Võtmepunktid
Tehisaruagendid on tarkvaraprogrammid, mis saavad autonoomselt täita mitmesuguseid ülesandeid (sh tehingute saatmine, suhtlemine krüptorahakottidega ja tehingute teostamine). Seetõttu on turvalisuse tagamine hädavajalik.
Tehisarusüsteeme saab manipuleerida juhisesüste kasutavate rünnete, krüptorahapettuste ja petlike sisendite kaudu, mis panevad need tegutsema kasutaja huvide vastu.
Tehisaru genereeritud väljundid võivad olla valed, aegunud või eksitavad. Mõistlik on käsitleda tehisaru soovitusi ühe sisendina paljudest, mitte finantsnõuandena.
Tehisaruagentidele antud õiguste piiramine (sh juurdepääs vahenditele, rahakottidele ja tundlikele andmetele) on riskide maandamiseks üks tõhusamaid viise.
Enne tehisaruagendi kasutuselevõttu mis tahes kontekstis, sealhulgas krüptoraha valdkonnas, on oluline mõista, mida see teha saab ja mida mitte.
Sissejuhatus
Tehisaru (ka tehisintellekt, AI) kasutatakse kogu krüptoraha valdkonnas üha enam – alates kauplemisrobotitest ja portfellijälgijatest ning lõpetades plokiahela analüüsimise tööriistade ja vestluspõhiste abilistega. Tehisaruagentide esiletõus tähendab, et kasutajad saavad nüüd paluda tehisarul ülesandeid täita iseseisvalt, pikema aja jooksul ja vähese inimsekkumisega.
Tehisaruagent saab turgudel silma peal hoida ööpäev läbi, täita ülesandeid vastavalt muutuvatele oludele ja hallata keerukaid mitmeastmelisi töövooge, mille käsitsi juhtimine oleks aeganõudev või ebapraktiline.
Samas toovad samad omadused, mis muudavad tehisaruagendid võimsaks, kaasa ka uusi riske. Agent, mis tegutseb sinu nimel, võib eksida, olla manipuleeritav või sattuda ärakasutamise ohvriks. Krüptoraha valdkonnas on see eriti ohtlik, kuna enamikku plokiahelas tehtavaid tehinguid ei saa tagasi pöörata.
Selles artiklis selgitatakse peamisi tehisaruagentide krüptoraha valdkonnas kasutamisega seotud riske ja pakutakse välja praktilised head tavad tehisaru vastutustundlikuks kasutamiseks.
Mis teeb tehisaruagendid eriliseks?
Traditsiooniline tarkvara järgib fikseeritud reegleid: määratud tingimuse täitmisel teeb see määratud toimingu. Tehisaruagendid töötavad teisiti – nad saavad olukorda hinnata, plaanida etappide jada ja teostada toiminguid selle hinnangu põhjal (ka stsenaariumides, millega tegelemiseks nad ei olnud otseselt programmeeritud).
Krüptoraha maailmas võib see välja näha nagu agent, mis jälgib sinu portfelli ja teatud turutingimuste täitumisel mängib positsioone ümber. See võib olla ka agent, mis otsib tootlusvõimalusi erinevates detsentraliseeritud rahanduse (DeFi) protokollides ja teeb vastavad tehingud. Agent ei otsi lihtsalt teavet, vaid teeb toiminguid, millel on reaalsed tagajärjed.
Just see autonoomsus toobki kaasa uued riskid. Mida rohkem saab tehisaruagent teha nii, et sa ei pea iga sammu heaks kiitma, seda olulisem on teada, millised kaitsemeetmed on paigas, millele tal on juurdepääs ja kuidas ta käitub, kui midagi läheb valesti.
Kuidas saab tehisaruagente pahatahtlikult ära kasutada?
Tehisaruagentide tegevuses võib esineda rikkeid. Samuti saab neid mitmel viisil väärkasutada, vastavalt nende konstruktsioonile ja krüptorahakeskkonnale.
Hallutsinatsioonid ja faktivead
Tehisarupõhised keelemudelid võivad genereerida enesekindlalt kõlavaid vastuseid, mis on faktiliselt valed. Krüptoraha kontekstis võib see tähendada viitamist valele lepinguaadressile, tokenite pakkumise valesti esitamist või protokolli reeglite ebaõiget tõlgendamist. Tehisarult saadud valeinfo põhjal tegutsemine võib põhjustada rahalist kahju.
