BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 发文称,AI 开发工具 OpenClaw 近日被曝出现一次「自我攻击」安全事件。在执行自动化任务时,系统在调用 Shell 命令创建 GitHub Issue 过程中构造了错误的 Bash 指令,意外触发命令注入,导致大量敏感环境变量被公开。
事件中,AI 生成的字符串包含反引号包裹的 set,被 Bash 解释为命令替换并自动执行。由于 Bash 在无参数执行 set 时会输出当前所有环境变量,最终导致超过 100 行敏感信息(包括 Telegram 密钥、认证 Token 等)被直接写入 GitHub Issue 并公开发布。
GoPlus 建议,在 AI 自动化开发或测试场景中,应尽量使用 API 调用替代直接拼接 Shell 命令,并遵循最小权限原则隔离环境变量,同时禁用高风险执行模式,并在关键操作中引入人工审核机制。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
$292M DeFi 黑客 提示 安全 重新思考
根据 CoinDesk 的报道,一起 2.92 亿美元的加密货币黑客事件已成为今年最大的 DeFi 危机,迫使行业内部人士重新审视风险管理、安全协议和市场结构。
该事件发生之际,华尔街仍在继续上链行动,进一步加剧了对
Crypto Frontier4小时前
Zcash 基金会在 5 月 2 日发布 Zebra 4.4.0,修复多项共识层级安全漏洞
据 Zcash Foundation 称,Zebra 4.4.0 于 5 月 2 日发布,用于修复多项共识层级安全漏洞,并强烈建议所有节点运营商立即升级。该更新解决了可能使新区块发现、区块签名操作陷入停滞的拒绝服务漏洞
GateNews9小时前
DeFi 在 4 月遭受 6.06 亿美元损失;Drift、Kelp DAO 占 95%
DeFi 协议在 4 月遭受了高达 6.06 亿美元的重大损失,12 个协议成为攻击目标,且攻击持续时间少于三周。Drift 和 Kelp DAO 造成了大部分损失,损失分别为 2.85 亿美元和 2.92 亿美元,合计约占 95% 的损失
GateNews9小时前
MEV 机器人通过 Meteora ANB 池漏洞将 0.22 美元兑换为 69.6 万美元
据 SolanaFloor 称,一个 MEV 机器人利用 Meteora 的 ANB 池中的漏洞,将 0.22 美元 USDC 在一笔交易中转换为 696,000 USDC。攻击后,ANB 代币下跌 99%。
GateNews9小时前
Purrlend 在 HyperEVM 和 MegaETH 上遭遇管理员多重签名被入侵后损失 152 万美元
据 ChainCatcher 称,Purrlend 在 5 月 2 日其 HyperEVM 和 MegaETH 部署中遭受安全漏洞,损失约 152 万美元。攻击者攻破了该协议的 2/3 管理员多重签名钱包,并授予自己 BRIDGE_ROLE 权限,然后铸造了未获支持的
GateNews12小时前
