BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 發文稱,AI 開發工具 OpenClaw 近日被曝出一次「自我攻擊」安全事件。在執行自動化任務時,系統在調用 Shell 命令創建 GitHub Issue 過程中構造了錯誤的 Bash 指令,意外觸發命令注入,導致大量敏感環境變數被公開。
事件中,AI 生成的字串包含反引號包裹的 set,被 Bash 解釋為命令替換並自動執行。由於 Bash 在無參數執行 set 時會輸出當前所有環境變數,最終導致超過 100 行敏感資訊(包括 Telegram 密鑰、認證 Token 等)被直接寫入 GitHub Issue 並公開發布。
GoPlus 建議,在 AI 自動化開發或測試場景中,應盡量使用 API 調用取代直接拼接 Shell 命令,並遵循最小權限原則隔離環境變數,同時禁用高風險執行模式,並在關鍵操作中引入人工審核機制。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Aave 在 3.5 天內因 KelpDAO 惡意利用出現 151 億美元存款流出,Stani Kulechov 概述復原行動
Gate 新聞訊息,4 月 23 日 — Aave 創辦人 Stani Kulechov 於 4 月 22 日,在 KelpDAO 事件之後,概述了協調一致的復原行動,並表示該平台的首要任務仍是保護用戶並達成有序的市場狀況。他指出,團隊一直與多個合作夥伴持續合作潛在解決方案,而 Arbitrum 安全委員會已回收約 百萬 美元的 ETH,這可能會大幅降低整體暴露。
GateNews17分鐘前
Peter Schiff 稱 Strategy STRC 為龐氏騙局,批評 SEC 監管不力
比特幣批評者、黃金支持者 Peter Schiff 於 4 月 23 日在 X 平台發文,稱微策略(Strategy)推出的 STRC 永久優先股為「迄今為止最明顯的龐氏騙局」,並批評美國證券交易委員會(SEC)未能有效阻止 Michael Saylor 對 STRC 的推廣。
Market Whisper1小時前
中國投資擔保發布聲明,否認在假金融產品中未經授權使用其名稱
Gate News 訊息,4 月 23 日 — 中國投資擔保 (CITIC Guarantee) 於 4 月 23 日發布聲明,澄清有不具授權的人士虛假宣稱該公司正在與日興生命印度資產管理 (新加坡) Pte. Ltd.(通常稱為 NAMS)合作,並且正在承保相關金融投資產品,
GateNews1小時前
Vercel 執行長:完成安全調查後通報更大規模的惡意程式散布,API 金鑰成主要目標
Gate News 訊息,4 月 23 日——Vercel 執行長 Guillermo Rauch 宣布,該公司已完成一項深入的安全調查,涵蓋近 1 petabyte 的完整 Vercel 網路與 API 記錄,範圍遠超最初 Context.ai 帳戶遭入侵事件。
調查結果顯示
GateNews3小時前
加密駭客推動華爾街代幣化辯論
高知名度的加密貨幣漏洞測試了 DeFi 的風險,儘管不太可能打亂代幣化的進程;機構偏好許可式鏈,而更廣泛的代幣化必須與 DeFi 互通;穩定幣面臨審查,並可能引發監管反彈。
Crypto Frontier12小時前
Volo Protocol 在 Sui 駭客攻擊中損失 350 萬美元,承諾吸收損失並凍結駭客資金
Gate 新聞訊息,4 月 22 日——Volo Protocol 是 Sui 上的收益金庫營運商,昨日 (4 月 21 日) 宣布,在一宗價值 350 萬美元的漏洞事件之後,它已開始凍結被盜資產。駭客從 Volo Vaults 機槓走了 WBTC、XAUm 和 USDG,這標誌著近期最重大的一次 DeFi 資安事故,發生在該產業一個歷來特別嚴峻的月份之中。
GateNews16小時前
