BlockBeats melaporkan bahwa pada tanggal 5 Maret, perusahaan keamanan Web3 GoPlus menyatakan bahwa alat pengembangan AI OpenClaw baru-baru ini mengalami insiden keamanan “serangan diri sendiri”. Saat menjalankan tugas otomatisasi, sistem secara tidak sengaja membangun perintah Bash yang salah saat memanggil perintah Shell untuk membuat Issue di GitHub, yang secara tak terduga memicu injeksi perintah, sehingga banyak variabel lingkungan sensitif menjadi terbuka.
Dalam kejadian tersebut, string yang dihasilkan AI mengandung perintah set yang dibungkus tanda backtick, yang diinterpretasikan oleh Bash sebagai penggantian perintah dan dieksekusi secara otomatis. Karena Bash akan menampilkan semua variabel lingkungan saat menjalankan perintah set tanpa parameter, akhirnya lebih dari 100 baris informasi sensitif (termasuk kunci Telegram, token otentikasi, dan lain-lain) langsung ditulis ke Issue GitHub dan dipublikasikan secara terbuka.
GoPlus menyarankan bahwa dalam skenario pengembangan atau pengujian otomatisasi AI, sebaiknya menggunakan panggilan API sebanyak mungkin sebagai pengganti penggabungan langsung perintah Shell, mengikuti prinsip hak akses minimum untuk mengisolasi variabel lingkungan, serta menonaktifkan mode eksekusi berisiko tinggi dan memperkenalkan mekanisme peninjauan manual dalam operasi penting.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Eksploit Jembatan Kelp DAO Berujung pada $293M Mint, Meninggalkan Aave Dengan Lebih dari $200M dalam Utang Buruk
Seorang penyerang mengeksploitasi kerentanan pada jembatan lintas-chain Kelp DAO, mencuri $293 juta rsETH tanpa jaminan. Insiden ini menyebabkan kerugian signifikan bagi platform DeFi, dengan Aave menghadapi utang buruk hingga $236 juta dan dampak besar terhadap pasar.
GateNews1jam yang lalu
Ahli Mengklaim Metrik Altcoin Sedang “Dimanipulasi” untuk Menyesatkan Investor
Peneliti kripto Orbion mengangkat kekhawatiran terkait kemungkinan manipulasi indikator pasar utama, termasuk Indeks Altseason dan Indeks Crypto Fear and Greed, dengan menyarankan bahwa metrik yang dibesar-besarkan menciptakan optimisme semu dan menyesatkan investor mengenai dimulainya musim altcoin.
Coinpedia5jam yang lalu
Curve Finance Menghentikan Infrastruktur LayerZero setelah Peretasan rsETH
Curve Finance untuk sementara menghentikan infrastruktur LayerZero-nya karena insiden keamanan yang melibatkan rsETH. Protokol sedang menyelidiki masalah tersebut, sehingga berdampak pada beberapa operasi penyeberangan lintas rantai (cross-chain bridging) sementara yang lain berjalan seperti biasa.
GateNews6jam yang lalu
Pelaku Eksploitasi KelpDAO Meminjam $195M ETH dari Aave, TVL Turun $6.28B Saat Whale Menarik Dana
Pesan Berita Gate: pelaku eksploitasi KelpDAO meminjam lebih dari 82.600 ETH ($195M) dari Aave dengan menggunakan RSETH sebagai jaminan, sehingga muncul utang buruk di Aave. Setelah kejadian ini, banyak sekali whale menarik dana dari Aave, menyebabkan TVL-nya turun dari $26.396B menjadi $20.114B, turun sebesar $6.28B.
GateNews9jam yang lalu
Pendiri Monad Menyarankan Dynamic Caps pada Setoran Jaminan untuk Mengurangi Risiko Peretasan
Keone Hon menyarankan bahwa protokol pinjaman terpooling harus menerapkan batas laju bertahap pada peningkatan aset jaminan untuk mengurangi risiko selama terjadi peretasan. Ia berpendapat hal ini bisa telah mencegah kerugian besar, sebagaimana terlihat pada pendeposit rsETH.
GateNews12jam yang lalu
Polisi Hong Kong Peringatkan Penipuan Kripto "AI Quantitative Trading", Perempuan Kehilangan HK$7,7 Juta
Polisi Hong Kong mengungkap penipuan kripto di mana seorang perempuan kehilangan HK$7,7 juta akibat penipu yang menyamar sebagai ahli investasi melalui Telegram, menjanjikan imbal hasil tinggi melalui perdagangan AI. Polisi memperingatkan masyarakat tentang risiko yang terkait dengan investasi mata uang kripto.
GateNews13jam yang lalu
