หัวหน้าแผนกความปลอดภัยไซเบอร์ของ Slow Mist 23pds เตือน: ทีมที่ขาดพื้นฐานทางเทคนิคและพยายามติดตั้ง OpenClaw อย่างไร้จุดหมายก็ไม่มีความหมาย เพียงแต่สร้างช่องโหว่ใหม่ๆ ขึ้นมาเท่านั้น
(เรื่องราวก่อนหน้า: ผู้เสียหายรายแรกของ OpenClaw ได้ปรากฏตัวแล้ว! 4 ข้อความสำคัญด้านความปลอดภัยที่ต้องรู้ก่อนติดตั้ง Xiaolongxia)
(ข้อมูลเพิ่มเติม: หลังจาก OpenClaw กลายเป็นที่นิยมอย่างมาก: แมลงเปิดซอร์สตัวนี้ ได้ส่งผลต่อหุ้นในตลาดอเมริกาอย่างไรบ้าง?)
เมื่อเร็วๆ นี้ โครงการโอเพ่นซอร์ส AI Agent ชื่อ OpenClaw ถูกมองว่าเป็น “แหล่งขุดทองอัตโนมัติ” อย่างไรก็ตาม หัวหน้าแผนกความปลอดภัยไซเบอร์ของ Slow Mist 23pds ได้ออกคำเตือนในเช้าวันนี้ (11) ว่า หากไม่มีพื้นฐานทางเทคนิคและแค่ต้องการตามเทรนด์ ติดตั้งโดยไม่คิด ก็อาจไม่ได้รับสมบัติ แต่กลับเสี่ยงต่อความหายนะในระดับสูงสุด
OpenClaw เป็นตัวกรอง (filter) สำหรับบริษัทที่มีความสามารถด้านความปลอดภัยและพลังการคำนวณ จะสามารถเปลี่ยนมันให้เป็นเครื่องมือสร้างผลผลิตได้ แต่ทีมที่ขาดพื้นฐานทางเทคนิค กลับใช้มันเป็นความเสี่ยงใหม่ๆ ที่อาจเกิดขึ้นได้ หากเป็นบริษัทที่อยากเล่นสนุกหรือเกาะเทรนด์ ควรพิจารณาความต้องการที่แท้จริงของตัวเองก่อน ถ้าระบบธุรกิจและความปลอดภัยของคุณเป็นความยุ่งเหยิงอยู่แล้ว ก็ไม่จำเป็นต้องตามเทรนด์แบบไร้จุดหมาย
โอกาสที่แท้จริงจะเป็นของผู้ที่เข้าใจเท่านั้น ไม่ใช่ผู้ที่หวังผลจากการเก็งกำไร
— 23pds (山哥) (@im23pds) 11 มีนาคม 2026
OpenClaw เป็นดาบสองคม: โอกาสและช่องโหว่คู่กัน
23pds โพสต์บนแพลตฟอร์ม X ระบุว่า สำหรับบริษัทที่มีความสามารถด้านความปลอดภัย OpenClaw จริงๆ แล้วสามารถเปลี่ยนเป็นเครื่องมือสร้างผลผลิตได้ แต่สำหรับทีมที่ระบบพื้นฐาน “เละเทะ” การตามเทรนด์โดยไม่คิดก็ไร้ประโยชน์ เพียงแต่สร้างช่องโหว่ใหม่ๆ ขึ้นมาเท่านั้น
เขายังกล่าวเพิ่มเติมว่า จากมุมมองด้านเทคนิค การรันโมเดล 7B-14B อย่างน้อยต้องใช้การ์ดจอ NVIDIA RTX 3060/4060 ขึ้นไป (หน่วยความจำวิดีโอ ≥ 8GB) และแนะนำให้มี RAM อย่างน้อย 32GB หากเลือกใช้ API บนคลาวด์ เช่น Claude ค่าบริการ Token รายเดือนอาจสูงถึงหลักสิบถึงหลักร้อยดอลลาร์สหรัฐ
