Ars Technica

Novo ataque pode roubar criptomoedas plantando falsas memórias em chatbots de IA

Uma técnica maliciosa de “manipulação de contexto” faz com que um bot envie pagamentos para a carteira do atacante.

  • Os ataques de “manipulação de contexto” podem causar consequências potencialmente catastróficas se agentes tiverem controle sobre carteiras de criptomoedas, contratos inteligentes ou outros instrumentos financeiros relacionados.
  • Os pesquisadores descobriram vulnerabilidades nas interações de grandes modelos de linguagem que permitem a inserção de falsas memórias e eventos fictícios nos bots de IA.
  • A fragilidade do ElizaOS permitiu o desenvolvimento de um exploit que induz o bot a enviar transações para uma conta controlada pelo atacante, manipulando o contexto da conversa.

    • Nova técnica de ataque pode roubar criptomoedas ao plantar falsas memórias em chatbots de IA

    Imagine um mundo onde bots alimentados por IA podem comprar ou vender criptomoedas, fazer investimentos e executar contratos definidos por software em um piscar de olhos, dependendo dos preços de moedas minuto a minuto, notícias de última hora ou outros eventos que movimentam o mercado. Agora, imagine um adversário fazendo com que o bot redirecione pagamentos para uma conta que controlam, inserindo apenas algumas frases no prompt do bot. Esse é o cenário descrito em uma pesquisa recentemente divulgada que desenvolveu um exploit contra o ElizaOS, um framework de código aberto incipiente.

    O ElizaOS é um framework para a criação de agentes que usam grandes modelos de linguagem para executar várias transações baseadas em blockchain em nome de um usuário com base em um conjunto de regras predefinidas. Apresentado em outubro sob o nome de Ai16z e alterado para o nome atual em janeiro, o framework ainda é amplamente experimental. Defensores de organizações autônomas descentralizadas (DAOs) veem o ElizaOS como um potencial motor para impulsionar a criação de agentes que navegam automaticamente por esses chamados DAOs em nome dos usuários finais.

    O ataque de “manipulação de contexto” que os pesquisadores criaram é simples de ser realizado. Uma pessoa autorizada a transacionar com um agente por meio de um servidor Discord, site ou outro tipo de plataforma, insere uma série de frases que imitam instruções legítimas ou históricos de eventos. O texto atualiza bancos de memória com eventos falsos que influenciam o comportamento futuro do agente.

    Estudos recentes demonstram que, se tais ataques forem bem-sucedidos, os resultados podem ser potencialmente catastróficos, especialmente em cenários multiusuários ou descentralizados, onde o contexto do agente pode ser exposto ou modificado. As vulnerabilidades exploradas pelos pesquisadores são baseadas em uma classe de ataques de grandes modelos de linguagem conhecidos como injeções de prompt.

    O ataque funciona porque o ElizaOS armazena todas as conversas passadas em um banco de dados externo que fornece memória persistente que influencia todas as transações futuras. A vulnerabilidade explorada na pesquisa se baseia na inserção de texto que teria resultado se certas transações ou instruções tivessem sido iniciadas, podendo levar o bot a enviar pagamentos para a carteira do atacante, em vez da do usuário.

    Artigo Original

    Related Posts