Otsesed ja kaudsed juhisesüstid
Juhisesüstimiseks nimetatakse ründetehnikat, mille korral panevad ründaja koostatud juhised tehisaruagendi tegema midagi sellist, mida sa ei soovi või mis on sulle kahjulik. Neid süste on kahte peamist tüüpi.
Otsene juhisesüstimine toimub siis, kui ründaja esitab agendile kasutajaliidese kaudu teadlikult pahatahtlikud juhised – kirjutades näiteks käsu, mis ütleb agendile, et too peaks oma ohutusreegleid ignoreerima.
Kaudne juhisesüstimine on sageli ohtlikum ja seda on ka raskem tuvastada. Sellise ründe korral manustatakse pahatahtlikud juhised välisesse sisusse, mida agent tavapärase töö käigus töötleb (nt veebilehele, dokumenti või sõnumisse). Kasutaja ei pruugi isegi teada, et agent on selliste varjatud juhistega kokku puutunud.
Kaudne juhisesüstimine on krüptoraha valdkonnas eriti murettekitav. Näiteks agent, mis otsib veebist turuandmeid, võib sattuda lehele, kus peidetud tekst juhendab teda kandma vahendeid ründaja kontrolli all olevale aadressile. See on agentsete tehisarusüsteemide kasutamisega seoses hästi dokumenteeritud nõrkus; eriti asjakohane on see juhul, kui agentidel on õigus tehinguid teha.
Andmepüük ja manipuleerimine
Tehisaruagente saab kasutada andmepüügi ehk õngitsusrünnete vektorina. Kurikaelad võivad tehisaru abil genereerida veenvaid sõnumeid, esineda legitiimsete teenusepakkujatena või töötada välja liideseid, mis matkivad usaldusväärseid platvorme.
Kui varem sihiti suhtlusrünnete ehk manipuleerimise taktikate abil eeskätt inimesi, siis nüüd on petised asunud neid kohandama, et ekspluateerida ka tehisarusüsteeme. Näiteks võib ründaja koostada sisendi, mis manipuleerib agenti avaldama tundlikke andmeid või selle turbekontrollidest mööduma.
Andmete väljaviimine
Tundlikke andmeid (nt rahakotiaadresse, API võtmeid või tehinguajalugu) käitlevaid tehisaruagente saab pettusega panna saatma seda teavet ründaja kontrolli all olevatesse serveritesse. Selleks on mitu varianti – juhisesüstid, tööriistade langemine turbemurde ohvriks või integratsioonid, mis suunavad andmed vaikselt ümber ründaja määratud sihtkohta.
Andmete väljaviimine erineb andmepüügist. See võib vaikselt taustal toimuda, ilma et kasutaja märkaks midagi ebatavalist.
Kahjurvara ja rikutud tööriistad
Tehisaruagendi tööriistad (sh lisandmoodulid või pistikprogrammid, integratsioonid ja API-d) võivad ise sattuda turbemurde ohvriks ja olla rikutud. Mitteametliku või kontrollimata tehisarupõhise lisandmooduli installimine võib sinu rahakoti ühendused ja sisselogimisandmed kahjurvarale teada anda.
Sageli valivad tehisaruagendid kasutamiseks sobivad tööriistad välja kirjelduste või metaandmete põhjal. Ründajad võivad peita kahjurjuhised tööriista kirjeldusse. Kui agent seda kirjeldust loeb, võib ta käituda ootamatul viisil. Vahel nimetatakse seda tööriista mürgitamiseks; tööriista kood võib töötada tavapäraselt, kuid kirjeldus paneb agendi tegema midagi kahjulikku.
See risk sarnaneb kontrollimata tarkvara allalaadimisega, kuid ei pruugi olla nii ilmne – tehisarupõhised tööriistad on sageli lihvitud välimusega ja töötavad ka siis, kui varjavad endas kahjurvara.
Nutilepingute teostamise riskid
Kui tehisaruagent suhtleb nutilepingutega, võib ta tehingud oma arutluskäigu põhjal automaatselt teostada. Ent kui tehisaruagendi loogikas esineb programmeerimisvigu, tehisaru mõistab lepingutingimusi valesti või nutilepingu olek plokiahelas on ootamatu, võib see kaasa tuua soovimatuid tehinguid. Erinevalt traditsioonilistest finantssüsteemidest on enamik plokiahelas tehtud tehinguid lõplikud ja pöördumatud.
