注意

央视ニュースの報道によると、国家安全部は本日、安全に関する注意喚起を発表しました。ここしばらくの間、人工知能の応用需要が急速に増加する中で、国内で「AI 中継所」と呼ばれる海外の大規模モデルへのアクセスサービスが急速に人気を集めています。しかし、現在の「AI 中継」市場は混乱しており、一部の「AI 中継所」は運営資格が欠如しており、安全対策が不十分で、ユーザーのプライバシー漏洩やデータ売買の問題が頻発しており、データセキュリティのリスクは無視できません。「AI 中継所」は、ユーザーとAIモデルの公式サービスの間に位置する代理層です。各AIモデルメーカーのアプリケーションプログラミングインターフェース（API）を統合して一つのプラットフォームに提供し、ユーザーに提供します。具体的に言うと、「AI 中継所」はユーザーと大規模モデルの間の「仲介者」であり、ユーザーが複数のAI大規模モデルをより便利に呼び出す手助けをし、ワンストップでユーザーの多様な使用ニーズを満たすことができます。

GoPlusの安全警報によると、Xプラットフォーム上でブラックUを推奨し、マネーロンダリング検出サイトのフィッシング詐欺活動が発生しています。調査の結果、このサイトはVercelホスティングプラットフォームに展開されたフィッシングサイトであり、ユーザーのウォレットの承認を騙し取ることを目的としていますので、相互作用しないでください。GoPlusの推奨：私的な取引はできるだけ避け、中央集権取引所のOTC機能を使用してください。特にウォレットの署名や承認が必要な操作に対しては、不明なリンクに対して高い疑念を持ってください。「フィッシング防止の四つの選ばないこと」を忘れないでください：不明なリンクをクリックしない、不明なソフトウェアをインストールしない、不明な内容の取引に署名しない、未確認のアドレスに送金しない。

香港証券監察委員会は公告を発表し、一般の人々に高い警戒を保つよう呼びかけ、投資者補償基金の名を騙る詐欺に注意するよう警告しています。これらの詐欺はしばしば被害者に二次的な損失をもたらします。詐欺師は過去に投資損失を被った人々に接触し、被害者が損失補償基金からの損失回収の資格があると偽り、追加の「保証金」や「手数料」を支払うだけで補償基金からの「補償」を手配できると要求します。その結果、多くの被害者が二次的な詐欺に遭っています。香港証券監察委員会は一般の人々に対し、証券監察委員会はソーシャルメディアやインスタントメッセージングプラットフォームを通じて投資者に連絡し、補償請求に関連する金銭を要求することはないと警告しています。

金十の報道によると、米連邦準備制度のグールスビーは、金利が大幅に低下することに楽観的であるが、インフレに関して進展が必要であると述べた。

JPYC株式会社の公式発表によると、ウォレットやDEXで「JPYC」を検索すると、名称、ロゴ、またはシンボルが似ている偽のトークンが表示される可能性があります。公式からの注意として、トークンの真偽を確認する際には、名称やアイコンだけで判断せず、トークンのコントラクトアドレスが公式のFAQに記載されているものと完全に一致しているかを厳密に確認する必要があります。たとえ1文字でも異なる場合は異なるトークンとなります。また、ユーザーには未知のトークンに対して送信、交換、承認、署名などの操作を行わないように警告しています。

SolanaエコシステムのDeFiプロトコルMeteoraの公告では、クラウドホスティングプラットフォームVercelのセキュリティ事件に関する最新の進展に注目し、12時間前に環境キーを即座にローテーションし、ログを確認したところ、すべて正常であることが確認されました。公式はMeteoraおよびそのユーザーの安全を確保するために、事態の進展を引き続き監視します。

公式の情報によると、Blockaid システムは Cowswap に対するフロントエンド攻撃を検出しました。ウェブサイト COW[.]FI は悪意のあるサイトとしてマークされています。ユーザーのウォレットが接続されている場合は、直ちに権限を取り消し、この DApp とのいかなる相互作用も避けてください。

CZはソーシャルメディアで新書の「電話番号漏洩」について、数年前からその電話番号は使用していないと応じた。新しい持ち主はハッカーか警察で、以前はアシスタントになりたいと思っていた。皆さん自身の安全に注意してください。関連する（ソーシャルメディアアカウント）を追加しないことをお勧めします。

