AI-crypto agents onder vuur: Nieuw 'ClawJacked' lek geeft hackers de sleutels van je wallet
Terwijl de adoptie van autonome AI-trading agents een vlucht neemt, is er een kritiek beveiligingslek ontdekt dat de fundamenten van deze technologie doet schudden. Onderzoekers van The Hacker News waarschuwen voor een aanvalsmethode genaamd 'ClawJacked'. Hiermee kunnen malafide websites lokale AI-agents manipuleren om ongemerkt crypto-transacties te ondertekenen.
Het gaat hierom: De zwakke plek van de AI-assistent
De fout zit niet in de blockchain zelf, maar in de manier waarop lokale AI-modellen (zoals die in browser-extensies of desktop-apps) communiceren met de rest van het internet. Veel moderne crypto-tools maken gebruik van AI om complexe swaps uit te voeren of yield te optimaliseren.
'ClawJacked' maakt misbruik van een gebrek aan isolatie tussen de webinterface en de AI-engine. Wanneer een gebruiker een besmette website bezoekt, kan een script op de achtergrond een opdracht sturen naar de AI-agent. Omdat de AI getraind is om de gebruiker te "helpen", voert het de transactie uit zonder dat de gebruiker ooit op een 'confirm' knop in zijn wallet hoeft te klikken.
De cijfers liegen niet
De impact van dit lek is potentieel enorm omdat het de kern van "permissionless" trading aanvalt:
- Getroffen platforms: Minimaal drie grote open-source AI-agent frameworks die populair zijn op Solana (SOL) en Ethereum (ETH).
- Methode: De aanval omzeilt 2FA-beveiliging door de AI-agent te laten geloven dat de opdracht afkomstig is van een geautoriseerde lokale instantie.
- Risico: Volledige diefstal van fondsen uit hot wallets die gekoppeld zijn aan AI-gestuurde handelsstrategieën.
Geen 'ver-van-mijn-bed' show
De ironie is pijnlijk: juist de meest geavanceerde gebruikers, die AI inzetten om een voorsprong op de markt te krijgen, lopen nu het grootste risico. Het gaat hier niet om een klassieke phishing-link waar je zelf op klikt, maar om een geruisloze overname van je digitale assistent.
Opmerkelijk is dat de eerste patches al worden uitgerold, maar beveiligingsexperts adviseren om per direct alle automatische goedkeuringen voor AI-agents in te trekken totdat er een definitieve fix is voor de specifieke API-aanroepen die 'ClawJacked' misbruikt.
Ga verder met lezen
Dit vind je misschien ook leuk
Laat mensen jouw mening weten
Lees ook
Populair Nieuws
Loading
