[新闻简报] 为什么一串摩斯电码能让 AI 转出 20 万美元?答案比你想的简单
有人用莫尔斯电码骗了一个 AI,然后从它的钱包拿走了 20 万美元。不是黑客入侵服务器,不是钓鱼邮件,就是发了一段看起来像翻译练习的东西,AI 把钱打出去了。事情发生在 Base 网络上,前后不超过几分钟。
为什么重要
这不只是一个荒唐的笑话,它暴露了一个新兴攻击面:AI 代理(Agent)一旦被赋予链上钱包控制权,就变成了一台可以被”说服”的提款机。随着 AI 代理在 Web3 中的应用越来越普遍,这类攻击的技术门槛几乎为零,但潜在损失可以非常大。
关键点
- 攻击者向 Grok 的关联钱包赠送了一个”Bankr Club Membership NFT”,借此将 Grok 的权限升级为可执行大额转账的”执行级”账户
- Grok 的钱包并非 xAI 官方开设,而是由第三方交易机器人 Bankrbot(一款 X 平台链上自动交易工具)在 Grok 与其互动时自动创建
- 攻击者用莫尔斯电码写下指令,要求 Grok 翻译,Grok 以为只是普通翻译请求,输出了明文并 @ 了 Bankrbot
