没有证据表明是刻意投毒给 GPT，还是 GPT 主动采集。

撰文：shushu

近日，一位用户在尝试为 pump.fun 开发一个自动顶贴机器人时，向 ChatGPT 寻求代码帮助，结果却意外遭遇了网络诈骗。这位用户按照 ChatGPT 提供的代码指引，访问了一个被推荐的 Solana API 网站。然而，这个网站实际上是一个诈骗平台，导致用户损失了约 2500 美元。

根据用户描述，该代码的一部分要求通过 API 提交私钥。由于操作繁忙，用户未加审查便使用了自己的主 Solana 钱包。事后回想，他意识到自己犯下了一个严重的错误，但在当时，对 OpenAI 的信任让他忽视了潜在的风险。

在使用该 API 后，诈骗者迅速展开行动，仅用 30 分钟就将用户钱包中的全部资产转移到了地址 FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX。起初，用户并未完全确认该网站存在问题，但在仔细检查该域名的首页后，发现了明显的可疑迹象。

目前，这位用户呼吁社区帮助屏蔽这个 @solana 网站，并将相关信息从 @OpenAI 平台中移除，以防更多人受害。他也希望能通过调查对方留下的线索，将诈骗者绳之以法。

Scam Sniffer 调查发现了恶意代码仓库，其目的是通过 AI 生成的代码窃取私钥。

• solanaapisdev/moonshot-trading-bot

• solanaapisdev/pumpfun-api

Github 用户「solanaapisdev」在过去 4 个月内创建了多个代码仓库，试图引导 AI 生成恶意代码。

这位用户私钥被盗的原因是其私钥在 HTTP 请求 body 里被直接发送给钓鱼网站。

慢雾创始人余弦发言表示「这些都是非常不安全的实践，各种投「毒」。不仅上传私钥，还帮用户在线生成私钥，给用户用。文档也是写得装模做样的。」

他还表示这些恶意代码网站联系方式很单一，官网没有内容，主要就是文档 + 代码仓库。「域名 9 月底注册的，不得不让人觉得是有预谋的投毒，但没有证据表明是刻意投毒给 GPT，还是 GPT 主动采集。」

Scam Sniffer 针对使用 AI 辅助代码创建的安全建议，包括：

• 切勿盲目使用 AI 生成的代码

• 始终仔细审查代码

• 将私钥保存在离线环境中

• 仅使用可信来源