BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 发文称,AI 开发工具 OpenClaw 近日被曝出现一次「自我攻击」安全事件。在执行自动化任务时,系统在调用 Shell 命令创建 GitHub Issue 过程中构造了错误的 Bash 指令,意外触发命令注入,导致大量敏感环境变量被公开。
事件中,AI 生成的字符串包含反引号包裹的 set,被 Bash 解释为命令替换并自动执行。由于 Bash 在无参数执行 set 时会输出当前所有环境变量,最终导致超过 100 行敏感信息(包括 Telegram 密钥、认证 Token 等)被直接写入 GitHub Issue 并公开发布。
GoPlus 建议,在 AI 自动化开发或测试场景中,应尽量使用 API 调用替代直接拼接 Shell 命令,并遵循最小权限原则隔离环境变量,同时禁用高风险执行模式,并在关键操作中引入人工审核机制。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
安全研究员披露 CometBFT 0-day 漏洞;无法直接进行资产盗取
Gate 新闻消息,4月21日——据 X 上的一则帖子,安全研究员 Doyeon Park 披露了 CometBFT(Cosmos 的共识层)中一个严重的 0-day 漏洞 (CVSS 7.1)。该漏洞可能导致网络节点在区块同步期间卡顿,从而扰乱系统运行,但不能直接导致资产被盗,但不能 d
GateNews1小时前
假冒警察冒充者强迫法国夫妇转移近 $1M 的比特币
法国的罪犯冒充警察,利用恐惧和权威手段,强迫一对夫妇转移近 $1M 的比特币,实施一种“撬锁式攻击”(wrench attack),其利用的是针对人的手段,而不是钱包漏洞。
摘要:攻击者通过冒充身份和心理胁迫,强制实施比特币转账,展示的“撬锁式攻击”指向的是人性的脆弱性,而非技术层面的钱包漏洞。
GateNews2小时前
法国加密专业人士遭遇持械抢劫未遂被挫败;嫌疑人被捕
Gate News 消息,4月21日——法国蒙彼利埃附近的圣让德韦达斯(Saint-Jean-de-Védas)一名40岁的加密行业从业者在家中挫败了一起持械抢劫企图。嫌疑人伪装成快递员进入住所,并要求受害者交出加密货币钱包的私钥
GateNews3小时前
KelpDAO $290M 漏洞归因于朝鲜的拉撒路集团
LayerZero将KelpDAO的跨链rsETH配置归因于$290 百万美元的漏洞,并表示该漏洞于4月18日被朝鲜的“拉撒路组织”(Lazarus Group)利用,称攻击者是“高度复杂的国家行为体”。据LayerZero称,该事件仅限于KelpDAO的rsETH设置,并未蔓延至其他
Crypto Frontier3小时前
冒充伊朗当局的诈骗分子要求霍尔木兹海峡附近船只支付比特币、USDT 款项
Gate News 消息,4 月 21 日——据航运风险公司 Marisks 称,冒充伊朗当局的诈骗分子已针对被困在霍尔木兹海峡以西的船只的航运公司,要求以比特币和泰达 (USDT) 付款,作为换取安全通行的条件。
这些诈骗者
GateNews3小时前