ต้นทุนเหล่านี้มักถูกประเมินต่ำเกินไปสำหรับนักเก็งกำไรที่ขาดความสามารถในการประเมินเทคโนโลยี
3 ภัยคุกคามด้านความปลอดภัยไซเบอร์: ตั้งแต่แพ็กเกจติดตั้งอันตราย ไปจนถึงภาพลวงของ AI
ปัจจุบัน OpenClaw ถูกชี้ให้เห็นว่ามีภัยคุกคามด้านความปลอดภัยหลัก 3 ประการ:
อันดับแรกคือ การโจมตีด้วยแพ็กเกจติดตั้งอันตราย ปัจจุบันพบแพ็กเกจ npm ปลอมจำนวนมากที่แอบอ้างชื่อว่า “openclawai” ซึ่งออกแบบมาเพื่อขโมยคีย์ส่วนตัวของกระเป๋าเงินคริปโตและข้อมูลสำคัญใน Apple Keychain รวมถึงเวอร์ชัน “U盘” ที่วางขายในตลาดก็อาจแฝงมัลแวร์ เมื่อผู้ใช้ติดตั้งก็จะให้สิทธิ์ระดับสูงแก่แฮกเกอร์ในการเข้าถึงระบบลึก
อันดับสองคือ การปลอมผลการค้นหา แฮกเกอร์ใช้เทคนิค SEO เพื่อปลอมผลการค้นหาใน Bing และเสิร์ชเอนจินอื่นๆ ทำให้ผู้ที่ต้องการดาวน์โหลด OpenClaw เข้าเว็บไซต์ปลอม ซึ่งอาจมีมัลแวร์ฝังอยู่
อันดับสามคือ ความเสี่ยงจากภาพลวงของ AI มีกรณีที่ AI Agent เกิดภาพลวง จนสร้าง ID คลังสินค้าเท็จ ทำให้ระหว่างการพัฒนามี “การเบี่ยงเบนในการปรับใช้” ซึ่งทำให้โครงการออกนอกเส้นทางที่ควรเป็น
การเกิดขึ้นของ OpenClaw เป็นสัญญาณของความก้าวหน้าของยุค AI Agent แต่ความร้อนแรงของเทคโนโลยีไม่ควรบดบังความรู้พื้นฐานด้านความปลอดภัย ควรรักษาคีย์ส่วนตัวและสิทธิ์ของระบบให้ปลอดภัยมากกว่าการตามเทรนด์โครงการโอเพ่นซอร์สใดๆ เพราะโค้ดที่เราไม่เข้าใจคือภัยคุกคามที่ใหญ่ที่สุดต่อทรัพย์สินของเรา
btc.bar.articles
มูลนิธิ Zcash เปิดตัว Zebra เวอร์ชัน 4.4.0 ในวันที่ 2 พฤษภาคม โดยแก้ไขช่องโหว่ด้านความปลอดภัยระดับฉันทามติหลายรายการ
ตามรายงานของ Zcash Foundation มีการปล่อย Zebra 4.4.0 เมื่อวันที่ 2 พฤษภาคม เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับฉันทามติหลายรายการ และแนะนำอย่างยิ่งให้ผู้ให้บริการโหนดทุกคนอัปเกรดทันที การอัปเดตนี้แก้ไขปัญหาการโจมตีแบบปฏิเสธการให้บริการ (denial-of-service) ที่อาจทำให้การค้นพบบล็อกใหม่หยุดชะงัก รวมถึงการทำงานของลายเซ็นบล็อก
GateNews2 ชั่วโมง ที่แล้ว
DeFi ขาดทุน 606 ล้านดอลลาร์ในเดือนเมษายน; Drift และ Kelp DAO คิดเป็น 95%
