hiện trước đây của SlowMist đã bao gồm các khai thác làm lộ khóa API sàn giao dịch và khóa riêng tư trong các hệ thống giao dịch dựa trên AI.
Các hệ thống AI thậm chí đã được dùng để phát hiện các lỗ hổng zero-day có giá trị hàng triệu đô la trong các hợp đồng thông minh — minh chứng cho việc AI hai mặt có thể dùng để cả phòng thủ lẫn tấn công