刚看到一个挺让人不安的安全报告，想和大家聊聊这个话题。

Baru saja melihat sebuah laporan keamanan yang cukup mengkhawatirkan, ingin berbicara tentang topik ini dengan semua orang.

最近安全研究人员发现了超过300个恶意AI插件在偷用户的数据，特别是针对加密用户。这不是小问题——这意味着你电脑上那些看起来无害的AI助手，其实可能已经成了黑客进入你账户的后门。

Baru-baru ini peneliti keamanan menemukan lebih dari 300 plugin AI berbahaya yang mencuri data pengguna, terutama pengguna kripto. Ini bukan masalah kecil—ini berarti AI asisten yang tampaknya tidak berbahaya di komputer kamu sebenarnya bisa menjadi pintu belakang bagi peretas untuk masuk ke akunmu.

很多人现在都在用本地AI助手，让它们帮忙整理文件、分析交易、处理邮件，甚至直接连接钱包和交易工具。听起来很方便对吧？问题是，一旦这些AI工具被植入恶意代码，它们就获得了系统级权限——能读你的私钥、能访问浏览器存储的密码、能拿到邮箱验证码，甚至能自动登录你的交易账户。

Banyak orang sekarang menggunakan AI asisten lokal, membiarkannya membantu mengatur file, menganalisis transaksi, mengelola email, bahkan langsung terhubung ke dompet dan alat perdagangan. Kedengarannya sangat praktis, kan? Masalahnya, begitu alat AI ini disusupi kode berbahaya, mereka mendapatkan izin tingkat sistem—bisa membaca kunci pribadi kamu, mengakses kata sandi yang disimpan di browser, mendapatkan kode verifikasi email, bahkan otomatis masuk ke akun perdaganganmu.

最恐怖的是什么？整个过程你完全察觉不到。没有弹窗、没有警告、没有任何异常提示。黑客在后台悄悄收集数据，悄悄发送给自己，然后等待合适的时机。你还在睡觉的时候，攻击者已经掌控了你的账户。

Yang paling menakutkan? Kamu sama sekali tidak menyadari proses ini. Tidak ada jendela pop-up, tidak ada peringatan, tidak ada tanda-tanda aneh. Peretas diam-diam mengumpulkan data di latar belakang, mengirimkannya ke diri mereka sendiri, lalu menunggu waktu yang tepat. Saat kamu tidur, mereka sudah mengendalikan akunmu.

这些恶意插件到底能干什么？研究人员发现它们可以：窃取浏览器密码、盗取加密钱包数据、获取SSH密钥、API密钥，甚至还有键盘记录、远程控制和后门访问功能。想象一下，黑客不仅能读你的私钥，还能直接登录你的交易所账户，修改安全设置，然后把你的资产转走。整个过程都不需要你的授权。

Apa saja yang bisa dilakukan plugin berbahaya ini? Peneliti menemukan mereka dapat: mencuri kata sandi browser, mencuri data dompet kripto, mendapatkan kunci SSH, kunci API, bahkan merekam ketikan, mengendalikan dari jarak jauh, dan mengakses melalui backdoor. Bayangkan, peretas tidak hanya bisa membaca kunci pribadi kamu, tetapi juga langsung masuk ke akun exchange-mu, mengubah pengaturan keamanan, lalu mentransfer asetmu. Semua ini tanpa perlu izin dari kamu.

为什么AI助手成了新的攻击目标？原因很简单——权限太高了。传统恶意软件只能偷一些零散数据，但AI代理可以访问文件系统、浏览器、邮箱、钱包、聊天记录、API权限，基本上就是拿到了你电脑的管理员权限。一旦被攻击，就等于黑客全面控制了你的电脑。

Mengapa AI asisten menjadi target serangan baru? Alasannya sangat sederhana—izin mereka terlalu tinggi. Malware tradisional hanya bisa mencuri data kecil-kecilan, tetapi agen AI bisa mengakses sistem file, browser, email, dompet, riwayat chat, izin API, secara dasar mereka mendapatkan hak administrator di komputer kamu. Jika diserang, sama saja hacker mengendalikan seluruh komputer kamu.

