BlockBeatsの報告によると、3月5日、Web3セキュリティ企業のGoPlusは、AI開発ツールのOpenClawが最近「自己攻撃」型のセキュリティインシデントを起こしたと発表しました。自動化タスクの実行中、システムがShellコマンドを呼び出してGitHub Issueを作成する過程で誤ったBash命令を構築し、コマンドインジェクションが偶発的に発生。多くの機密環境変数が公開されてしまいました。
事件では、AIが生成した文字列にバッククオートで囲まれたsetコマンドが含まれており、Bashによってコマンド置換として解釈・自動実行されました。Bashは引数なしでsetを実行すると、現在のすべての環境変数を出力するため、最終的にTelegramのキーや認証トークンなどを含む100行以上の機密情報がGitHub Issueに直接書き込まれ、公開されてしまいました。
GoPlusは、AIによる自動化開発やテストの場面では、シェルコマンドの直接連結を避け、API呼び出しを利用することを推奨しています。また、最小権限の原則に従い環境変数を隔離し、高リスクな実行モードを無効化、重要な操作には人間の監査を導入することを勧めています。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
Kelp DAO ブリッジのエクスプロイトが $293M ミント を引き起こし、Aave は $200M 百万ドル超の不良債権を抱える
攻撃者は Kelp DAO のクロスチェーンブリッジの脆弱性を悪用し、裏付けのない rsETH を $293 百万ドル相当盗みました。 この事件は DeFi プラットフォームに大きな損失をもたらし、Aave では最大 $236 百万ドル相当の不良債権と、市場への重大な影響が生じました。
GateNews2時間前
専門家は、投資家を欺くためにアルトコインの指標が「操作」されていると主張
暗号研究者のOrbionは、アルトシーズン指数やCrypto Fear and Greed Indexを含む主要な市場指標が操作される可能性について懸念を表明しており、指標の水増しが誤った楽観を生み、アルトコイン・シーズンの到来について投資家を誤認させる可能性があると示唆しています。
Coinpedia5時間前
Curve Finance、rsETHハック後にLayerZeroインフラを停止
Curve Financeは、rsETHをめぐるセキュリティインシデントのため、一時的にLayerZeroのインフラを停止しました。プロトコルは問題を調査中であり、一部のクロスチェーン・ブリッジング操作に影響していますが、その他は通常どおり継続しています。
GateNews7時間前
KelpDAOのエクスプロイターがAaveから$195M ETHを借り入れ、クジラの資金引き揚げでTVLが$6.28B下落
Gate Newsのメッセージによると、KelpDAOのエクスプロイターは担保としてRSETHを用い、Aaveから($195M)を超える82,600 ETHを借り入れた。その結果、Aave上に不良債権が発生した。この件の後、多数のクジラがAaveから資金を引き揚げ、その結果TVLは$26.396Bから$20.114Bへと減少し、$6.28Bの下落となった。
GateNews9時間前
Monadの共同創業者、ハッキングリスクを軽減するため担保預入の動的キャップを提案
ケオネ・ホン氏は、プール型レンディング・プロトコルはハック時のリスクを軽減するために、担保資産の増加に対して段階的なレート制限を導入すべきだと提案しています。彼は、rsETHの預託者に見られたような大きな損失が防げた可能性があると主張しています。
GateNews13時間前
香港警察、「AIクオンツ取引」仮想通貨詐欺に警鐘、女性はHK$7.7百万を損失
香港警察は、仮想通貨の詐欺を明らかにした。女性が投資の専門家を名乗る詐欺師にだまされ、Telegramを通じてAI取引による高い利回りを約束され、HK$7.7百万を失った。警察は、仮想通貨投資に伴うリスクについて一般の人々に警告した。
GateNews13時間前