中国工業情報化部のネットワークセキュリティ脅威および脆弱性情報共有プラットフォーム（NVDB）が監視したところ、攻撃者がApple社の端末製品に対する脆弱性を利用した攻撃活動を行っており、情報の盗取やシステムの制御などの深刻な危害を引き起こす可能性があります。影響範囲には、iOS 13から17.2.1を実行しているiPhone、iPadなどのApple社の端末製品が含まれます。攻撃者は、SMS、メール、またはウェブページの毒入れなどの方法を通じて、ユーザーを誘導し、Safariブラウザを使用して悪意のあるコードを含むウェブページにアクセスさせ、端末デバイスに存在するセキュリティ脆弱性を総合的に利用して、被害を受けた端末製品にリモートコントロールのトロイの木馬を植え付け、ユーザーの敏感情報を盗み、最高権限を取得して制御します。Apple社の端末製品を使用しているユーザーには、リスクの調査を行い、できるだけ早くバージョンをアップグレードし、パッチをインストールするなどの方法で脆弱性を修正することをお勧めします（Apple社のセキュリティ更新のお知らせを参照してください）。システム更新通知やApple社が発表した最新のセキュリティ更新のお知らせに注意し、最新の安全バージョンに適時アップグレードし、使用の安全意識を強化し、不明なリンクをクリックしないようにし、ネットワーク攻撃のリスクを防ぎましょう。

慢雾は再び安全に関する警告を発表し、axiosの悪意のあるバージョンとOpenClawのnpmグローバルインストール履歴の露出リスクに注意するよう呼びかけています。[email protected]と[email protected]は悪意のあるバージョンとして確認されており、両者は[email protected]に依存しており、postinstallスクリプトを通じてクロスプラットフォームの悪意のあるペイロードを配信しています。OpenClawの影響状況はシナリオによって判断されます：ソースコードのビルドは影響を受けず、ロックファイルでロックされたバージョンは1.13.5/1.13.6です。しかし、npm install -g [email protected]でインストールしたユーザーには履歴露出リスクがあります。理由は依存関係の中にoptionalDependencies.axios@^1.7.4が存在し、悪意のあるバージョンがオンラインの間に[email protected]に解決される可能性があるためです。現在、npmは[email protected]に解決を戻しましたが、攻撃ウィンドウ内でインストールされた環境は引き続き調査を推奨します。慢雾は各プラットフォームの調査コマンドとIoCパスを提供しており、plain-crypto-jsディレクトリが存在する場合、package.jsonがクリーンにされていても、高リスクの実行痕跡と見なすべきです。影響を受けたホストは直ちに資格情報をローテーションし、ホスト側の調査を開始することをお勧めします。以前の情報では、慢雾の創設者である余弦が、OpenClaw 3.28バージョンが毒入りバージョンのaxiosを導入する可能性があると警告しており、ユーザーは緊急に調査する必要があります。

慢雾の創設者余弦が安全に関する注意喚起を発表しました：私たちは基本的に、ユーザーの OpenClaw が最新バージョン 3.28 の場合、ウイルスを含む axios が導入される可能性があることを確認していますので、注意して調査してください。また、関連する Skills も axios に依存している可能性があり、間接的にウイルスに感染する恐れがあります。axios の使用が非常に広範囲にわたるため、条件が整えば全体的な調査を行うことができます。

Binanceは安全に関する注意喚起を発表しました。最近、コミュニティではデバイス環境の問題によって資産の安全性に関する事件が多発しているため、ユーザーに対して秘密鍵やリカバリーフレーズの安全を守るよう注意を促しています。Binanceウォレットの無私鍵モードはMPC関連技術に基づいており、鍵を異なる独立した環境に分散して保存することで、資産管理の安全性をさらに向上させ、鍵の漏洩や攻撃のリスクを効果的に低減します。

OpenClawの創設者ピーター・スタインバーガーはXプラットフォームで、OpenClawに関連するウェブサイトから送信される暗号通貨メールはすべて詐欺であると警告しました。彼はOpenClawがオープンソースの非商業プロジェクトであると述べ、ユーザーに公式ウェブサイトを通じて情報を取得するよう促し、その基盤の上に商業的なパッケージを構築しようとする行為に警戒するよう呼びかけました。

慢雾科技首席信息安全官 23pds が発信した注意喚起によると、ClawHub の開発者はフィッシングや資格情報漏洩のリスクに注意する必要があります。現在、ClawHub は開発者の GitHub ワンクリックログインに依存しており、以前に Sha1-Hulud ワームが多数の開発者の GitHub 資格情報を盗んだため、攻撃者が Skills を狙う可能性があります。攻撃経路は次の通りです：資格情報の盗難 → 攻撃者が GitHub 権限を取得 → 開発者として ClawHub にログイン → 悪意のある Skills を公開しバックドアを埋め込む → ユーザーがダウンロードしてインストール後、悪意のあるコードを実行しシステムが侵入される。

