BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 發文稱,AI 開發工具 OpenClaw 近日被曝出一次「自我攻擊」安全事件。在執行自動化任務時,系統在調用 Shell 命令創建 GitHub Issue 過程中構造了錯誤的 Bash 指令,意外觸發命令注入,導致大量敏感環境變數被公開。
事件中,AI 生成的字串包含反引號包裹的 set,被 Bash 解釋為命令替換並自動執行。由於 Bash 在無參數執行 set 時會輸出當前所有環境變數,最終導致超過 100 行敏感資訊(包括 Telegram 密鑰、認證 Token 等)被直接寫入 GitHub Issue 並公開發布。
GoPlus 建議,在 AI 自動化開發或測試場景中,應盡量使用 API 調用取代直接拼接 Shell 命令,並遵循最小權限原則隔離環境變數,同時禁用高風險執行模式,並在關鍵操作中引入人工審核機制。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
某 CEX 遭勒索未妥協:影響約 2000 個帳戶,客戶資金安全未受威脅
某加密交易所遭到犯罪組織勒索,聲稱將公開內部系統存取影片。交易所確認未遭系統性入侵,客戶資金安全,因客服人員不當行為導致約2000個帳戶資料被存取,已終止相關權限並強化安全控管。公司正與執法機構合作調查。
GateNews1小時前
Solana 聯創 toly:應建構僅在法院授權下才能凍結的基礎層穩定幣
Solana 聯合創始人 toly 指出,產業需要一種僅在法院命令下才能凍結的穩定幣,反對其他凍結因素。他建議協議在基礎層上發行帶有自訂凍結策略的穩定幣,並強化安全措施。這一觀點源於近期 Circle 對 Drift 協議駭客事件的反應,引發了關於中心化穩定幣的討論。
GateNews1小時前
攻擊者鑄造 1B DOT,並以 $237K ETH 進行拋售
涉及在以太坊上的 Polkadot ERC-20 版本發生的安全事件引發了疑慮,並強調了包裝資產與跨鏈資產的風險。一名攻擊者利用漏洞鑄造並傾倒 1 billion DOT 代幣,導致市場崩潰,並凸顯了智慧合約管理方面的弱點。
Coinfomania4小時前
音樂明星 G. Love 在震驚的 App Store 詐騙中損失 5.9 比特幣
_音樂家 G. Love 在假冒 Ledger 應用程式詐騙中損失 5.9 BTC,對加密資安與全球用戶意識提出嚴重疑慮。_
一場重大的加密詐騙已影響 Garrett Dutton,他廣為人知的藝名是 G. Love。這位美國歌手損失了價值將近 420,000 美元的 5.9 比特幣。損失發生在他遭遇詐騙時。
Live BTC News4小時前
Aave 深陷信任危機:服務商集體出走,「技術、治理與風控」全面失守
作者:Jae,PANews
比起熊市的外部壓力,Aave 內部反而先出現了一隻「黑天鵝」。
長期盤踞借貸協議王座的 Aave,正遭遇自成立以來最慘烈的生態震盪。沒有駭客攻擊,沒有程式碼漏洞,有的只是權力失控和利益反目。
從技術支柱 BGD Labs 的毅然離去,到治理先鋒 ACI(Aave Chan Initiative)的公開決裂,再到風控管家 Chaos Labs 的官宣斷交,一場服務商「大撤退」正在上演。
這場博弈的深度遠超的合作糾紛,它觸發了
区块客5小時前
Polkadot 進行橋接漏洞攻擊,攻擊者在以太坊鑄造 1B $DOT
Polkadot遭遇重大資安漏洞攻擊,攻擊者透過第三方橋接在以太坊上鑄造了1B $DOT 枚幣,耗盡超過240,000美元的$ETH。此事件凸顯跨鏈基礎設施仍存在的持續性弱點,以及其對市場穩定性的影響。
Block Chain Reporter6小時前