„Vaibatõmbed“ ja petturprotokollid
Tehisaruagent, mille ülesanne on leida tootlus- või investeerimisvõimalusi, võib suhelda kahjurprotokollidega. Nn vaibatõmme toimub siis, kui projekti loojad võtavad kogu likviidsuse või vahendid välja, jättes teistele osalejatele üksnes väärtusetud tokenid.
Tehisaruagendid ei ole võltsprojektide tuvastamisel tingimata inimestest paremad. Küll aga võivad need tegutseda kiiremini ja see tähendab, et inimesele jääb enne vahendite sidumist projekti või tehingu läbivaatamiseks vähem aega.
Liigsete õiguste andmine
Üks levinumaid praktilisi riske on anda tehisaruagendile tegelikult vajalikest rohkem õigusi. Kui agendil on täielik juurdepääs rahakotile, ulatuslikud API-ga seotud õigused või võimalus tehinguid ilma inimese kinnituseta heaks kiita, võib üksainus viga või eksploit kaasa tuua suure kahju. Õiguste piiramine ainult lugemise või konkreetsete toimingute tegemisega aitab seda riski vähendada.
Mälu mürgitamine
Parema toimivuse huvides pikema aja jooksul kasutab mõni tehisaruagent kestusmälu, mitte ei lähtesta mälu iga seansi järel. Ründajad võivad aga selle mälu sihikule võtta.
Kui agendi mällu süstitakse ühe seansi ajal kahjurandmeid (nt juhisesüsti kaudu), võib see muuta seda, kuidas agent tulevaste seansside ajal käitub – ka siis, kui algne oht on juba likvideeritud. See teeb mälu mürgitamisest raskesti märgatava, kuid püsiva riski.
Tehisaru ohutu kasutamise head tavad
Järgmised tavad võivad tehisaruagentide krüptoraha valdkonnas kasutamisega kaasnevaid riske märkimisväärselt vähendada.
Mõista, millele agent juurde pääseb
Enne mis tahes tehisaruagendi kasutuselevõttu vaata üle, millised õigused tal on. Kas agent saab lugeda sinu rahakoti saldot? Tehinguid heaks kiita? Sinu API võtmetele juurde pääseda? Mida selgemalt sa mõistad, mida agent teha saab, seda paremini saad piirata tema juurdepääsu ainult vajalikule teabele.
Rakenda minimaalõiguste printsiipi
Anna tehisaruagendile minimaalsed õigused, mis on ettenähtud ülesande täitmiseks vajalikud. Kui agent peab näiteks ainult turuandmeid lugema, ära anna talle tehingute allkirjastamise õigust. See piirab kahju, kui agent satub ründe ohvriks, teeb vea või teda manipuleeritakse.
Ära kunagi jaga oma privaatvõtit ega taastefraasi
Ükski legitiimne tehisarutööriist, agent või teenus ei vaja juurdepääsu sinu privaatvõtmele ega taastefraasile. Nende andmete teadmine annab sinu vahendite üle täieliku kontrolli. Kui tehisarufunktsioon või teenus neid küsib, on see ohumärk. Hoia seda teavet võrguühenduseta kohas ja ära sisesta seda kunagi üheski kolmanda osapoole tööriistas.
Kontrolli väljundit enne selle põhjal tegutsemist
Tehisaru genereeritud soovitusi (sh lepingute aadresse, protokollide nimesid, tokenite üksikasju ja turuandmeid) tuleks enne tegutsemist iseseisvalt kontrollida. Võrdle esitatud teavet ametlikest allikatest, plokiahelauurijatest ja protokolli enda dokumentatsioonist leituga. Ära käsitle tehisaru väljundit omaenda uurimistöö asendusena.
Kasuta tehisaruagendiga suhtlemiseks omaette rahakotti
Kaalu spetsiaalselt tehisaruagentidega seotud toimingute jaoks eraldi rahakoti loomist, mis sisaldab piiratud hulgal vahendeid. Kui agent teeb vea või satub ründe ohvriks, on sinu võimalik kahju piiratud. Suuremat osa oma varadest hoia võrguühenduseta rahakotis, millel ei ole ühendust ühegi automaatse süsteemiga.
