Notícias do Gate News, 10 de abril, o fundador da Solayer @Fried_rice divulgou numa publicação nas redes sociais uma vulnerabilidade de segurança de grande importância na cadeia de fornecimento de modelos de linguagem de grande dimensão (LLM). A investigação aponta que os agentes de LLM estão cada vez mais a depender de routers de API de terceiros para encaminhar pedidos de chamadas de ferramentas para múltiplos fornecedores a montante. Estes routers funcionam como proxies na camada de aplicação e conseguem aceder, em texto simples, às cargas JSON de cada transmissão, mas, atualmente, nenhum fornecedor faz cumprir no lado do cliente e entre o router e o modelo a montante a proteção de integridade criptográfica.
O artigo avaliou 28 routers pagos adquiridos na Taobao, Xianyu e lojas independentes Shopify, bem como 400 routers gratuitos recolhidos de comunidades públicas. Os resultados indicaram que 1 router pago e 8 routers gratuitos estão a injetar ativamente código malicioso, 2 implementaram gatilhos de evasão adaptativos, 17 tocaram credenciais AWS Canary detidas pelos investigadores e mais 1 roubou ETH a partir de uma chave privada detida pelos investigadores.
Duas linhas de investigação sobre envenenamento adicionalmente demonstraram que até routers aparentemente inofensivos podem ser explorados: uma chave da OpenAI que vazou foi usada para gerar 100 milhões de token GPT-5.4 e mais de 7 sessões de Codex; já um isco com configurações mais fracas produziu 2 mil milhões de token de faturação, 99 credenciais que atravessaram 440 sessões de Codex e 401 sessões que já estavam a executar em modo autónomo YOLO.
A equipa de investigação construiu um agente experimental chamado Mine, capaz de executar todas as quatro categorias de ataques em quatro frameworks de proxies públicos e de validar três medidas de defesa do lado do cliente: estratégia de fecho por falha com gate, filtragem de anomalias na resposta no endpoint e registo apenas append-only e transparente.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Atualização do evento rsETH da Aave: Core V3 WETH é descongelado, as cinco principais reservas de mercado continuam congeladas
Aave anunciou no dia 21 de abril na plataforma X que as reservas de WETH no mercado Ethereum Core V3 foram desbloqueadas, e que os usuários podem novamente fornecer WETH para o Ethereum Core V3; o valor do empréstimo de WETH em relação ao patrimônio (LTV) ainda permanece em 0. As reservas de WETH no Ethereum Prime, Arbitrum, Base, Mantle e Linea continuam congeladas.
MarketWhisper23m atrás
Mulher de Hong Kong Perde 7,7M HKD em Cripto ao Cair em Golpe de Trading com IA
Uma mulher de Hong Kong perdeu 7,7 milhões de HKD para um golpista que se passou por um especialista em investimentos no Telegram, prometendo altos retornos com baixo risco. Depois de transferir recursos várias vezes, ela não conseguiu sacar o dinheiro, revelando a fraude. A polícia alertou contra esse tipo de golpe.
GateNews28m atrás
A Open Network sofre vazamento de dados por um membro interno; após a queda abrupta do token ION, a rede se reorganiza para sobreviver
A Ice Open Network publicou um post no X em 20 de abril, confirmando o incidente de vazamento de dados que ocorreu na semana passada. A causa foi que, após a rescisão do relacionamento comercial com um provedor de serviços terceirizado, quatro parceiros ainda acessaram servidores externos, vazando os endereços de e-mail dos usuários, números de telefone de 2FA e dados de vinculação de identidade. O contexto deste incidente é o seguinte: o token ION já havia despencado 93% duas semanas antes, e a equipe do projeto está em um período de reorganização de emergência em larga escala.
MarketWhisper34m atrás
Banco de Compensações Internacionais alerta: stablecoins são mais parecidas com títulos; falhas no resgate podem desencadear um ataque de corridas ao saque
O diretor-geral do Banco de Compensações Internacionais (BIS), Pablo Hernández de Cos, alertou na segunda-feira, em um seminário do Banco do Japão, que o tamanho do mercado global de stablecoins já ultrapassou US$ 315,9 bilhões, mas que o mecanismo de funcionamento é mais parecido com produtos de investimento, como ETFs, do que com uma moeda de verdade. O BIS afirma que, se ocorrer um resgate em larga escala, isso desencadeará um efeito dominó de corrida semelhante ao ocorrido em 2023 no Silicon Valley Bank (Silicon Valley Bank).
MarketWhisper46m atrás
O fundador da Curve pede padrões de segurança para DeFi em meio a uma onda de invasões
Michael Egorov, fundador da Curve Finance, destacou as vulnerabilidades da indústria de DeFi após um hack significativo. Ele enfatizou a necessidade de medidas preventivas, padrões colaborativos de segurança e responsabilização para restaurar a confiança e garantir uma adoção segura no setor.
CryptoFrontier1h atrás
Arbitrum congela emergencialmente o hacker do KelpDAO em 30.766 ETH
O Comitê de Segurança da Arbitrum anunciou em 21 de abril que tomou medidas urgentes para congelar 30.766 ETH na rede Arbitrum One relacionados ao ataque do hacker KelpDAO. O comitê confirmou a identidade dos atacantes com a ajuda de órgãos de aplicação da lei e elaborou um conjunto de soluções técnicas para transferir os fundos para uma carteira de congelamento intermediária, sem afetar quaisquer outros estados de cadeia ou usuários da Arbitrum.
MarketWhisper1h atrás
