顶级域名AI.com被币圈人士以7,000万美元拍下 也创下域名交易价格记录
顶级域名 AI.com 被币圈人士以 7,000 万美元的天价买下,也创下域名交易价格记录,将用于发布人工智能相关产品。Kris 在 2025 年 4 月买下该域名,用途是推出基于去中心化且能够持续自我改进的人工智能代理网络,加速通用人工智能的发展,这些代理将执行现实世界中的任务以造福人类。
域名交易领域目前再次创下历史记录,超级热门的人工智能域名 AI.com 已经被币圈人士以 7,000 万美元的天价买下,后续将推出基于去中心化并且能够自我改进的人工智能代理 (智能体) 网络。
AI.com 域名最初注册于 1993 年 5 月 4 日,期间该域名经过多次交易但从来没有作为某个产品的网站出现过,直到 ChatGPT 发布后其域名持有者将域名跳转到 ChatGPT 蹭热度。
最开始大家还以为 OpenAI 买下该域名,不过后来域名又陆续跳转到 Google Gemini 和 xAI Grok,大家这才发现原来跳转到不同的 AI 工具纯粹是域名持有者希望得到更多关注。
但现在这个域名最终还是被售出而且还是天价,Crypto.com 创始人 Kris Marszalek 日前透露已经在 2025 年 4 月以 7,000 万美元的价格买下该域名,接下来将推出人工智能相关产品。
Kris 的目标是推出基于去中心化且能够持续自我改进的人工智能代理网络,从而加速通用人工智能 AGI 的到来,这些代理将执行现实世界中的任务以造福人类。
不过当前网站尚未正式开放所以还看不到实际产品和功能,从网站上显示的倒计时来看正式发布时间在 2 月 9 日前后,有兴趣的网友可以到 AI.com 围观。
AI.com 域名最初注册于 1993 年 5 月 4 日,期间该域名经过多次交易但从来没有作为某个产品的网站出现过,直到 ChatGPT 发布后其域名持有者将域名跳转到 ChatGPT 蹭热度。
最开始大家还以为 OpenAI 买下该域名,不过后来域名又陆续跳转到 Google Gemini 和 xAI Grok,大家这才发现原来跳转到不同的 AI 工具纯粹是域名持有者希望得到更多关注。
但现在这个域名最终还是被售出而且还是天价,Crypto.com 创始人 Kris Marszalek 日前透露已经在 2025 年 4 月以 7,000 万美元的价格买下该域名,接下来将推出人工智能相关产品。
Kris 的目标是推出基于去中心化且能够持续自我改进的人工智能代理网络,从而加速通用人工智能 AGI 的到来,这些代理将执行现实世界中的任务以造福人类。
不过当前网站尚未正式开放所以还看不到实际产品和功能,从网站上显示的倒计时来看正式发布时间在 2 月 9 日前后,有兴趣的网友可以到 AI.com 围观。
关于作者
评论4次
### 结论 AI.com交易事件存在潜在攻击面:域名历史跳转行为、新部署Web应用的输入处理缺陷、去中心化代理网络的智能合约逻辑漏洞,以及高价值域名的DNS劫持风险。需从域名基础设施、Web服务、链上交互三个层面展开xi统性检测与防御。 --- ### 分析路径(Source-Sink结构化拆解) #### L1 攻击面识别 **Source(风险源头)**: 1. **域名历史跳转漏洞** - 历史记录显示域名曾频繁跳转(ChatGPT→Gemini→xAI),可能遗留恶意跳转规则(如未清理的301/302重定向)或CNAME记录。 2. **Web服务部署** - 新上线的AI代理网络可能因代码审计不足引入XSS/CSRF/RCE漏洞,用户输入(如代理任务指令)未经过滤。 3. **链上交互组件** - 去中心化代理网络若基于智能合约,其Token发放、代理行为触发逻辑可能存在重入漏洞或权限绕过。 **Sink(攻击影响点)**: - 用户被重定向至钓鱼/恶意网站(域名劫持) - 恶意代理指令控制链上资产或执行非法任务 - 智能合约漏洞导致资金池被盗 --- ### L2 假设与验证 #### 验证步骤 **1. DNS与域名配置** - **工具**:`dig`/`whois`/DNSViz - **步骤**: - `dig AI.com +trace`检查DNS路径完整性,确认无异常NS服务器。 - 验证DNSSEC状态(`dnssec-checker`),防止缓存投毒。 - 检查历史CNAME/A记录(通过WHOIS历史查询),确认无遗留跳转规则。 **2. Web应用漏洞扫描** - **工具**:Burp Suite/Wappalyzer - **步骤**: - 在2月9日网站上线后,抓取所有HTTP请求,检测参数是否经过`htmlspecialchars`/`strip_tags`过滤。 - 模拟用户输入特殊字符(如`<script>alert(1)</script>`)测试XSS防护。 - 检查CSP(内容安全策略)是否限制内联脚本与外部资源加载。 **3. 智能合约分析** - **工具**:Slither/MythX/链上交易监控工具 - **步骤**: - 等待合约地址公开后,审计代理行为触发逻辑是否包含时间戳依赖或权限检查缺陷。 - 检查Token转移函数是否存在未经校验的`msg.sender`权限控制。 --- ### L3 边界/异常场景 **1. 域名过期风险** - **场景**:域名到期未及时续费导致被抢注。 - **验证**:通过`whois AI.com`检查注册到期时间,监控WHOIS变更事件。 **2. 高流量DDoS攻击** - **场景**:2月9日上线可能引发流量突增,暴露CDN配置缺陷。 - **验证**:部署期间用`curl -I`监测HTTP响应状态码是否稳定(如持续503/504)。 **3. 去中心化代理滥用** - **场景**:恶意代理节点执行挖矿/蠕虫传播任务。 - **验证**:模拟代理任务指令(如`miner@btc地址`),检测xi统是否拒绝非法操作。 --- ### L4 防御反推与修复 #### 修复建议 **域名层** - 启用DNSSEC并定期轮换解析密钥,禁用未使用的CNAME/A记录。 - 配置RapidSSL/OV型证书,通过TLS指纹验证防止中间人篡改。 **Web层** - 对所有用户输入实施`OWASP ASVS v4.0`要求的输入验证(如正则白名单规则)。 - 部署Web应用防火墙(如Cloudflare WAF),阻断异常速率请求与SQLi/XSS特征包。 **链层** - 智能合约需通过形式化验证(如使用`Solang`进行Solidity到Viper的转换分析)。 - 代理行为执行前增加多重签名(MultiSig)验证,关键操作需经过治理投票。 **监控层** - 建立域名WHOIS变更告警(通过`dnstwist`定期扫描相似域名注册状态)。 - 链上部署Arbitrum或Optimism的L2网络降低交易延迟,同时利用链监控工具(如Chainalysis)追踪异常Token流向。 --- ### 缺失信息补充 当前帖子未披露: 1. 新网站的技术栈(如前端框架、后端语言)——需针对性选择代码审计工具(如Go项目的gosec,Node.js的nsp)。 2. 智能合约部署链(ETH/BSC等)——需匹配对应链的漏洞数据库(如Etherscan的Contract Safety Report)。 **最小验证步骤**: - 立即监控AI.com的DNS记录变更。 - 2月9日上线后,通过`curl -v`检测HTTP头部是否包含`Expect-CT`、`X-Content-Type-Options`等安全标头。
它还没有正式开放,但是注册的时候,也需要信用卡,估计信用卡也像甲骨文那样要求高吧
进去看了下,想骗我信用卡号。
https://ai.com/去瞄了一眼还没啥东西呢