对于加密用户来说，这个风险特别大：如果你的助手被植入恶意代码，黑客可能会拿到你的助记词——那就是你钱包的完全控制权，他们可以恢复钱包然后转走所有资产。或者他们可以登录你的交易所账户，修改密码、绕过验证、提现资产。你的API密钥、邮箱、所有东西都可能被拿走。

Bagi pengguna kripto, risiko ini sangat besar: jika asistenmu disusupi kode berbahaya, peretas bisa mendapatkan frase pemulihanmu—yang berarti mereka memiliki kendali penuh atas dompetmu, bisa memulihkan dompet dan mentransfer semua aset. Atau mereka bisa masuk ke akun exchange-mu, mengubah kata sandi, melewati verifikasi, dan menarik aset. API kunci, email, semua bisa diambil.

那怎么保护自己呢？我觉得这几点特别重要：

Lalu, bagaimana melindungi diri? Saya rasa poin-poin ini sangat penting:

首先，千万别把助记词或私钥存在AI工具里。不要在AI聊天里输入敏感信息，不要用纯文本保存在电脑上，最好用硬件钱包或完全离线的方式存储。

Pertama, jangan pernah simpan frase pemulihan atau kunci pribadi di dalam alat AI. Jangan masukkan informasi sensitif ke dalam chat AI, jangan simpan dalam teks biasa di komputer, lebih baik gunakan dompet perangkat keras atau simpan secara offline sepenuhnya.

其次，不要让AI工具访问你的钱包文件。把钱包文件放在安全的地方，不要给AI读取权限。

Kedua, jangan biarkan alat AI mengakses file dompetmu. Tempatkan file dompet di lokasi yang aman, dan jangan berikan izin baca kepada AI.

第三，用分离的设备。如果可能的话，不要在交易设备上装实验性的AI工具。把AI使用和交易操作分开。

Ketiga, gunakan perangkat terpisah. Jika memungkinkan, jangan instal alat AI eksperimental di perangkat trading. Pisahkan penggunaan AI dan operasi trading.

第四，对陌生的AI插件要警惕。特别是来自非官方渠道、未验证的GitHub项目或需要运行shell脚本的工具——黑客经常用假插件、假工具和假更新来植入恶意代码。

Keempat, waspadai plugin AI yang tidak dikenal. Terutama dari saluran tidak resmi, proyek GitHub yang tidak diverifikasi, atau alat yang membutuhkan menjalankan skrip shell—peretas sering menggunakan plugin palsu, alat palsu, dan pembaruan palsu untuk menyusupkan kode berbahaya.

第五，启用所有的安全功能。登录密码、交易密码、双因素认证、生物识别——在某大型交易所这类平台上把这些都打开，能有效降低风险。

Kelima, aktifkan semua fitur keamanan. Kata sandi login, kata sandi transaksi, otentikasi dua faktor, biometrik—aktifkan semua ini di platform exchange besar untuk mengurangi risiko secara efektif.

第六，API密钥不要暴露给AI工具。如果一定要用，就限制权限，特别是禁用提现权限。

Keenam, jangan pernah expose kunci API ke alat AI. Jika harus digunakan, batasi izin mereka, terutama nonaktifkan izin penarikan.

最后，定期检查你的设备。看看装了什么软件、浏览器插件、登录活动有没有异常。

Terakhir, periksa perangkatmu secara rutin. Lihat apa saja perangkat lunak yang terpasang, plugin browser, aktivitas login yang mencurigakan.

记住一点：任何拥有系统级权限的软件都可能成为黑客的入口。在加密世界里，一旦你的助记词或账户凭证被泄露，资产可能就永久丢失了。所以在享受AI便利的同时，安全防护一定要跟上。

Ingat satu hal: perangkat lunak yang memiliki izin tingkat sistem bisa menjadi pintu masuk bagi peretas. Di dunia kripto, jika frase pemulihan atau kredensial akunmu bocor, asetmu bisa hilang selamanya. Jadi, sambil menikmati kemudahan AI, perlindungan keamanan harus tetap diutamakan.