OpenClaw อาจดึงทรัพย์ในกระเป๋าเงินคริปโตออกจนหมดด้วย “ทักษะที่เป็นอันตราย” CertiK เตือน
CertiK เพิ่งออกมาเตือนว่าเอเจนต์ AI อย่าง OpenClaw อาจกลายเป็นเครื่องมือที่อันตรายต่อผู้ใช้งานเงินเข้ารหัส โดยเฉพาะอย่างยิ่งหากมีการติดตั้ง “ทักษะที่เป็นอันตราย” ที่สามารถแอบขโมยทรัพย์สินในกระเป๋าเงินได้อย่างแนบเนียน จากหน่วยงานตรวจสอบความปลอดภัยนี้ ความเสี่ยงไม่ได้อยู่ที่ตัว AI เอง แต่เป็นวิธีที่ระบบนิเวศของงาน ส่วนเสริม และสิทธิ์การเข้าถึงของมันอาจถูกนำไปใช้ในทางที่ผิด
ในการแนะนำล่าสุด CertiK ระบุว่าคนที่ “ไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัย นักพัฒนา หรือคนในวงการเทคโนโลยีที่มีประสบการณ์สูง” ควรหลีกเลี่ยงการติดตั้งและการใช้งาน OpenClaw จุดกังวลหลักคือเมื่อผู้ใช้ให้สิทธิ์กว้างเกินไปแก่งเอเจนต์ AI หนึ่งตัว มันอาจทำพฤติกรรมที่เกินความคาดหมาย ตั้งแต่เข้าถึงข้อมูลอ่อนไหว ไปจนถึงการจัดการกับกระเป๋าเงินหรือการลงนามธุรกรรม
เหตุใดเอเจนต์ AI จึงอาจกลายเป็นภัยต่อกระเป๋าเงินคริปโต
เอเจนต์ AI ถูกออกแบบมาเพื่อทำให้งานเป็นอัตโนมัติ โต้ตอบกับแอปพลิเคชัน และทำภารกิจแทนผู้ใช้ ความสะดวกนี้เองกลับสร้างพื้นผิวการโจมตีใหม่ หากมีการเพิ่ม “skills” หรือปลั๊กอินจากบุคคลที่สามให้กับเอเจนต์ เมื่อไหร่ก็ตาม ผู้ไม่หวังดีอาจแทรกโค้ดที่เป็นอันตราย ทำให้เครื่องมือที่ช่วยเหลือกลายเป็นช่องทางสำหรับการเก็บรวบรวมข้อมูล หรือยึดควบคุมพฤติกรรมบนเครื่องของผู้ใช้
สำหรับกระเป๋าเงินคริปโต แค่การกระทำที่ไม่ระมัดระวังเพียงครั้งเดียว เช่น ให้สิทธิ์ในการลงนามธุรกรรม เก็บ seed phrase อย่างไม่ปลอดภัย หรืออนุญาตให้แอป AI เข้าถึงเบราว์เซอร์และไฟล์ในระบบ ผลลัพธ์อาจร้ายแรงมาก เมื่อสิทธิ์ถูกนำไปใช้ในทางที่ผิด ทรัพย์สินในกระเป๋าเงินอาจถูกโอนไปโดยที่เหยื่อไม่ทันรู้ตัว
“ทักษะที่เป็นอันตราย” คืออะไร?
