BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 發文稱,AI 開發工具 OpenClaw 近日被曝出一次「自我攻擊」安全事件。在執行自動化任務時,系統在調用 Shell 命令創建 GitHub Issue 過程中構造了錯誤的 Bash 指令,意外觸發命令注入,導致大量敏感環境變數被公開。
事件中,AI 生成的字串包含反引號包裹的 set,被 Bash 解釋為命令替換並自動執行。由於 Bash 在無參數執行 set 時會輸出當前所有環境變數,最終導致超過 100 行敏感資訊(包括 Telegram 密鑰、認證 Token 等)被直接寫入 GitHub Issue 並公開發布。
GoPlus 建議,在 AI 自動化開發或測試場景中,應盡量使用 API 調用取代直接拼接 Shell 命令,並遵循最小權限原則隔離環境變數,同時禁用高風險執行模式,並在關鍵操作中引入人工審核機制。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
摩根大通:DeFi 安全漏洞利用與停滯的 TVL 限制機構採用
Gate News 訊息,4 月 23 日 — 摩根大通分析師由董事總經理 Nikolaos Panigirtzoglou 領導,表示持續的去中心化金融 (DeFi) 漏洞利用與增長乏力,仍然限制機構對該領域的興趣。根據週三的報告,近期 Kelp DAO 駭客事件已在短短幾天內,從 DeFi 的總鎖倉價值 $20 TVL 中抹去約 billion。
GateNews4小時前
美國財政部以加密詐騙網絡為由制裁柬埔寨參議員
## 概述
根據美國財政部海外資產控制辦公室 (OFAC) 的說法,周四,美國財政部制裁了柬埔寨參議員柯安(Kok An)以及與其相關的 28 個實體。此次行動鎖定的是官員所描述的、發生在東南亞的龐大加密詐騙作業。
## 這
Crypto Frontier4小時前
KelpDAO 事件後:Aave 在五個網路凍結 rsETH 儲備
Gate 新聞訊息,4 月 23 日 — 隨著在 4 月 18 日 KelpDAO 事件(竊取 116,500 rsETH、約 $292 百萬美元)之後的復原行動加速,Aave 已在以太坊主網、Arbitrum、Base、Mantle 與 Linea 範圍內凍結 rsETH 儲備,該事件從 Kelp 的跨鏈橋被轉走這些 rsETH。
多個
GateNews6小時前
摩根大通:DeFi 駭客頻傳與 TVL 停滯壓縮機構興趣,資金轉投 USDT
摩根大通報告認為DeFi持續漏洞、跨鏈橋與預言機攻擊頻繁,致TVL停滯、削弱機構投資意願,資金轉向可追蹤、可凍結的USDT。KelpDAO與Rhea Finance攻擊揭示風控風險,中心化穩定幣與托管更受青睞;長期要改善需超越保險與治理,DeFi難回到2021年高TVL,穩定幣將更集中。
鏈新聞abmedia6小時前
Circle 首席經濟學家提議在 KelpDAO 風波中上調 Aave 上的 USDC 利率
Gate 新聞訊息,4 月 23 日——Circle 首席經濟學家 Gordon Liao 本週在 Aave v3 Ethereum Core 上提議上調 USDC 貸款參數,原因是先前發生了一起 $292 百萬 KelpDAO rsETH 漏洞攻擊,導致整個協議出現流動性危機。Liao 的徵求意見(Request for Comment)建議將 "S
GateNews7小時前
大型CEX以機器學習與規則引擎升級詐騙偵測系統,將回應時間縮短至數小時
門戶新聞訊息,4月23日——一家大型集中式交易所宣布,透過將機器學習模型與基於規則的引擎整合,對其反詐騙系統進行全面改造;採用雙軌策略,讓模型負責長期防禦、規則則能實現快速響應。整合後的框架
GateNews7小時前
