安全研究员ZachXBT警告埃隆·马斯克：新XChat功能存在"高风险"漏洞

知名链上调查员ZachXBT针对X平台新消息系统XChat早期版本公开示警，称其存在"高风险设计缺陷"。这位安全研究员直接向X所有者埃隆·马斯克发出警报，详细说明该功能当前配置可能被用于钓鱼攻击、恶意软件传播及加密货币诈骗。

XChat于2025年5月下旬推出，旨在通过加密聊天和文件共享升级平台私信功能。虽然该特性宣称增强用户隐私，但ZachXBT发现多个可能为用户创造新型威胁环境的漏洞。

新群聊功能暗藏钓鱼与诈骗风险

根据研究员报告，核心问题在于无需用户同意即可将其拉入群聊。这可能导致恶意行为者批量添加用户至群组，集中发送钓鱼活动或欺诈性加密项目链接。

该手法与Discord和Telegram等平台已泛滥的诈骗策略如出一辙。

无限制文件传输与强制入群引发担忧

ZachXBT另指出XChat文件传输功能缺乏限制，警告称攻击者可未经互动直接向用户发送恶意文件，为诈骗或钱包盗取攻击开辟新途径。据称马斯克已直接回复研究员私信，但尚未确认具体修复方案。

目前X平台尚未报告与XChat直接相关的安全事件。但研究人员指出，当前架构与社交媒体私信中流传的传统诈骗手段高度相似，包括虚假代币销售链接、欺诈性场外交易和恶意智能合约等套路。

ZachXBT特别强调，XChat可能成为垃圾机器人和隐蔽推广的新温床。与公开帖文不同，私密群聊可绕过平台可见的内容审核，暗中传播链接或代币信息。