Vaata kinnitused regulaarselt üle ja tühista need, mida pole vaja
Kontrolli aeg-ajalt oma rahakottidega seotud nutilepingute kinnitusi ja ühendatud rakendusi. Tehisaruagendid võivad tavapärase töö käigus taotleda kinnitusi, mis jäävad kehtima veel kaua pärast seda, kui neid enam vaja ei ole. Tarbetute kinnituste eemaldamine vähendab võimalust, et aegunud või turbemurde ohvriks langenud ühendust hiljem kurjasti ära kasutatakse. Enamik rahakotte ja plokiahelauurijaid pakub tööriistu, mis võimaldavad aktiivseid kinnitusi üle vaadata ja hallata.
Hoia tehisarutööriistad ajakohased
Tehisarutööriistades ja nende aluseks olevates sõltuvusseostes leitakse regulaarselt turbenõrkusi. Kasuta ainult usaldusväärsetest allikatest pärit hästi hooldatud tööriistu ja jälgi, et need oleksid ajakohased. Ole ettevaatlik kolmandate osapoolte pakutavate lisandmoodulite ja integratsioonide kasutamisel – eriti siis, kui neil on juurdepääs plokiahelasisestele funktsioonidele.
Jälgi agendi tegevust
Kui tehisaruagent teeb aja jooksul sinu nimel toiminguid, vaata tema tegevuslogid regulaarselt üle. Otsi logist ootamatuid tehinguid, tavatut õiguste taotlemist või väljundeid, mis ei ole agendi plaanipärase eesmärgiga kooskõlas. Anomaalse käitumise varajane tuvastamine võib suuremaid kahjusid ennetada.
Kaalu liivakasti- või isoleeritud keskkonna kasutamist
Kui sul on vastavad tehnilised oskused olemas, kaalu võimalust käitada tehisaruagente liivakastis või isoleeritud keskkonnas. See tähendab, et agendil on piiratud juurdepääs sinu laiemale süsteemile, failidele ja võrgule. Isegi kui agenti manipuleeritakse, aitab liivakasti kasutamine võimalikku mõju piirata.
Ole ettevaatlik agentidega, mis kasutavad kestusmälu
Kui sinu tehisaruagent talletab teavet nii, et seda saab kasutada ühest seansist teise, peaksid arvesse võtma, et see mälu võib olla manipuleerimise sihtmärk. Vaata agendi mällu salvestatud teave aeg-ajalt üle ja tühjenda mälu, eriti siis, kui märkad ebatavalist käitumist. Agendid, mis võimaldavad sul nende mälu inspekteerida ja hallata, pakuvad suuremat läbipaistvust ja kontrolli.
Osale oluliste otsuste tegemises aktiivselt
Tehisaruagendid toimivad kõige paremini tööriistadena, mis aitavad inimesel otsuseid teha, mitte ei tee ise otsuseid. Inimene peaks alati kinnitama sellised tegevused, kus on mängus suured panused või mida pole võimalik tagasi pöörata (mahukad tehingud, uute nutilepingu õiguste autoriseerimine või suhtlemine tundmatu protokolliga). See annab võimaluse korraks aja maha võtta ning on üks kõige tõhusamaid kaitsemeetmeid.
KKK
Kas tehisaruagentide kasutamine krüptoraha valdkonnas on turvaline?
Tehisaruagente saab turvaliselt kasutada küll, ent see nõuab hoolikat häälestamist ja pidevat järelevalvet. Kindlasti tuleb tähelepanu pöörata järgmistele punktidele: agendile antud õigused, selle tegevuse aluseks oleva tööriista turvalisus ja see, kuidas sa selle väljundeid kasutad.
Ainult lugemisõigusega agent kujutab endast palju väiksemat riski kui agent, millel on õigus tehinguid autonoomselt allkirjastada. Nagu iga krüptorahaga seotud tööriista korral ikka, oleneb riskitase suuresti sellest, kuidas kasutaja on selle tööriista konfigureerinud ja kui hoolikalt ta selle tegevust jälgib.
Mis on juhisesüstimine ja miks see on oluline?
Juhisesüstimine on ründetehnika, mille korral kahjurjuhised manustatakse andmetesse, mida tehisaruagent loeb või töötleb. Näiteks võib rikutud veebileht või dokument sisaldada peidetud teksti, mis juhendab agenti saatma vahendeid kindlale aadressile.
Kuna tehisaruagendid tegutsevad selle sisu põhjal, mida nad töötlevad, võib see viia soovimatute tegevusteni. Kui kasutad agente, mis sirvivad veebi, loevad kasutaja esitatud sisu või suhtlevad väliste API-dega, on teadlikkus sellest nõrkusest hädavajalik.
