BlockBeats Nachrichten, am 5. März gab das Web3-Sicherheitsunternehmen GoPlus bekannt, dass das KI-Entwicklungstool OpenClaw kürzlich einen Sicherheitsvorfall mit „Selbstangriff“ erlitten hat. Während automatisierter Aufgaben wurde bei der Erstellung eines GitHub-Issues durch den Systemaufruf eines Shell-Befehls ein fehlerhafter Bash-Befehl konstruiert, der versehentlich eine Befehinsinjektion auslöste und dazu führte, dass viele sensible Umgebungsvariablen offengelegt wurden.
Im Vorfall enthielt die von der KI generierte Zeichenkette eine mit Backticks umschlossene set-Anweisung, die von Bash als Befehlssubstitution interpretiert und automatisch ausgeführt wurde. Da Bash beim Ausführen von set ohne Parameter alle aktuellen Umgebungsvariablen ausgibt, wurden schließlich mehr als 100 Zeilen sensibler Informationen (einschließlich Telegram-Schlüssel, Authentifizierungstoken usw.) direkt in das GitHub-Issue geschrieben und öffentlich gemacht.
GoPlus empfiehlt, in Szenarien der KI-automatisierten Entwicklung oder Tests möglichst API-Aufrufe anstelle direkter Verkettung von Shell-Befehlen zu verwenden, das Prinzip der minimalen Rechte bei der Isolierung von Umgebungsvariablen zu befolgen, Hochrisikobefehle zu deaktivieren und bei kritischen Vorgängen manuelle Überprüfungen einzuführen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Houstoner Krypto-Betrüger zu 23 Jahren Haft wegen $20M Meta-1-Coin-Scam verurteilt
Robert Dunlap, ein Houston-Unternehmer, wurde zu 23 Jahren Gefängnis verurteilt wegen eines $20 Millionen schweren Kryptowährungsbetrugs, bei dem es um erfundene Vermögenswerte und täuschende Vorgehensweisen ging, wodurch mehr als 1.000 Opfer betroffen waren. Sein Fall spiegelt den breiteren Anstieg von kryptobezogenen Cyberkriminalität wider.
GateNews2Std her
SlowMist warnt vor aktivem Phishing-Angriff mit gefälschter „Harmony Voice“-Software
Das Sicherheitsteam von SlowMist hat vor einer Social-Engineering-Kampagne gewarnt, die Kryptowährungsnutzer ins Visier nimmt. Betrüger geben sich als Projektpartner aus, um Nutzer dazu zu verleiten, eine bösartige Anwendung herunterzuladen, die als Übersetzungstool getarnt ist. Nutzer werden angewiesen, die Echtheit der Software zu überprüfen.
GateNews2Std her
Zonda-Börsenchef macht den vermissten Gründer für $336M in verlorenen Bitcoins verantwortlich
Der CEO von Zonda, Przemysław Kral, macht den Verlust des Zugriffs auf 4.500 BTC im Wert von $336 Millionen darauf zurück, dass der vermisste Gründer Sylwester Suszek die privaten Schlüssel nicht übertragen hat. Angesichts von Behauptungen über Insolvenz und verstärkten Auszahlungsanfragen besteht Kral darauf, dass Zonda zahlungsfähig bleibt, und will rechtliche Schritte einleiten, während er nach Suszek sucht, der 2022 verschwunden ist.
GateNews3Std her
Grinex Exchange stoppt den gesamten Handel nach $15M Cyberangriff auf Wallet-Systeme
Grinex, eine kirgisische Krypto-Börse, hat den Handel nach einem Cyberangriff ausgesetzt, der zu Verlusten von etwa $15 Millionen führte. Die fortgeschrittene Natur des Angriffs deutet auf eine organisierte Beteiligung oder eine Beteiligung auf Staatsebene hin. Grinex hat den Vorfall den Behörden gemeldet und bewertet derzeit den Schaden.
GateNews3Std her
Tether friert 3,29 Mio. USDT ein, die mit dem Rhea-Finance-Exploit verknüpft sind
Tether hat 3,29 Millionen USDT eingefroren, die mit dem Rhea-Finance-Exploit verknüpft sind, und stellt so den Schutz der Nutzer sowie das Vertrauen in das Ökosystem sicher. Durch Blockchain-Tracking wurde diese Maßnahme gegen verdächtige Wallets durchgeführt, nachdem die Angreifer Gelder verschoben hatten, um einer Erkennung zu entgehen.
GateNews4Std her
Circle-Aktie fällt nach $280M Drift-Protocol-Hack: Klage eingereicht
Die Aktie von Circle Internet Group fiel um 1%, nachdem eine Sammelklage behauptet hatte, das Unternehmen habe es versäumt, $230 Millionen an gestohlenem USDC während des Drift-Protocol-Exploits zu verhindern. Die Klage stellt Circle’ Fähigkeit infrage, die Transaktionen der Angreifer zu stoppen, und wirft Fragen zur Verantwortlichkeit von Stablecoin-Emittenten in Verstoßszenarien auf.
GateNews4Std her