ตามที่ CertiK เรียกขาน “ทักษะที่เป็นอันตราย” คือส่วนประกอบเสริมที่ถูกติดตั้งลงในเอเจนต์ AI เพื่อขยายฟังก์ชันการทำงาน แต่แท้จริงแล้วกลับรับใช้เป้าหมายด้านการโจมตี มันอาจแอบแสดงตัวเป็นเครื่องมือที่มีประโยชน์ แต่ภายในมีตรรกะเพื่อขโมยข้อมูล เก็บรวบรวมคีย์ส่วนตัว ปรับเปลี่ยนข้อมูล หรือดำเนินการที่อันตรายอย่างอัตโนมัติเมื่อผู้ใช้ไม่ทันสังเกต
สิ่งที่น่ากังวลคือ ส่วนประกอบเหล่านี้มักไม่ทำให้สังเกตเห็นได้ชัดตั้งแต่แรกเริ่ม มันสามารถทำงานแบบ “เงียบ” แค่เปิดใช้งานในบางเงื่อนไขเท่านั้น ทำให้การตรวจจับด้วยตาเปล่าทำได้ยากกว่าซอฟต์แวร์มัลแวร์แบบดั้งเดิมมาก
ผู้ใช้งานทั่วไปมักถูกเล็งเป้าได้ง่าย
CertiK ย้ำว่ากลุ่มผู้ใช้ที่ไม่เข้าใจเชิงลึกเกี่ยวกับความปลอดภัยคือกลุ่มที่เสี่ยงต่อความเสียหายที่สุด พวกเขามักถูกดึงดูดด้วยความสามารถในการทำงานอัตโนมัติ อินเทอร์เฟซที่เป็นมิตร และคำมั่นว่าจะช่วยประหยัดเวลาให้จากเครื่องมือ AI อย่างไรก็ตาม หากไม่เข้าใจวิธีการให้สิทธิ์ การตรวจสอบแหล่งที่มาตอนติดตั้ง หรือวิธีแยกข้อมูลอ่อนไหวออกจากกัน พวกเขาก็มีความเสี่ยงสูงมากที่จะเผลอเปิดประตูให้เกิดภัยคุกคาม
ในบริบทที่ตลาดคริปโตยังมีช่องโหว่จำนวนมากด้านความเข้าใจเรื่องความปลอดภัย แค่การติดตั้งที่ขาดความระมัดระวังเพียงครั้งเดียวก็อาจนำไปสู่ผลกระทบร้ายแรง นี่คือเหตุผลที่ผู้เชี่ยวชาญแนะนำว่าผู้ใช้ต้องปฏิบัติต่อแอป AI ทุกตัวที่มีสิทธิ์เข้าถึงระบบเสมือนเป็นซอฟต์แวร์ที่มีระดับความเสี่ยงสูง
ควรทำอะไรเพื่อช่วยลดความเสี่ยง?
CertiK เชื่อว่าผู้ใช้ควรให้ความสำคัญกับหลักการ “ให้สิทธิ์น้อยที่สุด” ติดตั้งจากแหล่งที่เชื่อถือได้เท่านั้น และไม่แชร์คีย์ส่วนตัว seed phrase หรือข้อมูลการเข้าสู่ระบบให้กับเอเจนต์ AI ใด ๆ โดยเด็ดขาด หากเครื่องมือใดต้องขอสิทธิ์มากเกินกว่าหน้าที่ที่โฆษณา นั่นคือสัญญาณที่ควรระวัง
สำหรับนักพัฒนาและผู้ใช้ขั้นสูง การตรวจสอบซอร์สโค้ด การแยกสภาพแวดล้อมที่รัน การเฝ้าระวังพฤติกรรมเครือข่าย และการแยกกระเป๋าเงินสำหรับเก็บทรัพย์สินมูลค่าสูงออกจากอุปกรณ์ที่ใช้ทดลองกับ AI ล้วนเป็นขั้นตอนการป้องกันที่จำเป็น ในยุคของ AI agent ความปลอดภัยไม่ได้เป็นแค่เรื่องของกระเป๋าเงินหรือการแลกเปลี่ยนเท่านั้น แต่ยังอยู่ที่ทุกชั้นของเครื่องมือกลางที่ผู้ใช้เลือกจะเชื่อใจ
สรุป
คำเตือนจาก CertiK ชี้ให้เห็นว่าคลื่นของ AI agent กำลังเปิดแนวรบด้านความปลอดภัยใหม่ให้กับวงการคริปโต เมื่อเครื่องมืออัตโนมัติมีความฉลาดขึ้นเรื่อย ๆ และควบคุมได้ยากขึ้น ความเสี่ยงที่จะถูกนำไปใช้เพื่อโจมตีกระเป๋าเงินคริปโตก็จะเพิ่มขึ้นตามไปด้วย สำหรับผู้ใช้งานทั่วไป การระมัดระวังก่อนติดตั้งและให้สิทธิ์กับเอเจนต์ AI ใด ๆ คือวิธีปกป้องทรัพย์สินที่เรียบง่ายแต่สำคัญที่สุด
