BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 發文稱,AI 開發工具 OpenClaw 近日被曝出一次「自我攻擊」安全事件。在執行自動化任務時,系統在調用 Shell 命令創建 GitHub Issue 過程中構造了錯誤的 Bash 指令,意外觸發命令注入,導致大量敏感環境變數被公開。
事件中,AI 生成的字串包含反引號包裹的 set,被 Bash 解釋為命令替換並自動執行。由於 Bash 在無參數執行 set 時會輸出當前所有環境變數,最終導致超過 100 行敏感資訊(包括 Telegram 密鑰、認證 Token 等)被直接寫入 GitHub Issue 並公開發布。
GoPlus 建議,在 AI 自動化開發或測試場景中,應盡量使用 API 調用取代直接拼接 Shell 命令,並遵循最小權限原則隔離環境變數,同時禁用高風險執行模式,並在關鍵操作中引入人工審核機制。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Sui 鏈 DeFi 借貸協議 Scallop 遭駭,舊版合約漏洞致 15 萬 SUI 被盜
Scallop 在 Sui 鏈遭攻擊,側合約牽連 sSUI 獎勵池被利用,約 15 萬枚 SUI 被盜,核心合約安全,存款與提領已恢復。官方聲明僅限於已棄用的獎勵合約,使用者資金未受影響。前 NEAR 開發者 Vadim 指漏洞源自 17 個月前的舊版 V2 套件,未初始化 last_index 導致自 2023 年起累積獎勵;修復需在共用物件加入版本欄位並強化版本檢查,避免過時套件造成風險。
鏈新聞abmedia19分鐘前
Scallop 發現 sSUI 獎勵池漏洞,損失 15 萬 SUI 但承諾全額賠付
Gate News 訊息,4 月 26 日——Scallop,Sui 生態系中的借貸協議,宣布發現其 sSUI 獎勵池相關的輔助合約存在漏洞,導致約 150,000 SUI 的損失。受影響的合約已被暫停,且 Scallop 確認
GateNews4小時前
因 MWEB 隱私層零日漏洞而遭遇深度鏈重組的萊特幣
Gate News 消息,4 月 26 日——據萊特幣基金會(Litecoin Foundation)稱,萊特幣在週六經歷了一次深度鏈重組 (4 月 26 日);在攻擊者利用其 MimbleWimble Extension Block (MWEB) 隱私層中的零日漏洞後,鏈上發生重組。此次重組涵蓋了區塊 3,095,930 至 3,095,943,並
GateNews5小時前
Litecoin 首見隱私層遭駭:MWEB 零日漏洞觸發 13 區塊鏈重組
根據 The Block,Litecoin 基金會證實 MWEB 隱私層遭遇零日漏洞,攻擊者利用舊版節點使偽造 MWEB 交易視為有效,造成主鏈回滾13區塊(約3小時),並對跨鏈交易所進行雙花;NEAR Intents 暴露約60萬美元,礦池亦遭 DoS。修補版已發布,請立即升級;主鏈餘額不受影響,但凸顯隱私層在降低可觀測性與偵測難度間的取捨。
鏈新聞abmedia7小時前
Aave、Kelp、LayerZero Seek $71M 凍結的 ETH 釋放來自 Arbitrum DAO
Aave Labs、Kelp DAO、LayerZero、EtherFi 和 Compound 於週六上午在 Arbitrum 論壇提交了一項憲政 AIP,要求網路的 DAO 釋放約 $71 百萬美元的凍結 ETH,以支援 rsETH 的復原工作;此前上週發生了 $292 百萬美元 Kelp DAO 的漏洞利用。該提案
Crypto Frontier9小時前
萊特幣因 MWEB 零日漏洞遭遇深度鏈重組,刪除三小時歷史
Gate News 訊息,4 月 26 日——據萊特幣基金會(Litecoin Foundation)表示,上週六萊特幣(Litecoin)經歷了深度鏈重組 (reorg),原因是攻擊者在其 MimbleWimble Extension Block (MWEB) 隱私層中利用了零日漏洞。該漏洞使得運行較舊軟體的挖礦節點
GateNews14小時前
