AI 編碼助手成為加密開發者的沉默攻擊向量：以下是你需要知道的內容

您專案資料夾中的隱藏危機

當您打開一個看似無害的加密貨幣專案資料夾時會發生什麼事？根據SlowMist的安全研究人員指出，您可能在不知不覺中執行了攻擊者嵌入的惡意程式碼。罪魁禍首：像Cursor、Windsurf和Kiro等AI驅動的程式碼工具，它們可能被騙入執行藏在README.md和LICENSE.txt檔案中的隱藏指令。

HiddenLayer最初在九月披露了這個被稱為「CopyPasta License Attack」的漏洞，揭示攻擊者如何在markdown註解中嵌入惡意提示。當開發者打開專案資料夾時，AI程式碼助手會自動將這些隱藏指令解讀為合法的程式碼命令，並在未經用戶確認的情況下執行惡意軟體。結果是？在寫出任何一行實際程式碼之前，整個系統已經被完全入侵。

Cursor用戶尤其面臨高風險，控制演示證明攻擊者可以透過簡單的資料夾存取取得完整系統存取權。這種攻擊方式對於加密貨幣開發環境尤其致命，因為錢包、API金鑰和敏感憑證常與程式碼庫一同存放。

北韓威脅集團武裝智能合約

當國家支持的行動者加入戰局，威脅格局更為嚴峻。Google的Mandiant團隊追蹤到UNC5342集團——與北韓行動相關聯——在Ethereum和BNB Smart Chain網路上部署了包括JADESNOW和INVISIBLEFERRET在內的高階惡意軟體。他們的方法尤其狡猾：惡意載荷存放在智能合約的唯讀函數中，旨在避免交易記錄和傳統區塊鏈追蹤機制。

開發者在與受損的智能合約互動時，無意中執行了這些惡意軟體。攻擊不僅限於鏈上攻擊。BeaverTail和OtterCookie這兩種模組化惡意軟體，透過假冒求職面試的釣魚活動散布。像Blocknovas和Softglide這樣的假公司充當掩護，透過NPM套件向毫無戒心的工程師傳送惡意程式碼。

Silent Push的研究人員追蹤到這兩家詐騙公司都位於空置房產，揭露了「傳染性面試」的惡意軟體行動。一旦開發者的系統感染，惡意軟體會自動將憑證和程式碼庫資料傳送到攻擊者控制的伺服器，並使用加密通道傳輸。

AI模型學會利用智能合約漏洞

隨著AI能力的擴展，攻擊的複雜度也在提升。Anthropic最近的測試揭示了一個令人擔憂的能力：先進的AI模型能成功識別並大規模利用智能合約中的漏洞。Claude Opus 4.5和GPT-5在其訓練截止後部署的19個智能合約中，發現了可行的漏洞，模擬潛在損失高達5億5010萬美元。

在活躍的BNB Smart Chain合約中，發現了兩個零日漏洞，價值3,694美元，API費用僅花費3,476美元。研究指出，漏洞發現速度每月都在翻倍，而每個有效漏洞的成本持續下降——這對區塊鏈安全來說是一個危險的趨勢。

詐騙激增，AI生成的深偽影片猖獗

AI驅動攻擊的影響不僅限於程式碼利用。Chainabuse報告指出，2025年4月前，AI驅動的加密貨幣詐騙激增456%，主要由深偽影片和逼真的聲音克隆推動。詐騙錢包現在接收的存款有60%來自於使用AI生成的假身份和即時自動回應的活動。

攻擊者越來越多地部署模擬技術面試的機器人，誘使開發者下載偽裝的惡意工具。社會工程學的成分使這些攻擊對於忙於多個專案的專業人士特別有效。

然而，PeckShield 12月的數據提供了一點曙光：2025年12月的加密相關駭客事件較11月的1億9420萬美元下降了60%，降至$76 百萬美元。但這個減少幅度與2025年整年AI加速的漏洞發現和詐騙擴散規模相比，仍顯得微不足道。

加密貨幣開發者現在應該做些什麼

AI程式碼工具漏洞、國家支持的智能合約攻擊，以及AI生成的詐騙，形成了一個前所未有的威脅環境。開發者應對未經信任的專案資料夾格外謹慎，驗證NPM套件來源，並嚴格區分開發環境與存放敏感憑證的系統。儘管AI工具能提高生產力，但若未建立適當的操作安全措施，也可能成為潛在的風險來源。