โปรโตคอล DeFi ประสบกับความสูญเสียอย่างมีนัยสำคัญรวม 606 ล้านดอลลาร์ในเดือนเมษายน โดยมีโปรโตคอล 12 รายถูกโจมตีภายในช่วงเวลาน้อยกว่าสามสัปดาห์ Drift และ Kelp DAO สร้างความเสียหายเป็นส่วนใหญ่ โดยสูญเสีย 285 ล้านดอลลาร์และ 292 ล้านดอลลาร์ตามลำดับ คิดเป็นประมาณ 95% ของ
GateNews2 ชั่วโมง ที่แล้ว
MEV Robot แปลง 0.22 ดอลลาร์ เป็น 696,000 ดอลลาร์ ผ่านการเอารัดเอาเปรียบพูล Meteora ANB
ตาม SolanaFloor หุ่นยนต์ MEV ได้ใช้ประโยชน์จากช่องโหว่ในพูล ANB ของ Meteora เพื่อแปลง $0.22 USDC เป็น $696,000 USDC ในธุรกรรมเดียว หลังการโจมตี โทเค็น ANB ลดลง 99%
GateNews2 ชั่วโมง ที่แล้ว
Purrlend สูญเสีย 1.52 ล้านดอลลาร์ หลังผู้ดูแลระบบเข้าถึง Multi-Sig แบบไม่ได้รับอนุญาตบน HyperEVM และ MegaETH
ตามรายงานของ ChainCatcher, Purrlend ประสบเหตุละเมิดความปลอดภัยบนการใช้งาน HyperEVM และ MegaETH ในวันที่ 2 พฤษภาคม โดยสูญเสียประมาณ 1.52 ล้านดอลลาร์ ผู้โจมตีได้เจาะเข้าถึงวอลเล็ตมัลติซิกเนเจอร์สำหรับผู้ดูแล 2/3 ของโปรโตคอล และมอบสิทธิ์ BRIDGE_ROLE ให้กับตนเอง จากนั้นทำการมินต์โดยไม่มีสินทรัพย์หนุน
GateNews5 ชั่วโมง ที่แล้ว
มัลแวร์ EtherRAT ที่เพิ่งถูกระบุไม่นานนี้ ผสมผสานการขโมยข้อมูลรับรองและการโจมตีกระเป๋าเงินคริปโทเคอร์เรนซี
ตามที่นักวิจัยจาก LevelBlue SpiderLabs ระบุ EtherRAT ซึ่งเป็นมัลแวร์ที่เพิ่งถูกระบุไม่นานนี้ ผสานการขโมยข้อมูลรับรอง การเข้าถึงระยะไกล และการโจมตีวอลเล็ตสกุลเงินดิจิทัลเข้าด้วยกันในแคมเปญที่ดำเนินการอย่างประสานกัน โดยมัลแวร์ดังกล่าวถูกเผยแพร่ผ่านตัวติดตั้ง Tftpd64 ปลอมที่โฮสต์บนรีโพซิทอรี GitHub ที่หลอกลวง de
GateNews8 ชั่วโมง ที่แล้ว
กระเป๋าเงิน Ethereum ที่ไม่ได้ใช้งานจำนวนหลายร้อยใบ ถูกโอนไม่เหลือโดยที่อยู่เดียว
ตามที่ ChainCatcher ระบุ วอลเล็ต Ethereum หลายร้อยบัญชีที่ไม่ได้ใช้งานมานานกว่า 7 ปีถูกระบายออกโดยที่อยู่เพียงที่อยู่เดียวในวันนี้ (2 พฤษภาคม) ตามที่นักวิเคราะห์คริปโต Wazz กล่าว สมาชิกทีม Aragon @TheTakenUser ยืนยันว่ากองทุนในวอลเล็ตของพวกเขาถูกโอนโดยไม่ได้รับอนุญาต สาเหตุของเหตุการณ์นี้
GateNews8 ชั่วโมง ที่แล้ว