Kas tehisaruagente saab kasutada krüptorahaga seotud pettuste korraldamiseks?
Jah. Nii tehisaru genereeritud sisu, süvavõltsingud kui ka vestlusagendid võivad muuta detsentraliseeritud rahandusega seotud pettused ja muud krüptorahakelmused veenvamaks. Petturid saavad tehisaru kasutades kehastada usaldusväärseid inimesi, koostada võltsprojektide dokumentatsiooni või automatiseerida ulatuslikke andmepüügikampaaniaid.
Kriitiline mõtlemine ja kontrollimisharjumus, mida veebisuhtluse jaoks on ikka tarvis, on vajalik ka tehisaru genereeritud sisu või soovituste hindamisel.
Kuidas ma tean, kas tehisarupõhine tööriist on usaldusväärne?
Otsi tööriistu, mis on avatud lähtekoodiga või mida on auditeerinud mainekad kolmandad osapooled. Kontrolli, kas arendajad on avalikult teada ja vastutavad. Vaata üle, milliseid andmeid tööriist kogub ja kuidas neid kasutatakse.
Ole ettevaatlik tööriistadega, mis küsivad ulatuslikke õigusi, mida ei hallata aktiivselt või mille dokumentatsioon ei kirjelda põhjalikult seda, kuidas see töötab. Kui tööriist ei suuda selgelt kirjeldada, mida see teeb ja millised on selle piirangud, tuleks seda enne kasutuselevõttu põhjalikumalt uurida.
Mida tuleks teha, kui arvan, et tehisaruagent tegi tehingu ilma minu loata?
Tegutse kiiresti. Tühista kohe agendi juurdepääs oma rahakotile. Tavaliselt saab seda teha rahakotiga ühendatud rakenduste sätete kaudu või nutilepingu kinnitusi tühistades selleks mõeldud tööriistaga.
Hinda kahju ja dokumenteeri toimunu. Kui tehisarutööriista pakkuval platvormil on tugimeeskond või preemia programmivigadest teatamise eest, teata intsidendist. Ulatuslike kahjude korral uuri oma jurisdiktsioonis kättesaadavaid õigus- või regulatiivseid ressursse.
Lõppmärkused
Tehisaruagendid kujutavad endast märkimisväärset muutust selles, kuidas inimesed krüptorahaturgude ja plokiahelapõhiste süsteemidega suhtlevad. Nende võimekus tegutseda autonoomselt, töödelda suuri andmemahtusid ja täita ülesandeid reaalajas teeb neist kasulikud tööriistad paljude rakenduste jaoks.
Autonoomia ilma järelevalveta on siiski risk igas kontekstis. Krüptoraha maailmas, kus tehingud on üldjuhul pöördumatud ja ohumaastik on keerukas, väärib see risk tõsist tähelepanu. Eesmärk ei ole tehisarupõhiseid tööriistu täielikult vältida, vaid kasutada neid selge arusaamisega sellest, mida need suudavad teha, millele neil on juurdepääs ja kuidas need võivad nurjuda.
Põhiliste turbepõhimõtete rakendamine (minimaalsed õigused, sõltumatu kontroll, inimese järelevalve oluliste tegevuste korral ja sisselogimisteabe hoidmine kindlas kohas) aitab tehisaru muuta kuluka kohustuse asemel kasulikuks varaks.
Lisalugemist
Lahtiütlus. See sisu esitatakse olemasoleval kujul ainult üldiseks teabeks ning harivatel eesmärkidel, ilma igasuguse esinduse või garantiita. Seda ei tohiks tõlgendada finants-, õigus- või muu professionaalse nõustamisena ega konkreetse toote või teenuse ostmise soovitusena. Peaksid küsima nõu asjaomastelt professionaalsetelt nõustajatelt. Kui artikli on koostanud mõni kolmandast osapoolest kaastööline, pea meeles, et väljendatud seisukohad kuuluvad kolmandast osapoolest kaastöölisele ega pruugi kajastada Binance’i Akadeemia seisukohti. Digivarade hinnad võivad kõikuda. Sinu investeeringu väärtus võib langeda või tõusta ning sa ei pruugi investeeritud summat tagasi saada. Sina vastutad ainuisikuliselt oma investeerimisotsuste eest ja Binance’i Akadeemia ei vastuta võimalike kahjude eest. Lisateabe saamiseks loe meie kasutustingimusi, riskihoiatust ja Binance’i Akadeemia tingimusi.