Tin tức Cổng Thông tin, ngày 10 tháng 4, người sáng lập Solayer @Fried_rice đã công bố trên mạng xã hội rằng có một lỗ hổng bảo mật nghiêm trọng trong chuỗi cung ứng của các mô hình ngôn ngữ lớn (LLM). Nghiên cứu chỉ ra rằng các tác nhân LLM ngày càng phụ thuộc vào các bộ định tuyến (router) API bên thứ ba để định tuyến và phân phối các yêu cầu gọi công cụ cho nhiều nhà cung cấp thượng nguồn. Những bộ định tuyến này hoạt động như một proxy ở lớp ứng dụng và có thể truy cập ở dạng văn bản thuần các tải trọng JSON trong mỗi lượt truyền, nhưng hiện vẫn chưa có nhà cung cấp nào thực thi việc bảo vệ toàn vẹn mã hóa giữa client và mô hình thượng nguồn.
Bài báo đã thử nghiệm 28 bộ định tuyến trả phí được mua từ Taobao, Xianyu và các trang web độc lập Shopify, cùng với 400 bộ định tuyến miễn phí được thu thập từ cộng đồng công khai. Kết quả cho thấy 100Mộ định tuyến trả phí và 8 bộ định tuyến miễn phí đang chủ động chèn mã độc; 2 bộ đã triển khai các bộ kích hoạt né tránh thích ứng; 17 bộ đã chạm vào các thông tin xác thực AWS Canary mà nhóm nghiên cứu sở hữu; và 1 bộ đã đánh cắp ETH từ khóa riêng mà nhóm nghiên cứu nắm giữ.
Hai nghiên cứu về đầu độc (poisoning) tiếp theo cho thấy, những bộ định tuyến trông có vẻ vô hại cũng có thể bị khai thác: một khóa OpenAI bị rò rỉ được dùng để tạo ra 100 triệu GPT-5.4 token và hơn 7 phiên Codex; trong khi một mồi nhử có cấu hình yếu lại tạo ra 2 tỷ token tính phí, 99 bộ thông tin xác thực trải dài qua 440 phiên Codex, và 401 phiên đã chạy ở chế độ YOLO tự chủ.
Nhóm nghiên cứu đã xây dựng một tác nhân thử nghiệm có tên Mine, có thể thực hiện đầy đủ bốn loại tấn công đối với bốn khung tác nhân (agent) công khai khác nhau, đồng thời xác minh ba biện pháp phòng vệ phía client: chính sách đóng cửa khi lỗi (fault lockout) theo cơ chế cổng kiểm soát, rà soát bất thường ở đầu phản hồi, và ghi nhật ký minh bạch chỉ thêm dữ liệu (append-only).
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Các chủ nợ Triều Tiên giành lệnh cấm trên 30.766 ETH của Arbitrum vào ngày 1 tháng 5
Theo The Block, vào ngày 1 tháng 5, các luật sư đại diện cho các chủ nợ liên quan đến khủng bố của Triều Tiên đã tống đạt thông báo cấm tạm thời cho Arbitrum DAO, ngăn việc giải phóng 30.766 ETH (~71,1 triệu USD) mà Hội đồng Bảo mật Arbitrum đã phong tỏa vào ngày 20 tháng 4 sau vụ khai thác lỗ hổng Kelp DAO. Thông báo nêu tên Arbitrum DAO
GateNews59phút trước
Airdrop eCash của Paul Sztorc thu hút cảnh báo từ các nhà phát triển
Các nhà phát triển và các nhân vật trong ngành đã nêu lo ngại về đề xuất eCash của Paul Sztorc, trích dẫn rủi ro đối với người dùng, sự phân bổ không đồng đều và xung đột mang tính triết lý, theo bình luận trong ngành. Đề xuất này được mô tả là “nguy hiểm” do những vấn đề đó.
Lưu ý: Tài liệu nguồn được cung cấp còn
CryptoFrontier1giờ trước
Các chủ nợ khủng bố ngăn chặn việc giải ngân ETH của Kelp DAO trên Arbitrum trị giá 71,1 triệu USD
Vào ngày 1 tháng 5, luật sư của các chủ nợ khủng bố đã tống đạt thông báo cấm tạm thời lên Arbitrum DAO, ngăn tổ chức này chuyển 30.766 ETH (tương đương khoảng 71,1 triệu USD) bị đóng băng bởi Arbitrum Security Council vào ngày 20 tháng 4 sau vụ khai thác Kelp DAO trị giá 292 triệu USD. Thông báo này, được ủy quyền bởi Tòa án Quận Hoa Kỳ f
CryptoFrontier3giờ trước
Cựu điều hành Meta-1 Coin, Robert Dunlap, bị tuyên án 23 năm vì $20M gian lận vào ngày 3 tháng 5
Theo Forbes, vào ngày 3 tháng 5, Robert Dunlap, người điều hành kế hoạch Meta-1 Coin, đã bị tuyên án 23 năm tù vì lừa đảo khoảng 1.000 nhà đầu tư trong giai đoạn từ 2018 đến 2023, với tổng thiệt hại vượt quá 20 triệu USD.
Bộ Tư pháp Mỹ cho biết Dunlap đã dối trá khi tuyên bố Meta
GateNews4giờ trước
Zcash Foundation Phát hành Zebra 4.4.0 để Khắc phục Nhiều Lỗ hổng Bảo mật Mức Độ Đồng thuận
Theo Zcash Foundation, Zebra 4.4.0 vừa được phát hành để khắc phục nhiều lỗ hổng bảo mật ở cấp độ đồng thuận. Bản cập nhật xử lý các lỗ hổng từ chối dịch vụ có thể làm gián đoạn việc phát hiện khối, các lỗi trong việc đếm thao tác chữ ký khối (sigops) khiến xảy ra bất đồng thuận trong đồng thuận,
GateNews8giờ trước
Các rào chắn của Canton Network có thể chặn các hacker Triều Tiên, theo giám đốc điều hành tài sản số
Theo CEO Digital Asset Yuval Rooz, thiết kế hàng rào bảo vệ (guardrail) của mạng Canton có thể ngăn các nhóm tin tặc liên quan đến Triều Tiên hoạt động trong hệ sinh thái của nó, khi DeFi đang phải đối mặt với các mối đe dọa ngày càng gia tăng từ các tác nhân được nhà nước hậu thuẫn. Rooz nói với Decrypt rằng các tổ chức tài chính đã hỏi về các biện pháp phòng thủ chống lại…
GateNews9giờ trước
