BlockBeats rapporte que le 5 mars, la société de sécurité Web3 GoPlus a publié un communiqué indiquant que l’outil de développement AI OpenClaw a récemment été victime d’un incident de sécurité de type « auto-attaque ». Lors de l’exécution de tâches automatisées, le système a construit une mauvaise commande Bash lors de l’appel à une commande Shell pour créer un problème sur GitHub, ce qui a accidentellement déclenché une injection de commande, exposant ainsi de nombreuses variables d’environnement sensibles.
Dans cet incident, la chaîne générée par l’IA contenait un set entouré de guillemets inversés, interprété par Bash comme une substitution de commande, qui a été exécutée automatiquement. Étant donné que Bash, lorsqu’il exécute set sans paramètres, affiche toutes les variables d’environnement actuelles, plus de 100 lignes d’informations sensibles (y compris des clés Telegram, des tokens d’authentification, etc.) ont été directement écrites dans le problème GitHub et rendues publiques.
GoPlus recommande que, dans les scénarios de développement ou de test automatisés avec l’IA, il faut privilégier l’utilisation d’appels API plutôt que de concaténer directement des commandes Shell, respecter le principe du moindre privilège en isolant les variables d’environnement, désactiver les modes d’exécution à haut risque, et introduire un mécanisme de revue humaine pour les opérations critiques.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le fondateur d’une plateforme SocialFi arrêté pour des accusations d’étranglement, au milieu d’une poursuite pour arnaque au rug pull
Message de Gate News, 23 avril — Benjamin Pasternak, 26 ans, fondateur d’une plateforme SocialFi basée sur Solana, a été arrêté mardi pour des accusations d’étranglement au deuxième degré et d’agression au troisième degré, selon des documents du tribunal pénal de New York. L’arrestation a fait suite à un incident survenu le 31 mars. Pasternak
GateNewsIl y a 14m
La bourse polonaise Zondacrypto interrompt ses activités ; les clients ont perdu $95 millions, peuvent demander une indemnisation à l’État
Message de Gate News, le 23 avril — La bourse polonaise de cryptomonnaies Zondacrypto a cessé ses activités cette semaine dans un contexte de problèmes de solvabilité, les procureurs identifiant des centaines de victimes potentielles ayant perdu l’accès à au moins 350 millions de zlotys polonais (environ $95 millions). Les procureurs ont déclaré que
GateNewsIl y a 1h
19-Year-Old Chinese Student Trafficked to Myanmar Scam Ring, Family Pays $30K USDT Ransom But Victim Still Held
Gate News message, April 23 — A 19-year-old first-year university student from Guangdong, China, was trafficked to a fraud operation in Myanmar's Shan State after being lured to Thailand on April 10 under the guise of attending a water festival. After being intercepted in Bangkok, she was sold to a
GateNewsIl y a 2h
KelpDAO avance sur son plan de recouvrement et donne la priorité à la protection des utilisateurs
Message de Gate News, 23 avril — KelpDAO a annoncé qu’il fait activement avancer une solution de recouvrement à la suite d’un récent incident de sécurité, les échanges progressant dans une direction positive au cours des derniers jours. Le projet a souligné son principe central de « l’utilisateur d’abord », indiquant que toutes les mesures qui suivront
GateNewsIl y a 5h
Aave Ethereum gelé au milieu d’une crise de liquidité USDC ; Circle propose une hausse d’urgence du taux à 48 %
Message de Gate News, 23 avril — La plateforme Ethereum d’Aave est gelée depuis près de quatre jours alors que l’utilisation de l’USDC a atteint 99 %, immobilisant environ 1,86 milliard de dollars des fonds des utilisateurs. Le principal économiste de Circle, Gordon Liao, a proposé une intervention d’urgence en matière de gouvernance pour faire face à la crise, marquant une rare implication directe de Circle dans la gouvernance d’un protocole tiers,
GateNewsIl y a 6h
Peter Schiff appelle Strategy STRC un stratagème de type Ponzi et critique le manque de rigueur de la réglementation de la SEC
Les critiques du Bitcoin et défenseur de l’or Peter Schiff a publié le 23 avril sur la plateforme X un message affirmant que les actions privilégiées perpétuelles STRC lancées par MicroStrategy (Strategy) constituent « l’arnaque de Ponzi la plus manifeste à ce jour », et a critiqué la Securities and Exchange Commission américaine (SEC) pour n’avoir pas réussi à empêcher efficacement Michael Saylor de promouvoir STRC.
MarketWhisperIl y a 7h