Etherscan はユーザーに警告を発しました。以前、ある被害者が2回のステーブルコインの送金を行った後、30分以内に89件のアドレスポイズニング取引を受けました。アドレスポイズニング攻撃者はブロックチェーンの活動を監視し、ユーザーが過去にやり取りした有効なアドレスの先頭と末尾の文字に似た偽のアドレスを作成し、ターゲットにほとんど価値のない少額の送金を行います。これにより取引履歴に表示され、ユーザーがその後の送金時に攻撃者のアドレスを誤ってコピーするように誘導します。Etherscan はユーザーに対し、常に完全なターゲットアドレスを確認し、類似のアドレスを区別するためにアドレスハイライト機能を利用することを推奨しています。

据证券时报报道，近期，OpenClaw（"小龙虾"）应用下载与使用情况火爆。对此，人民财讯从负责 AI 政策的香港数字政策办公室获悉，香港数字政策办公室一直持续监测人工智能的最新发展趋势，近期也关注到有关 OpenClaw 存在的潜在风险，包括权限过高、数据泄露、系统安全等方面。建议相关单位和个人用户在部署及应用 OpenClaw 时，采取充足的安全措施，具体包括：强化网络控制，对运行环境实施严格隔离，以降低权限过高的风险；加强凭证管理，避免将密钥以明文形式存储在环境变量中；严格管理插件来源，确保插件的可信性与安全性；持续关注官方发布的补丁和安全更新，及时开展版本更新并安装安全补丁。据悉，香港政府高度重视人工智能应用的治理和风险防范工作，制定了《人工智能道德框架》《香港生成式人工智能技术及应用指引》等文件。同时，政府已制定一套全面的《政府资讯科技安全政策及指引》，供各部门遵守和使用。各部门在安装各类软件前，必须开展风险评估。

据 GoPlus 発表のセキュリティ警告によると、攻撃者は Google 検索広告を通じて、ピクセル単位で完璧にクローンされた #Claude Code の公式インストールページのマルウェアを配布しており、このマルウェアはユーザーのパスワード、クッキー、セッショントークン、暗号財布、資格情報、システム情報を盗むことができます。GoPlus は、検索結果の広告識別を確認し、公式ウェブサイトとの微妙な違いを注意深く確認することを推奨しています。また、公式文書、ソーシャルメディア、GitHub リポジトリなどの複数のチャネルを通じてインストール方法を検証し、知らないコマンドを直接実行せず、実行前にコマンドの動作を分析することを勧めています。フィッシングリンク、リスクのある署名、認証、取引をリアルタイムでブロックするために、安全なプラグインをインストールすることも重要です。

GoPlus は安全警告を発表し、Gork 4.2 をテーマにした 4AGENT トークン（契約の先頭は 0x15ea）を貔貅トークンとして、KOL と賢いお金が被害に遭い、総損失は 170 #BNB（約 10 万ドル）であるとしています。攻撃の利益の中で 123.7 BNB が 0xFcc7 で始まるアドレスに転送されました；さらに 46 BNB が orbiter を使って ETH に換えられ、0x96f4 で始まるアドレスに移動しました。Dev の資金源は Bitget であり、クロスチェーンアドレスを辿ると、以前に同様の未公開の悪意のあるトークン：DEBOT と U Lottery が発行されていたことがわかります。

据金十报道，美联储官员卡什卡利表示，鉴于近期通胀走势，需密切关注居高不下的整体通胀。

Binance 創業者 CZ は、初期のビットコイン投資家 Davinci Jeremie のマルチシグウォレットの「残高がゼロ」と表示される経験に対して、ウォレットソフトウェアのアップグレードで derivation path（派生パス）が変更されることは「非常に悪くて恐ろしい」と述べ、「self custody perks（自己保管の代償）」であると語った。以前、Davinci は、彼の2-of-3マルチシグウォレットがソフトウェアの変更により派生パスが変更されたため、正しい秘密鍵を使用しても元のアドレスと残高を見つけられず、最終的には保存していた古いパスを頼りに回復を完了したと指摘した。複数の業界関係者は、異なる標準（例えば BIP44、BIP84、BIP86）が同じニーモニックの下で異なるアドレスを生成するため、ウォレットがアップグレードされる際に十分な通知と移行が行われなければ、ユーザーが資産の喪失リスクを誤って判断することになると補足した。